腾讯反病毒实验室马劲松:防御WannaCry勒索病毒式
勒索,是于2017年5月12日开始爆发,影响了150个国家,中国部分Windows操作系统的用户也遭受到了感染。其原理是通过MS17-010漏洞攻击计算机并加密主机上存储的文件,然后要求以比特币的形式支付赎金,勒索价值为300或600美元的比特币。虽然实际破坏有限,但其突然爆发却给整个社会带来了极大冲击。
作为抗击第一线的亲历者,反病毒负责人马劲松对事件演进及影响做了复盘。马劲松表示,从捕获第一个样本到电脑管家快速上线防御方案,腾讯反病毒对该病毒进行了全面的分析,不但研究了病毒本身的原理,还研究了其前身,以及关注其持续的变种。而应对下一个WannaCry勒索病毒的攻击,需要进一步提升全社会的安全意识,而建立威胁情报共享的安全协同机制势在必行。
“想哭”病毒实际破坏性有限,已得到有效控制
经过腾讯安全团队等国内厂商的积极响应, WannaCry终于被有效遏制。腾讯反病毒实验室监控数据显示,WannaCry病毒的威力已经明显衰弱;截止发稿时,监控到钱包地址中,总计有45.5个比特币,大约有230人缴纳赎金。
在病毒爆发的96小时内,腾讯安全团队吹响了抗击勒索病毒的先锋号,并且现在对病毒变种也提供了完善的处理方案。实际上,WannaCry勒索病毒的实际破坏性也不像部分厂商描述的那样可怕。而关于部分境外团队及媒体网报道病毒已经发现新变种,马劲松表示,腾讯反病毒实验室确实也捕获到了变种样本,但还没有掌握其具备大规模破坏性的证据,其中大部分也是利用了微软公司Windows操作系统的SMB服务漏洞(MS17-010)进行传播感染,只要用户装上腾讯电脑管家,按照电脑管家的提示打补丁,病毒就会被牢牢的锁在“门外”。
马劲松表示,腾讯安全反病毒实验室也在跟进研究,同时呼吁行业在捕获确切证据之前,不要过度渲染新病毒变种的危害,以免给用户造成不必要的恐慌。
(腾讯反病毒实验室“想哭”病毒实时监控数据)
WannaCry将成为网络安全分水岭,安全意识亟需提升
此次WannaCry勒索病毒的突然爆发,也给我们带来了非常必要的警示。实际上,此次WannaCry勒索病毒所利用漏洞早在今年年初就被发现,腾讯电脑管家等厂商也向用户推送了系统补丁,但面对WannaCry勒索病毒的突然爆发,整个行业还是十分被动。面对WannaCry勒索病毒大面积传播,很多企业机构、用户甚至不知所措,这种恐慌情绪的蔓延速度要远远大于病毒的传播速度。
腾讯反病毒实验室负责人马劲松认为,WannaCry勒索病毒和十几年前的蠕虫原理一样,并不涉及太高精尖的技术,只是利用了微软的“永恒之蓝”漏洞。对抗这个病毒启示也简单,用户只要及时在安全环境下打上系统补丁就可以防御。但非常不幸的是,这次WannaCry勒索病毒给中国网民及企业机构带来了极大冲击,其深层次原因在于大家的安全意识想对薄弱。
援引知名网络安全专家、知道创宇CEO赵伟的公开观点,他认为在中国做互联网安全创业是一件非常“苦逼”的事情,虽然上到中央下到媒体都一直在宣导网络安全建设的重要性,但真正愿意投入建设安全能力及体系的企业并不多,网络安全变成了“看上去很美”的产业。而此次WannaCry勒索病毒对中国尤其是企业客户的冲击,或许将成为中国网络安全的分水岭。
WannaCry或只是序曲,应对下一波攻击需行业协同联动
马劲松表示,WannaCry勒索病毒或许这是新时期网络威胁的一个序曲,随着互联网+时代的来临,应对“WannaCry”式攻击或将成为常态。
而就在WannaCry爆发之后,黑客组织“影子经纪人”通过社交媒体Steemit发布声明说,它将从6月开始,以订阅服务的形式,每月向付费订户提供更多的国安局黑客工具和数据。这些黑客工具包括网页浏览器、路由器和手机的安全漏洞及利用工具,微软“Win10”操作系统安全漏洞;数据则包括国安局入侵swift(环球银行间金融通信协会)和一些国家中央银行系统所盗取的网络数据,入侵俄罗斯、伊朗和朝鲜等国的核及导弹计划系统所盗取的网络数据。