互聯(lián)網(wǎng)“生化危機”

　　戲劇般的場景正在由0和1組成的二進制世界中發(fā)生，離奇程度堪比電影。WannaCry來勢洶洶，可能會成為有史以來危害最大的蠕蟲病毒。騰訊安全團隊將WannaCry的傳播方式和影響力與此前聲名大噪的“沖擊波”、“Conficker”對等。

　　沖擊波病毒(W32.Blaster.Worm)是利用在2003年7月21日公布的RPC漏洞進行傳播的，該病毒于當年8月爆發(fā)，由于沖擊波病毒肆虐全球，部分運營商在主干網(wǎng)絡上封禁了445端口。五年后，Conficker蠕蟲病毒于2008年“襲”卷全球的，當時有近200個國家的至少900萬臺電腦被感染。Conficker爆發(fā)后近十年的平靜隨著WannaCry的發(fā)作被打破，騰訊安全團隊介紹，WannaCry與“沖擊波”、“Conficker”不同的地方在于，其危害程度遠超當時的病毒，因為該病毒會加密用戶機器上的所有文檔，損失相當慘重。

　　幾乎所有互聯(lián)網(wǎng)安全團隊們都在通宵加班，病毒傳播速度非?？欤踩珜＜覀儽仨殸幦r間。WannaCry的作者看上去野心勃勃，據(jù)了解，其設置了27國語言，這并不常見。肖新光介紹，最早的勒索者就用英文版，后來逐漸的擴散到不同的國家，為了獲得更大的收益，從語言包的數(shù)量上對勒索軟件來說是比較多的，是一個漸進的過程。但27種語言仍舊是不同尋常的。李鐵軍對記者介紹，很長時間以來，勒索病毒都支持多國語言，但一般的勒索病毒支持的語言為6、7種，大部分在10種以內(nèi)，“這個版本支持的語言真多?！?/p>

　　中文版本中，WannaCry以流暢的表述威脅著中毒用戶：“對半年以上沒錢付款的窮人，會有活動免費恢復，能否輪到你，就要看您的運氣怎么樣了?！睂τ谥形慕馕隽鲿呈欠褚馕吨《咀髡呖赡軄碜灾袊牟聹y，安全專家們分析WannaCry有可能是團隊作案，團隊成員可能遍布不同國家。據(jù)騰訊安全團隊介紹，目前來看受WannaCry危害最大的應是俄羅斯。

　　WannaCry的實際傳播情況確實沒有辜負其精心準備的27種語言，目前，已經(jīng)有近百個國家遭遇病毒攻擊。蠕蟲病毒的特性是WannaCry得以迅速傳播的重要原因，與其他病毒相比，蠕蟲病毒的傳播速度要快太多，因為病毒自身可以尋找傳播下一個可攻擊的目標。WannaCry得以獲得如此快速傳播的另一個重要原因在于，采用了前不久美國國家安全局NSA被泄漏出來的MS17-010漏洞。

　　在肖新光看來，WannaCry得以產(chǎn)生如此傳播效果的主要原因在于“使用了一個較新的對多個Windows版本有通吃能力的遠程溢出漏洞，這一漏洞本來是情報機構(gòu)高度隱秘網(wǎng)絡軍火，但因失竊流失導致被多方利用?！币虼耍ば鹿鈱annaCry事件的定義是“軍火級的漏洞被以非受控的方式使用。”美國國家情報機關(guān)的涉入讓WannaCry變得更加復雜，國家權(quán)力機關(guān)的涉入已經(jīng)引發(fā)外界對網(wǎng)絡安全的擔憂，逃亡至俄羅斯的NSA前雇員愛德華·斯諾登5月13日發(fā)布推特建議國會質(zhì)詢NSA，“鑒于今日的攻擊，國會需要質(zhì)詢@NSAgov，看它是否還知道我們醫(yī)院所使用的軟件中還有其他漏洞?！?/p>

　　沒有人希望電影生化危機中由部分決策機構(gòu)私利驅(qū)動造成的災難在互聯(lián)網(wǎng)世界重復上演。

　　貓鼠游戲

　　WannaCry具備了一款超級病毒應有的特點：神秘、快速以及嚴重的破壞。終止這場貓鼠游戲是網(wǎng)絡安全專家們的共同目標。“估計全球安全人員都想把病毒作者扒出來。”李鐵軍對記者說道。

　　采集樣本、進行分析、形成對策建議是安全團隊們的基本應對模式。騰訊安全團隊在5月12日下午2點多感知到這波蠕蟲病毒、晚上開始爆發(fā)后，第一時間對敲詐者病毒進行了攔截防御、對漏洞進行了防御，同時引導用戶去打補丁、關(guān)閉高危端口(445端口等)，并推出了“文檔守護者”產(chǎn)品;5月14日推出了針對易感的企業(yè)客戶推出了一個電腦管家“管理員助手”診斷工具。

　　監(jiān)測到WannaCry病毒發(fā)作的當天即5月12日晚間八點，安天實驗室立刻啟動了A級即最高級災難響應，此前的同級別病毒或安全疫情有紅色代碼、震蕩波、沖擊波、破殼等。啟動了A級災難響應后，安天實驗室首先派出一部分人員去現(xiàn)場采集病毒樣本、觀測主機和網(wǎng)絡現(xiàn)象，涉及十個不同的行業(yè)，因需保護客戶隱私，安天實驗室未透露中毒的具體企業(yè)名稱。情況顯然相當嚴重，實際上，并非每一次病毒爆發(fā)都需要實驗室研發(fā)人員前往現(xiàn)場采集樣本，肖新光介紹，上一次出現(xiàn)大面積類似操作的針對IoT僵尸網(wǎng)絡進行的取證分析。而研發(fā)人員現(xiàn)場采集回來的樣本接近30個，包含母體和釋放的文件。

　　采集樣本的同時，研發(fā)人員進行后臺分析、樣本分析，另一部分研發(fā)人員則形成對策建議、應急方案，開發(fā)分析、免疫工具。

　　金山毒霸研發(fā)團隊同樣一直在加班，抓緊分析病毒，開發(fā)免疫工具，提供應急補丁，升級了毒霸的防御系統(tǒng)。

　　由于事件出現(xiàn)在周末，當前來看后果還沒有完全體現(xiàn)出來，隨著周末過后的工作日來臨，病毒傳播進一步發(fā)展的風險很高。尤其高校、企業(yè)、政府機關(guān)等內(nèi)網(wǎng)用戶仍屬于高危感染人群，因此，對安全團隊們而言，當前最緊要的任務是保證行業(yè)用戶在周一開機投入使用的時候規(guī)范化操作，能夠盡量的去減少損失。

　　為此，包括騰訊安全團隊、安天實驗室在內(nèi)的安全團隊已經(jīng)推出了針對周一開機的解決方案。此前騰訊電腦管家已經(jīng)發(fā)布“勒索病毒免疫工具”及“勒索病毒免疫工具離線版”，用戶只要掌握正確處置方法，通過電腦管家勒索病毒免疫工具，就可以加固電腦以免被感染。對于企業(yè)而言，如果管理員在不確定電腦是否被感染的情況下，可以使用騰訊電腦管家的“管理員助手”診斷工具進行檢測。下載后，輸入目標電腦的IP或者設備名稱，即可診斷目標電腦是否存在被感染勒索病毒的漏洞，可在診斷報告的指導下，對尚未打補丁的健康設備及時打補丁、布置防御。

　　然而在加密可破解性、可恢復性到底有多大、這個病毒能不能進行有效的溯源等問題上，目前全球安全專家還沒有實質(zhì)性的突破。

　　隨著WannaCry變種的預警出現(xiàn)，可以預見，短期內(nèi)安全專家們與病毒作者間的貓鼠游戲還將持續(xù)一段時間?；诖?，安全專家們普遍建議用戶們應該及時安裝系統(tǒng)補丁，打開主機防火墻，關(guān)閉不使用的服務和端口，及時升級病毒庫。

　　騰訊安全反病毒實驗室負責人馬勁松表示，雖然目前監(jiān)控到的數(shù)據(jù)并沒有完全證實WannaCry2.0勒索病毒已經(jīng)來襲，但出現(xiàn)新變種的可能性非常大，廣大用戶務必強化網(wǎng)絡安全意識，陌生鏈接不點擊，陌生文件不要下載，陌生郵件不要打開，電腦安裝并開啟殺毒軟件。

　　由WannaCry帶來的反思已經(jīng)在進行，李鐵軍認為，“WannaCry影響比較大，應該說對所有人上了一課。網(wǎng)民幾乎已經(jīng)忘了電腦病毒這個東西，以為自熊貓燒香后，病毒已經(jīng)不見了。其實，不是病毒不見了，而網(wǎng)民看不見而已。病毒一直都在，龐大的黑色產(chǎn)業(yè)鏈越來越專業(yè)，隱藏越來越深，也基本上不破壞系統(tǒng)，目標只是賺錢。網(wǎng)民看不見了。開始以為病毒都是安全廠商瞎忽悠。所以，這個病毒事件，會讓網(wǎng)民重新警覺起來。一定會對中國的網(wǎng)絡安全產(chǎn)生正面影響?！?/p>

　　肖新光眼中，刻意強調(diào)是惡意的攻擊行為來推動了安全的進步，這個價值觀是有問題的，但“從規(guī)律性來看，人類歷史上所有的巨大災難都是以巨大進步為補償。