WannaCry勒索病毒,是于2017年5月12日开始爆发,影响了150个国家,中国部分Windows操作系统的用户也遭受到了感染。其原理是通过MS17-010漏洞攻击计算机并加密主机上存储的文件,然后要求以比特币的形式支付赎金,勒索价值为300或600美元的比特币。虽然WannaCry实际破坏有限,但其突然爆发却给整个社会带来了极大冲击。
作为抗击病毒第一线的亲历者,腾讯反病毒实验室负责人马劲松对事件演进及影响做了复盘。马劲松表示,从捕获第一个样本到腾讯电脑管家快速上线防御方案,腾讯反病毒实验室对该病毒进行了全面的分析,不但研究了病毒本身的原理,还研究了其前身,以及关注其持续的变种。而应对下一个WannaCry勒索病毒的攻击,需要进一步提升全社会的安全意识,而建立威胁情报共享的安全协同机制势在必行。
经过腾讯安全团队等国内厂商的积极响应, WannaCry终于被有效遏制。腾讯反病毒实验室监控数据显示,WannaCry病毒的威力已经明显衰弱;截止发稿时,监控到钱包地址中,总计有45.5个比特币,大约有230人缴纳赎金。
在病毒爆发的96小时内,腾讯安全团队吹响了抗击勒索病毒的先锋号,并且现在对病毒变种也提供了完善的处理方案。实际上,WannaCry勒索病毒的实际破坏性也不像部分厂商描述的那样可怕。而关于部分境外团队及媒体报道病毒已经发现新变种,马劲松表示,腾讯反病毒实验室确实也捕获到了变种样本,但还没有掌握其具备大规模破坏性的证据,其中大部分也是利用了微软公司Windows操作系统的SMB服务漏洞(MS17-010)进行传播感染,只要用户装上腾讯电脑管家,按照电脑管家的提示打补丁,病毒就会被牢牢的锁在“门外”。
马劲松表示,腾讯安全反病毒实验室也在跟进研究,同时呼吁行业在捕获确切证据之前,不要过度渲染新病毒变种的危害,以免给用户造成不必要的恐慌。
(腾讯反病毒实验室 “想哭”病毒实时监控数据)
此次WannaCry勒索病毒的突然爆发,也给我们带来了非常必要的警示。实际上,此次WannaCry勒索病毒所利用漏洞早在今年年初就被发现,腾讯电脑管家等厂商也向用户推送了系统补丁,但面对WannaCry勒索病毒的突然爆发,整个行业还是十分被动。面对WannaCry勒索病毒大面积传播,很多企业机构、用户甚至不知所措,这种恐慌情绪的蔓延速度要远远大于病毒的传播速度。
腾讯反病毒实验室负责人马劲松认为,WannaCry勒索病毒和十几年前的蠕虫原理一样,并不涉及太高精尖的技术,只是利用了微软的“永恒之蓝”漏洞。对抗这个病毒启示也简单,用户只要及时在安全环境下打上系统补丁就可以防御。但非常不幸的是,这次WannaCry勒索病毒给中国网民及企业机构带来了极大冲击,其深层次原因在于大家的安全意识想对薄弱。
援引知名网络安全专家、知道创宇CEO赵伟的公开观点,他认为在中国做互联网安全创业是一件非常“苦逼”的事情,虽然上到中央下到媒体都一直在宣导网络安全建设的重要性,但真正愿意投入建设安全能力及体系的企业并不多,网络安全变成了“看上去很美”的产业。而此次WannaCry勒索病毒对中国尤其是企业客户的冲击,或许将成为中国网络安全的分水岭。
马劲松表示,WannaCry勒索病毒或许这是新时期网络威胁的一个序曲,随着互联网+时代的来临,应对“WannaCry”式攻击或将成为常态。
而就在WannaCry爆发之后,黑客组织“影子经纪人”通过社交媒体Steemit发布声明说,它将从6月开始,以订阅服务的形式,每月向付费订户提供更多的国安局黑客工具和数据。这些黑客工具包括网页浏览器、路由器和手机的安全漏洞及利用工具,微软“Win10”操作系统安全漏洞;数据则包括国安局入侵swift(环球银行间金融通信协会)和一些国家中央银行系统所盗取的网络数据,入侵俄罗斯、伊朗和朝鲜等国的核及导弹计划系统所盗取的网络数据。
马劲松表示,不管以上是否属实,未来应对WannaCry式攻击,我们都需要做好常态准备。马劲松认为,全球互联网融合及互联网+大背景下,任何一个个人、公司甚至一个国家都不能独善其身,而应对这种全球攻击的最有效基础就是建立情报协同技术共享的合作机制。比如在此次应对WannaCry病毒过程中,全球各大安全厂商均有所行动,也相继推出了防御方案,但并没有产生协同效应,甚至其中部分误判结论会加剧社会的恐慌情绪。
在此次抗毒保卫战中,腾讯反病毒实验室、腾讯电脑管家团队积极联动金山、知道创宇等安全团队,第一时间为用户提供了有效可靠的免疫工具、文档保护工具及文件恢复工具,为抑制病毒蔓延发挥了关键作用。同时,腾讯安全团队还联动了公安、运营商、全球100所高校,第一时间向用户推送了安全开机指南,以及病毒疫情的分析情况,减少了目标用户的恐慌情绪。
国家项目扶持网原创文章,未经授权禁止转载。详情见转载须知。