5月12號，WanaCrypt0r2.0勒索軟件攻擊全球Windows漏洞 ，截止目前，已有七十多個(gè)國家的政府、高校、醫(yī)院等機(jī)構(gòu)被攻陷。此事仍在進(jìn)一步發(fā)酵，而目前對于被感染的系統(tǒng)、文件似乎沒有任何破解的方法，全球數(shù)十億用戶安全，竟被一位躲在暗處的人玩弄于鼓掌之中。

　　下文中華為高級安全專家婁偉峰、威客安全CEO陳新龍、360安全首席工程師鄭文彬、青蓮云CEO董方、長亭科技CEO陳宇森、杰思安全CEO劉春華、阿里云技術(shù)專家、網(wǎng)絡(luò)安全專家劉博士、招股科技CTO程超等眾多國內(nèi)一線安全領(lǐng)域?qū)＜?，為此事理清了來龍去脈。

　　大恐慌!

　　5月12日，一個(gè)黑客坐在電腦前，輕輕按下了Enter鍵。這個(gè)看似無足輕重的動作，掀起了全球七十多個(gè)國家、數(shù)十億用戶對網(wǎng)絡(luò)安全的恐慌。

　　當(dāng)晚，WanaCrypt0r2.0(以下簡稱Wcry2.0)勒索軟件在全球爆發(fā)。在無需用戶任何操作的情況下，Wcry2.0即可掃描開放445文件共享端口的Windows機(jī)器，從而植入惡意程序。

　　目前，該勒索病毒的攻擊已經(jīng)擴(kuò)散到全球74個(gè)國家，包括美國、英國、中國、西班牙、俄羅斯等。此次被攻擊的對象包括政府、醫(yī)院、公安局以及各大高校等機(jī)構(gòu)和個(gè)人。

　　黑客要求每個(gè)被攻擊者支付贖金后方能解密恢復(fù)文件，而此次的贖金方式使用了當(dāng)下最為火熱的產(chǎn)品比特幣，勒索金額最高達(dá)5個(gè)比特幣，價(jià)值人民幣5萬多元。

　　國內(nèi)最早的防病毒廠商kill公司技術(shù)總監(jiān)、江民公司原技術(shù)總監(jiān)、現(xiàn)華為高級安全專家婁偉峰告訴Xtecher：“從技術(shù)上講，這不算是一次黑客攻擊，而是一次大面積的以經(jīng)濟(jì)為目的勒索軟件傳播事件。此次大規(guī)模傳播的Onion、WNCRY勒索軟件是"永恒之藍(lán)"勒索軟件的病毒變種，但恰這類并非新技術(shù)的病毒，反而能肆虐蔓延、短短時(shí)間內(nèi)侵襲各大機(jī)構(gòu)，經(jīng)濟(jì)損失截至目前已達(dá)數(shù)十億?！?/p>

　　網(wǎng)絡(luò)安全專家劉博士告訴Xtecher：“本質(zhì)上病毒要想獲得訪問權(quán)限、突破訪問控制，操作系統(tǒng)會通過防火墻等做訪問限制，但如果系統(tǒng)有安全漏洞可以被利用，就有可能突破。Windows被感染的幾個(gè)版本恰好有漏洞可被利用?！?/p>

　　360安全首席工程師鄭文彬告訴Xtecher：“中國此次遭受攻擊的主要是教育網(wǎng)用戶。上個(gè)月360針對該端口漏洞發(fā)出預(yù)警，并推出了免疫工具，微軟此前也已發(fā)布相關(guān)漏洞補(bǔ)丁。但許多教育網(wǎng)并未對此漏洞做出修復(fù)，以至于淪為重災(zāi)區(qū)?！?/p>

　　為何教育網(wǎng)、公安局、醫(yī)院等機(jī)構(gòu)淪為重災(zāi)區(qū)?

　　鄭文彬認(rèn)為，這類機(jī)構(gòu)多使用內(nèi)網(wǎng)、較少與外界接觸，以至于在防范意識上存在疏漏。而另一方面，這些機(jī)構(gòu)并不能保證完全隔絕互聯(lián)網(wǎng)，一旦被病毒掃描，則同樣會中毒——而只需一臺電腦被掃描，便會像人類感染病毒一般傳染到其它電腦。

　　青蓮云CEO董方告訴Xtecher：“學(xué)校使用教育網(wǎng)，教育網(wǎng)是專網(wǎng)，其特點(diǎn)為，學(xué)校的某一個(gè)網(wǎng)站被攻擊以后，會在專網(wǎng)中迅速傳播，且教育網(wǎng)防護(hù)的等級不是很高，導(dǎo)致學(xué)校成為重災(zāi)區(qū)?！?/p>

　　此外，本次被病毒感染的多是Windows系統(tǒng)，而蘋果、安卓僥幸免于災(zāi)難。

　　長亭科技CEO陳宇森告訴Xtecher：“這與系統(tǒng)優(yōu)劣并無關(guān)系。此次攻擊是利用Windows漏洞進(jìn)行，對其主機(jī)/服務(wù)器運(yùn)行在 445 端口的 SMB 服務(wù)進(jìn)行攻擊，所以中招的都是Windows系統(tǒng)。微軟官方3月份陸續(xù)發(fā)布不同版本的系統(tǒng)補(bǔ)丁，就在13號下午，還專門針對XP和2003系統(tǒng)發(fā)布了特別補(bǔ)丁。”

　　不過華為云安全負(fù)責(zé)人婁偉峰認(rèn)為，從經(jīng)濟(jì)利益的角度看，微軟的用戶遠(yuǎn)大于蘋果的用戶，因此成了被攻擊的原因之一。

　　“這是微軟十年來出現(xiàn)的較為重大的事件，4月15號微軟已發(fā)出預(yù)警，但可能預(yù)警發(fā)方式太偏技術(shù)，以至大家沒看懂被攻擊的后果是什么。” 青蓮云CEO董方告訴Xtecher。

　　那么，這樣一次攻擊范圍波及全球，涉及金融、醫(yī)療、鐵路、能源、教育系統(tǒng)等終端的病毒，究竟從何而來?

　　病毒從何而來?

　　此次“永恒之藍(lán)” 變異的勒索蠕蟲，是NSA網(wǎng)絡(luò)軍火民用化的全球第一例。

　　早在4月14日，自稱“影子經(jīng)紀(jì)人”(Shadow Brokers)的黑客團(tuán)體泄露出一份震驚世界的機(jī)密文檔，其中包含了多個(gè)Windows 遠(yuǎn)程漏洞利用工具，可以覆蓋全球70% 的Windows 服務(wù)器，影響程度極其巨大，但國內(nèi)諸多政府、高校等機(jī)構(gòu)并沒有引起足夠的重視。

　　華為高級安全專家婁偉峰告訴Xtecher：“影子經(jīng)紀(jì)人” (Shadow Brokers)攻破了NSA(美國國家安全局)網(wǎng)絡(luò)，拿到其中一個(gè)叫“方程式”的黑客組織的大量軍用級別黑客工具，ShadowBrokers將其中一個(gè)黑客工具做成“永恒之藍(lán)”，而這次的勒索軟件正是“永恒之藍(lán)”的變種。

　　而據(jù)360安全首席工程師鄭文彬猜測，之前美國軍方使用黑客技術(shù)攻擊中東銀行，而此前美國政府對敘利亞進(jìn)行轟炸，導(dǎo)致了黑客的不滿，繼而盜出此技術(shù)，以示威脅。

　　黑客使用勒索軟件由來已久，但大多數(shù)病毒軟件勒索的贖金都是法幣、電子匯款、預(yù)付卡等手段收取。但這次病毒勒索事件，黑客似乎蹭了比特幣熱點(diǎn)。

　　為何使用比特幣作為贖金?

　　深圳招股科技聯(lián)合創(chuàng)始人程超告訴Xtecher：比特幣作為一種匿名轉(zhuǎn)賬的數(shù)字資產(chǎn)，其匿名特性成為黑客首要看重的特性。比特幣地址是一串英文字符亂碼，不綁定任何用戶信息，所以單純從比特幣地址無法追蹤到用戶信息，這讓黑客可以更簡單地規(guī)避追捕和監(jiān)管。

　　而網(wǎng)上不少觀點(diǎn)認(rèn)為后續(xù)黑客有可能放棄大額勒索，因?yàn)橐坏┐罅勘忍貛帕魅朐摵诳唾~戶，有可能導(dǎo)致其行為軌跡被追蹤。然而，360安全首席工程師鄭文彬表示，基于比特幣的勒索，很難查找蹤跡，要想抓到黑客幾乎不可能。

　　事件發(fā)生后，網(wǎng)絡(luò)熱議，認(rèn)為比特幣不可追蹤性、隱蔽性，給了黑客團(tuán)伙提供了一個(gè)便捷作案工具。

　　這件事是否要怪比特幣?

　　程超認(rèn)為，本次勒索事件，比特幣背了一個(gè)黑鍋——即便沒有比特幣，黑客也會使用其它幣種。當(dāng)然，比特幣也確實(shí)存在缺乏監(jiān)管的問題，如果比特幣交易所加強(qiáng)身份信息審核，將會增加黑客變現(xiàn)難度。當(dāng)然，一旦比特幣使用實(shí)名制，黑客也會尋找其他虛擬貨幣作為贖金。

　　威客安全CEO陳新龍告訴Xtecher：雖然可以查到比特幣流通的錢包信息，但是錢包信息是匿名的，因此無法追蹤這個(gè)錢包屬于誰。理論上來講，可以通過技術(shù)手段找到錢包背后的人，但極為困難，目前僅是理論階段。

　　當(dāng)然，比特幣，作為一個(gè)新事物，不應(yīng)該游離于法外之地，應(yīng)輔以適當(dāng)監(jiān)管，保證行業(yè)穩(wěn)定有序發(fā)展。2017年6月，中國將會出臺比特幣監(jiān)管相關(guān)法律，或?qū)⒃谝欢ǔ潭壬献尡忍貛琶獗澈阱仭?/p>

　　無論將來比特幣如何接受監(jiān)管，就目前而言，眼下人們似乎更為關(guān)心自己被病毒加密的文件該如何處理。

　　亡羊補(bǔ)牢：預(yù)防為主

　　NSA作為美國政府機(jī)構(gòu)中最大的情報(bào)部門，在美國大片中，該部門似乎無所不能，但目前似乎尚未拿出對策，更遑論我等普通大眾。

　　網(wǎng)絡(luò)安全專家劉博士告訴Xtecher：普通小白用戶除了按照推薦設(shè)置開啟系統(tǒng)防火墻、打開系統(tǒng)更新、安裝殺毒軟件、不訪問可疑網(wǎng)絡(luò)內(nèi)容、小心使用可插拔存儲之外，似乎沒什么可做的。

　　威客安全CEO陳新龍認(rèn)為，高手在民間，不會只能束手就擒，大眾要做的是保護(hù)好自己的個(gè)人財(cái)產(chǎn)安全，資金分類，分形態(tài)存放。

　　那么，對于被勒索軟件加密的文件該如何處理?

　　杰思安全創(chuàng)始人劉春華表示，一旦文檔被加密，如果黑客不提供解密的密碼，則無法解密文檔。

　　所以，那些高校在寫論文的孩子們，請老老實(shí)實(shí)重新寫一遍!當(dāng)然也可選擇給對方發(fā)去贖金，不過黑客很有可能會撕票。

　　當(dāng)然，一個(gè)重要的破解信息或許已經(jīng)出現(xiàn)。

　　目前，網(wǎng)絡(luò)上爆出已有專家查找出一個(gè)異常域名，網(wǎng)絡(luò)安全專家注冊該域名后，如果病毒能成功訪問這個(gè)域名，就會停止攻擊。

　　這個(gè)異常域名是：

　　www。iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com

　　對此，婁偉峰表示：由于不知道消息出處，消息并不靠譜，具體以病毒產(chǎn)商樣本分析為主。

　　威客CEO陳新龍表示，域名確實(shí)是一個(gè)重要的破解信息，如果無法與域名通訊，還是會被感染。且后續(xù)病毒可能有新的變種，攻擊甚至更猛烈，只是互聯(lián)網(wǎng)上的傳播被遏制，如果域名被劫持，還會繼續(xù)破壞。

　　360安全首席工程師鄭文彬表示，這件事情，敲響了大眾“做好備份”的警鐘。

　　不過，即便有備份，也不一定百分百安全，尤其是對高校、政府等機(jī)構(gòu)。

　　陳新龍告訴Xtecher：對于此次攻擊，即便政府有備份，但多數(shù)是離線備份，實(shí)時(shí)的業(yè)務(wù)數(shù)據(jù)一旦故障就無法更新，公共信息的服務(wù)基本都是動態(tài)的，所以大家誤以為不能使用。此外，觸發(fā)備份任務(wù)時(shí)，會涉及網(wǎng)絡(luò)鏈接，許多備份策略基于445端口，因此源文件及備份文件會一并感染。

　　當(dāng)然，如果早期就打好補(bǔ)丁，做好預(yù)防，這次就可以幸免于難。

　　互聯(lián)網(wǎng)安全攻防，就像人類對于病菌的攻防，華為高級安全專家婁偉峰給出了一些建議：

　　對于Onion、WNCRY這類混合型病毒的威脅，可通過訪問控制手段，如防火墻，限制135、445等高位端口對內(nèi)訪問。通過郵件安全網(wǎng)管、WEB防火墻，嚴(yán)格過濾從互聯(lián)網(wǎng)到內(nèi)網(wǎng)的一切傳播手段和郵件附件，徹底切斷傳播途徑;

　　通過沙箱工具進(jìn)行啟發(fā)式深度檢測，比如使用華為的Firehunter來對未知威脅乃至APT進(jìn)行深度檢測，監(jiān)控傳染源，及時(shí)切斷病毒傳播，再在核心交換，接入交換機(jī)上屏蔽掉一切高危端口;

　　最后，要有統(tǒng)一的終端安全工具，在終端上再次屏蔽高危的端口訪問，并通過統(tǒng)一的補(bǔ)丁管理，及時(shí)打上最新的針對于MS17-010的補(bǔ)丁，通過縱深防御、層級聯(lián)動的方式實(shí)現(xiàn)企業(yè)級安全的立體防護(hù)。

　　靜觀其變

　　1983年，凱文米特尼克因被發(fā)現(xiàn)使用一臺大學(xué)內(nèi)部電腦，擅自進(jìn)入Internet的前身ARPA網(wǎng)，并通過該網(wǎng)入侵美國五角大樓電腦，而被判管教6個(gè)月。這一事件成為黑客攻擊的開山之作。

　　更可怕的是，黑客攻擊手段曾出不窮：80年代的主流攻擊方式是密碼猜測、破解等;90年代是會話劫持、后門入侵等;2010年左右主要是遠(yuǎn)程控制、DDoS攻擊、SQL注入等;2010年后主要是APT攻擊、移動終端、云攻擊等。

　　杰思安全創(chuàng)始人劉春華表示：全世界黑客這兩年的收益，是過去的5到10倍。黑客行為的逐利性帶來黑產(chǎn)的異?；钴S，各種黑客勢力分工明確，形成完整合作鏈條，攻擊目標(biāo)和手段更加精準(zhǔn)。

　　在這種表面上的平靜之中，以竊密、預(yù)制為目的的APT攻擊，則由于其是高度隱秘的、難以為IT管理者感知到的攻擊，始終未能得到足夠的重視。

　　沒有引起足夠的重視，或許也是導(dǎo)致本次全球大范圍網(wǎng)絡(luò)遭受攻擊的原因。

　　而對于此事后續(xù)發(fā)展?fàn)顟B(tài)如何，360安全首席工程師鄭文彬認(rèn)為“還很難預(yù)測”，只能等待黑客的下一步動作。

　　互聯(lián)網(wǎng)正從PC時(shí)代走向移動時(shí)代，手機(jī)也將同樣面臨巨大的安全考驗(yàn)。劉春華表示，未來移動智能終端安全將涉及各個(gè)方面，安全問題遵循“木桶效應(yīng)”，解決一部分問題，不代表移動終端安全問題就得到了解決。

　　移動安全是一個(gè)生態(tài)圈，需大家共同努力，只有企業(yè)、應(yīng)用市場、終端廠商、個(gè)人用戶各方一起攜手提高安全意識，才能最終建立并不斷優(yōu)化移動智能終端的安全生態(tài)鏈。

　　此外，業(yè)務(wù)應(yīng)用云端化，帶來了新一輪生產(chǎn)效率的提高，云的出現(xiàn)，是一次IT業(yè)務(wù)模式的重大變革，也讓為其提供支撐保障的安全體系，面臨著新的挑戰(zhàn)。除了云服務(wù)商提供一定的安全保障外，使用云端的客戶更要有防范意識，而非將安全交于他人之手。

　　道高一尺魔高一丈，網(wǎng)絡(luò)沒有絕對安全。威客安全CEO陳新龍認(rèn)為，日后通過加密進(jìn)行勒索的方式會層出不窮，取消隱蔽支付與變現(xiàn)，是遏制這類事件發(fā)生的關(guān)鍵，安全防御能力的自動化防御將是趨勢。

　　人工反應(yīng)速度無法趕上機(jī)器傳播速度，這次事件各個(gè)國家將高度重視，帶來的世界級的影響也將給各類人群敲響警鐘，網(wǎng)絡(luò)安全戰(zhàn)略將走向一個(gè)新高度。（編輯：肖順蘭）

　　本文來自“Xtecher”，