勒索病毒变异体今日再引爆发高峰：神秘黑客组织曝光

本篇文章4469字，读完约11分钟

钛媒体-脑极体的作者

钛媒体注意:赎金并没有停止，相反，它已经变得越来越激烈，由于变种的出现。今天，作为病毒在中国爆发后的第一个工作日，它也面临着最大的考验。

根据360威胁情报中心的统计，仅在一天多的时间里，就有近100个国家的10万多个组织和机构被抓获，其中包括1600个美国组织和11200个俄罗斯组织。西班牙电信巨头telefonica、电力公司iberdrola和能源供应商gas natural等西班牙公司的网络系统也出现故障。葡萄牙电信、美国运输巨头联邦快递、瑞典地方政府和俄罗斯第二大移动通信运营商megafon都暴露了相关攻击。

中国29，372个机构组织的数十万台机器已经感染了万年青，被感染的组织和机构几乎覆盖了所有地区，影响到大学、火车站、自助服务终端、邮政服务、加油站、医院、政府机关和其他领域。被感染的计算机数量仍在增加。

上海中山医院的电脑被感染了

5月13日，发现奇怪域名注册并能阻止病毒程序的安全工程师也坦率地承认这是一个美丽的巧合，同时提醒有必要对计算机进行补丁以避免病毒变异，绕过这个域名并发动下一波攻击。

事实上，就在昨天下午，国家网络和信息安全信息通知中心发布了一份关于赎金的紧急通知。

据报道，监测发现，世界上爆发了万年软件:万年2.0。与以前的版本不同，这个变种取消了杀毒开关，不能通过注册域名来阻止变种软件的传播。据了解，ransomware变种后传播速度更快。要求互联网用户尽快升级和安装windows操作系统补丁。感染病毒的机器应立即断开连接，以避免进一步传播感染。

几乎与此同时，北京市网络信息办公室、北京市公安局和北京市经济和信息化委员会联合发布了《关于各种恶意勒索蠕虫的通知和处置建议》。《通知》还指出，想敲诈勒索的虫子已经出现新品种，并给出了具体的处理建议。

安田公司安全研究与应急中心主任李判断:“此次网络攻击是在北京时间12日晚8点左右大规模爆发的。当时，中国很多机构和企业的网络节点都关闭了，所以15号开始运行时会面临安全问题。测试。”他还表示，许多重要的计算机系统都在内部网环境中，无法访问上述域名，也可能无法及时更新安全补丁，因此它们仍可能面临更大的风险。

网络安全专家建议用户断开网络并启动，即在启动前拔掉网线，这样基本上可以避免被软件感染。启动后，您应该尽快尝试修补安全补丁，或者安装各种网络安全公司为此推出的防御工具，然后才能连接到互联网。

这种病毒的罪魁祸首一直是神秘的。《钛媒体》的作者对此次事件的真正原因和背后的神秘黑客组织进行了更大胆的追踪和分析。以下是全文:

今天(5月15日)将迎来软件爆发的高峰期。一旦windows用户的计算机被打开，所有文件都可能被加密并且不可读。

尽管，一方面，各种应急手册、应急补丁、漏洞修复工具和让家庭用户放心的科普文章存在于大量的刷子中。另一方面，我们可以看到病毒的变种版本“如期而至”，攻击的范围和次数都在增加，而被攻击的网络仍然没有很好的解决方案。

在病毒攻击爆发后的48小时内，我们周围的学校、加油站和政府网络相继遭到攻击，在国外，这直接造成了病毒影响医院工作的恶性事件。

这场肆虐全球的病毒袭击已经很久没有出现在人类世界的新闻中了。这一事件的许多矛头都指向一种叫做“wanacrypt0r 2.0”的蠕虫。这种病毒被广泛认为是从美国国家安全局泄露的黑客工具之一"永恒之蓝"升级而来的。

如果这一事件明确指向美国国家安全局的渗透武器泄漏事件，那么这一大规模的病毒爆发很难被定义为一个孤立的事件。

相反，这一事件更有可能与著名黑客组织“影子经纪人”攻破国安局黑客武库，导致大量基于windows系统漏洞的黑客工具丢失的事件有关。这次分散的工具不仅仅是“永恒的蓝色”或一种类型。隐藏的未知风险可能比当前的公众判断更令人担忧。

如果你看过《生化危机》，你可能对这一集很熟悉

就在一个月前的4月15日，神秘组织“影子经纪人”(Shadow Broker)发布了一份泄露的关于国家安全局的文件，该组织曾多次“教导”国家安全局。

这份3亿米长的存档文件是美国国家安全局下属的黑客组织“方程式”的入侵工具，主要针对微软的windows系统和装有swift系统的银行。

这些恶意攻击工具包括恶意软件、私有攻击框架和其他攻击工具。根据已知数据，至少有12种攻击工具设计了微软的23个系统漏洞，而这次完成“转化攻击”的永恒之蓝只是这12种中的一种。

影子经济人上传的泄漏工具

永恒的蓝色针对的是windows中小企业网络文件共享协议的漏洞。其他如esteemaudit和eskimo roll，其目标是rdp远程显示协议，kerberos服务器认证协议，可能仍然是黑暗的。

更有趣的是，泄露的攻击工具的另一个主要组成部分是银行和政府系统使用的针对swift系统的漏洞攻击工具。影子经纪人表示，这些武器的主要目的是美国国家安全局利用它们攻击中东的银行。如果这些工具被别有用心的罪犯所掌握，事件将更加难以想象。

先不说技术工具，让我们来回顾一下这个故事:神秘的黑客组织“影子经纪人”(Shadow Broker)宣布，它已经破解了美国黑客组织“方程式集团”(equation group)的系统，据说该组织为nsa开发网络武器，并下载了他们的攻击工具向外界传播，从而证明nsa组织并实施了大量针对其他国家的非法黑客攻击。

简单的说，就是为了揭开另一个“内蒙古大师”的真面目，一个神秘的大师偷了他发明的武术毒药，传播到江湖上。然后，河湖上的猫和狗得到了这个神秘的武器，一场血战开始了…..

等待...如果你看过《生化危机》，你应该猜到故事的其余部分。

影子经纪人:以愤怒为乐，以做事为己任

在这里，我们不妨简单回顾一下这个神秘的组织——影子经纪人，它的例子是真实的。

2016年8月，该组织在人类面前首次亮相。这个神秘的黑客组织宣称已经突破了nsa防火墙，并公布了Cisco asa系列防火墙和Cisco pix防火墙的漏洞。

后来，他们还公开拍卖了黑客工具包，并宣布，如果他们收到超过100万比特币，他们将发布大量他们已经拥有的黑客工具。但是很明显，世界上的人还是不买黑客的脸，这次拍卖最终得到了两个比特币的尴尬结果。

具有强烈赚钱情绪的黑客组织于2016年10月开始众筹活动，宣布他们将在收到1万枚比特币后，向所有参与众筹的人提供黑客工具包。去年12月，众筹运动再次尴尬失败。

尽管这个性情憨厚可爱的傲慢黑客组织在赚钱的道路上屡屡碰壁，但他们偷的东西却被证明是真的。先是思科和富通发布了安全警告，然后是著名的泄密者爱德华·斯诺登和国安局的几名前雇员都证明了这个工具包的真实性。

有趣的是，影子经纪人也公布了证据，表明中国的大学和网络信息提供商是美国国家安全局入侵最频繁的地区。

作为世界上雇佣最多计算机专家的组织，这绝对是国家安全局的内部机密第一次被真正的网络黑客入侵。恐怕影响比想象的要严重得多。

今年4月，它从来没有太大的事情做，影子经纪人总是抓住国家安全局的愤怒再次开枪。直接发布了这个很久没有销售的工具包。然后在今天的世界攻击中发现了一个工具。不管是好是坏，这个团队和被他们偷走的国家安全局很难明确他们的责任。

焦点:“工具工程水平”是最可怕的

许多网络安全项目团队和从业者都表示，今年4月影子机器人(300024，诊断单元)的攻击工具泄漏是网络安全领域的一次核爆炸。

事实上，这种说法一点也不夸张。长期以来，网络安全攻击一般有两种模式:一是攻击者根据发现的漏洞编写自己的攻击方法，即一般意义上的黑客攻击；其次，攻击者创建了类似病毒的程序，并造成了广泛的攻击。

在这两种模式下，病毒也可以完成传播第一触发攻击的过程。然而，病毒制造者经常将病毒传递给攻击者，这很容易被安全工具消灭。

然而，这次流传的攻击工具是不同的。根据专业网络安全企业的评价，此次泄漏的黑客工具“无论从漏洞的危险程度、利用程序的技术水平还是工具的工程水平来看，都属于世界顶级水平”。就漏洞利用而言，我们可能已经习惯了新病毒的致命性，但在工具工程层面，这种高级攻击工具首次集中在互联网世界。

影子经纪人爆发了，国家安全局入侵了世界各地的许多银行

所谓工具工程是指攻击工具可以重复使用和重写，从而达到适应攻击目标的能力和有针对性的潜伏和释放功能。人们普遍认为，nsa发布的这部分黑客工具更多地针对国家网络、军事网络和银行网络，有意识地提高了底层工具化能力，从而提高了网络战的标准化应用程度。

这种高度装备的网络攻击工具的泄露无疑是在向人们投掷大规模杀伤性军事武器。这将带来未来世界的网络安全灾难，仅靠一次攻击是无法消除的。

抱歉，这只是开始:关于网络安全战争的未来

熊猫烧香十年后，我们又遭遇了一次大规模的网络病毒攻击。这一次，中国与世界的同步性，攻击工具的特殊背景，以及独特的攻击方式，都让我们对网络安全世界产生了更深的恐惧。

特别是随着人工智能技术的不断发展，人工智能不再需要投入生产应用，人工智能、物联网、云计算等新技术带来的负面利用也在迅速增加。在近两年的世界网络安全事件中，我们已经可以看到，以下攻击方式开始主导网络安全问题。

1.工业网络勒索:以这种比特币勒索病毒为例，可以说是一种全新的病毒攻击方式，通过有针对性地植入蠕虫，然后集中时间并计划触发它们。

这种模式的问题在于，它可以有效地威胁大型非民用网络，如工业网络、医疗网络、银行网络等。，从而实现巨额敲诈。由于比特币支付技术带来的便利，发起者往往更难被绳之以法。在这次全球范围的攻击之后，攻击的数量可能会继续增加。

第二，信任攻击:人工智能威胁着遥远的人类，但如果人工智能被坏人利用，恐怕今天就会发生。人工智能技术对声源、音调、音符、修辞习惯等的模拟已经成为一种非常容易的技术效果。因此，人工智能被用来生成熟人的声音和电子邮件，网上欺诈的方式也在迅速增加。

目前，英国每年可发现10多万起“技术网络欺诈”，在网络安全领域被称为“信任攻击”。

三.物联网攻击:2016年1月，乌克兰电网系统遭到黑客攻击，导致数百户家庭供电中断。这是人类历史上第一次导致停电的网络攻击。

随着物联网技术的发展和能源生产部门的深入网络化，针对物联网的黑客攻击逐渐增多。该软件也已大规模进入物联网领域。这一领域的网络攻击通常更危险，也更难防范。

四.关键数据变化:大数据计算正在成为一种新的能源和生产力提供者，但有数据就有虚假数据。如果你篡改了关键数据，你有时会在不留下任何痕迹的情况下引发网络攻击。近两年来，通过更改关键数据进行的攻击悄然增加。使用人工智能算法攻击数据并生成合理的“假数据链”更具破坏性。

事实上，新技术的祝福和大量泄密给非法黑客带来的武器升级速度远远快于安全部门。恐怕这次全球性袭击只是许多事件的开始。未来的全球网络安全很可能是一场“大逃亡、大屠杀”模式的无休止的战争。

今天没有人应该知道出路。