|
上周末,一场大规模的勒索病毒肆虐全球。受害者的电脑会被病毒锁定,需向黑客支付比特币之后才能解开。
5月14日,新京报记者从证监会、银监会、券商、银行等机构证实,证监会和银监会均针对近日全球爆发的大规模比特币勒索病毒感染事件发文要求各地证监局、银监局以及券商、银行、基金等机构进行自查并做好防护。
有消息称,在这场病毒侵袭中,高校受到的攻击最为严重,金融系统的安全也引发了广泛关注。这场病毒来自何方?为何会选择比特币作为解锁手段?高校为何“首当其冲”?金融系统是否将遭受冲击?新京报记者采访相关监管部门和企业,追问这场病毒带来的影响。
证监会内部人士称14日停网待打补丁
昨日,监管部门内部人士向新京报记者表示证监会和银监会首先要求自查并做好技术防护,同时,发文到地方监管局要求其落实文件,并将文件转给分管金融机构自查并做好防护。
证监会内部人士对新京报记者表示,5月14日,会里已下发文件要求自查并做好防护。为了隔离比特币勒索病毒,证监会于5月14日全天停网,并将于15日上班时间进行全方位打“补丁”。不过,“每个电脑安装补丁应该很快就能好”。
昨晚,多地银监局人士向新京报记者确认,5月14日已经收到银监会统一下发的文件,要求银监局做好部署防范。同时,根据批示,在自查自护的同时,要求银监局将文件转给分管金融机构。
新京报记者另从多家银行获悉,银行已经下发《关于防范“蠕虫”式勒索软件(ONION)病毒攻击的通知》(下称《通知》),要求提前做好病毒的防范工作,仔细逐一排查各项信息系统的漏洞隐患,防微杜渐,将信息科技风险降到最低。
新京报记者拿到的多份《通知》显示,多家银行主要采取了网络安全防护措施及终端和数据安全防护措施:检查互联网出口和各区域网络防火墙是否关闭或禁用445端口的访问。要求各个机构电脑联络员第一时间将病毒感染信息发送给所在机构的微信群,并通知所在机构的所有员工,近期尽量避免接入互联网。
同时,上述银行科技信息部为所有Windows操作系统的电脑终端下载安装微软发布的补丁,修复病毒攻击的漏洞。
此外,上述银行还要求,做好备份电脑中的重要文件资料到移动存储介质,备份后脱机保存存储介质。如果发生“蠕虫”中毒事件,科技部第一时间隔离感染,关闭银行互联网出口和445端口,避免“蠕虫”在内网的快速传播。
新京报记者从某券商信息技术总部接到的《通知》看出,证监会机构部、当地证监局和证券业协会已要求券商自查并做好预防保护,并于5月14日中午12点前反馈。
为了应对证监会的《通知》,该券商也发了应对通知,制定相关技术应急处置方案,并进行各业务系统的检查和持续加固。应急处置方案通过邮件、短信、OA系统等发出,提醒各部门、各分公司、子公司、营业部老总安排人员14日中午前完成协同检查,落实防护措施。
支付宝微信称未受影响
相较于传统端口,比特币病毒席卷之下,主要依赖网络进行支付的机构是否受到影响?14日下午,多家网络支付机构向新京报记者表示,目前没有受到病毒的影响。
支付宝方面表示,支付宝“没有受到任何影响”。支付宝相关负责人也向记者回应称,“中石油断网确切原因我们尚不清楚,但可以确认的是支付宝与中石油的支付接口目前无任何问题,可正常提供支付服务。”
相关人士所称的“断网”,源自5月14日,中石油在官网发布公告确认,因受比特币勒索病毒影响,5月12日晚间,公司所属部分加油站正常运行受到波及,导致只能使用加油卡和现金进行支付。
上述支付宝相关负责人表示,支付宝目前并没有受到该病毒任何影响。“支付宝及时发现了此威胁并进行了全面保护。我们会一直为用户提供最好的安全保护。”
此外,腾讯财付通相关人士当日也向记者表示,“没有影响”。
该人士向记者提供一份腾讯安全团队的举措材料显示,在防范上,腾讯安全联合实验室反病毒实验室负责人、腾讯电脑管家安全技术专家马劲松指出,可采取几种手段。一是临时关闭端口;同时,及时更新Windows已发布的安全补丁。此外,可利用腾讯电脑管家“勒索病毒免疫工具”进行修复。另外,重要的资料一定要备份。
5月14日下午,记者分别通过支付宝和微信进行一笔消费支付,支付过程中均未出现异常。
另外,将苹果iTunes作为最大客户的易联支付董事长朱启文对新京报记者表示,目前公司没有受到影响。在办公环境,易联支付不会接受任何从外界发起的连接。
中石油加油站系统遭攻击,昨起部分恢复
全球比特币勒索病毒爆发,国内部分加油站也成为受害者。
中石油5月14日下午在官网发布公告确认,因全球比特币勒索病毒爆发,公司所属部分加油站正常运行受到波及。截至14日12时80%以上加油站已恢复网络连接,受病毒感染的加油站陆续恢复加油卡、银行卡、第三方支付功能。
中石油称,5月12日22时30分左右,因全球比特币勒索病毒爆发,公司所属部分加油站正常运行受到波及,病毒导致加油站加油卡、银行卡、第三方支付等网络支付功能无法使用。
在国内,中石油为仅次于中石化的第二大加油站运营企业,其他同业企业并未发生被攻击事件。
在加油站管控系统服务商喂车科技官微发布的一篇文章中,喂车科技表示,传统油站系统更容易遭受病毒攻击的原因在于时间久远,缺乏有效的安全维护,更容易被病毒利用,而且网络方案陈旧,隔离度不足,更容易引起病毒传播。
不过,另一位加油站行业人士表示,客观而言,如果没有这次攻击的话,中石油的系统在行业内并不算太差。这次中石油支付系统出事其实有些“倒霉”,因为跟别的同行业企业相比,就他们使用了Windows系统。
5月14日,一位加油站企业负责人对新京报记者表示,中石油支付系统,因为建立在Windows系统上,未做相关端口的安全防范及补丁修复,由漏洞工具“永恒之蓝”攻击导致中毒。喂车科技等其他同业企业也有部分服务建立在Windows系统之上,不过其及时关注到漏洞发布并做了防范,所以未受影响。
面对突发事件,5月13日,中石油紧急中断所有加油站上连网络端口,并会同有关网络安全专家连夜开展处置工作,全面排查风险,制定技术解决方案。截至14日12时80%以上加油站已恢复网络连接。
5月14日,新京报记者来到位于大兴区小红门路的中石油加油站,有车主正在使用现金支付。工作人员告诉记者,14日上午本站恢复微信等支付功能正常使用,中午时候中石油其他加油站也恢复正常。
对于加油站未来如何规避病毒攻击,上述加油站企业负责人建议,系统安全是支付系统关注的重点,首先秉着最小权限和最小开放的原则,需要对整个系统进行权限设置管理,关闭不必要的端口及服务。其次,对于运行程序的基础系统需要随时关注其动态与世界同步信息,第一时间发现问题解决问题。
■ 抗毒一线
“开始很蒙,不知病毒怎么进来的”
外界意识到永恒之蓝病毒是在上周末,对于从事安全工作的工程师,早在上周前两天,就已经开始忙碌起来了。
在最近一周的病毒狙击战中,安全工程师们历经失落与兴奋,心情会随着病毒的一波波攻击而跌宕。
“失落感是上周前几天,从对系统日志等的观察中已经发现了一些异常,但那段时间很蒙,不知道病毒怎么进来的,经过几天跟踪后查到原因,反而豁然开朗,因为这就有目标了,只要找到原因,一步一步向前推导来排查,就不害怕了”,在一家互联网安全软件公司工作的反病毒人员刘海粟,向新京报记者讲述了他近一周的病毒狙击战的过程。
在病毒爆发的周五(12日)晚上,刘海粟接到同事朋友的求助,朋友遭遇的这场严重的入侵行为,恰好是之前该公司团队就已经在跟进的入侵方法,那时候觉得“这已经是不幸中的万幸”,知道病毒是如何来的,不用再从零开始复盘,可以有的放矢,跟团队一起提出应对策略。
在与勒索病毒交战过程中,刘海粟还记得曙光乍现的那一刻。在帮助用户远程看电脑Windows系统日志的过程中,因为日志很粗略,起初没抱太大希望,但突然看到服务启动这一项,凭经验看不是正常程序,从而锁定病毒样本。锁定病毒样本之后,后续的分析就有迹可循,相对简单多了。
