10年来最大网络安全事件！专家详解勒索病毒

5月12日，WannaCry/Wcry勒索蠕虫席卷全球，是不法分子通过改造之前泄露的NSA黑客武器库中“永恒之蓝”攻击程序发起的网络攻击事件，利用了微软基于445端口传播扩散的SMB漏洞MS17-010。一旦被攻击，暂无有效解密方案。

5月17日，亚信安全多位安全专家接受《中国电子报》记者采访时表示，这个10年以来最大规模的安全事件，是对我国安全产品的大考，借此提醒广大用户，当超级病毒爆发时，预防病毒要比事后弥补更为有效。

大部分数据可恢复，除了C盘

据了解，此次勒索蠕虫的特点与传统的有所不同，曾经90%的勒索软件都是通过网站或者邮件渗透实现攻击。这次引发的风暴，是因为传播行为和手段有所升级，也是全球首款通过系统漏洞实现传播的勒索蠕虫，让传统的安全防护手段几乎全部沦陷，甚至因此造成了更为严重的内网蔓延。

亚信安全通用安全产品管理副总经理刘政平表示，上周五下午3点，亚信安全监测到了该病毒，并发现该病毒为蠕虫病毒。几小时内，全球近100多个国家，近万家组织和企业遭受攻击。在病毒爆发时，黑客对中招的受害者勒索比特币，要求在几小时内支付一定的比特币，否则就锁死文件。庆幸的是，现在监测到的愿意支付黑客比特币的人并不多，黑客某种程度上并没有得逞。

亚信安全通用安全产品研发负责人吴湘宁透露：“在病毒样本分析中，我们发现WannaCry/Wcry针对受攻击的文档，会先做一份加密文件，在修改权限确认此份加密文档是无法被删除的。接着，在有些情况下，它会对原受攻击的文档进行写入的动作，最后进行删除。所以，即使采用数据恢复工具，并不能保证可以完全恢复受攻击文档的原始内容。我们目前的重大发现是，根据勒索病毒的行为方式，我们可以恢复C盘之外的大部分数据。”

这源于发现了黑客行为的一个小漏洞。刘政平表示，此次WannaCry/Wcry爆发，对于加密的文件通过解密的方式恢复原文件，几乎是不可能的。但是在昨天，亚信安全在逆向病毒后，发现了黑客的一个漏洞，即黑客重点加密的文件是桌面文件和C盘文件，在加密D、E等其他盘时偷了一个懒。

偷了什么懒?吴湘宁解释，黑客加密C盘，用的是清零算法，即低级格式化，将原文件删除，导致数据恢复不出来。即使是用硬盘恢复工具，也是恢复不出来的。黑客为了提高效率，没有将除C盘外的其他盘都用清零算法，因为低级格式化的方式效率很低，所以对除C盘外的文件采用了效率更高的删除方式，而这种方式则是可以恢复数据的。亚信安全建议受到WannaCry/Wcry感染的客户，优先恢复D、E等其他盘内的文件，对系统盘内的文件用户选择性恢复。

吴湘宁还强调，近期网络上流传一些“解密方法”，其实是无效的。亚信安全技术支持中心测试发现，目前，能减少客户损失的方法只有通过数据恢复技术，而非解密技术来还原数据。

事实证明防病毒更有效

当超级病毒爆发时，其实并没有好的解决办法，最好的方法是做好预防病毒的措施。

亚信安全一位安全专家透露，过去10年因为没有一些大规模的、高端的漏洞可以利用，所以也没爆发如此严重的安全事件。今天爆发的这个WannaCry/Wcry，其实是美国军方病毒库里藏的病毒，被黑客入侵偷出来了。鉴于对美国军方的忌惮，黑客没法把病毒卖出去，就自己出来做坏事。

10年才爆发的安全事件让我们发现，超级病毒确实存在，而当这些病毒爆发后，其实也没有有效的方法来解决。

截至目前，亚信安全服务的客户通过以机器学习技术为核心的桌面安全解决方案，成功抵御了攻击。吴湘宁透露，在病毒爆发高峰期间，即12~14日，我国多省运营商DNS均受到WannaCry/Wcry的试探请求，总量在1000次上下。事后分析，得益于亚信安全为运营商承建的错误域名重定向系统，所有请求得到了解析成功的响应，客观上避免了病毒的二次传播。

“通过为客户制定事前、事中、事后的安全策略，并强调补丁管理、异常行为检测、沙箱分析、机器学习等技术手段，配合专业的安全服务，确保客户的配置更新以及安全软件更新，幸免遭受WannaCry/Wcry勒索软件带来的伤害。”吴湘宁解释。

在吴湘宁看来，传统的事后应急处理的病毒库防御模式已经无法应对当下病毒发展的态势，重点应该聚焦在事前如何预防。

(《中国电子报》版权所有，转载请注明出处)