WannaCry勒索病毒考验了谁？

【赛迪网讯】十年平静一朝打破！2017年5月12日开始，一个名为WannaCry（中文译名：想哭）的勒索蠕虫病毒在全球大范围蔓延。目前已有100多个国家和地区的数万台电脑遭该勒索病毒感染，我国部分Windows系列操作系统用户已经遭到感染。

从目前看，教育、医疗是受害最为严重的两个大行业。英国部分医院因数据被勒索软件控制而无法正常运营；部分学生电脑上的资料文档被锁，有些学生甚至面临毕业论文无法打开的悲惨境遇。另外，能源、医疗及部分个人用户已经遭受到勒索软件的控制，网络攻击已经致使企业级用户业务被迫停止，损失巨大。

勒索病毒与蠕虫融合 开启新病毒类型

事实上，勒索病毒并不是新东西，但这次具备了蠕虫的特点，可以远程控制，通过系统漏洞进行传播。事实证明，勒索与蠕虫融合，威力巨大。据悉，美国军方NSA花费巨大代价研发的网络“核武器”遭到泄漏，绝非仅仅是WannaCry一款。WannaCry的影响力将刺激黑客继续开发新病毒类型。另一方面也说明，黑客已从单纯“炫技”转变至“图财”。

为何过去的十年风平浪静？亚信安全专家认为，过去十年系统并无高端漏洞，黑客也没有安全的套现方法，只在暗地里小规模的赚钱。现在来看，比特币支付方法安全，又有NSA泄漏的“存货”，难怪WannaCry如此猖獗，黑客甚至叫嚣还有其他病毒可以放出。

用户与安全厂商均要反思  推诿责任极不负责任

当WannaCry爆发的时候，部分安全厂商跳出来埋怨用户，认为早已预警，是用户没有重视，没有及时打补丁，没有制定安全策略，管理太混乱……。

虽然说三分靠技术，七分靠管理，但就国内目前流程配套缺失的现状来说，事后应急在激烈的攻防对抗下很难奏效，仍然要靠新技术研发在事前抵御住攻击。亚信安全认为，安全企业需要给用户更快的解决办法，而不是推诿责任。

即便在大战之初，已可以看清三个问题。第一，事实证明，内网（专网）等物理隔离的网络并不安全，只要有一台连接过外网感染病毒，通过Windows一样感染其他内网电脑。第二，这次微软的补丁来得还算及时，但后期接入的病毒，微软恐怕就没有这么幸运了。第三，安全厂商没有安全规则，需要有新技术防御。

网络安全厂商面临“大考” 是骡子是马拉出来溜溜

全球企业和个人均笼罩在威胁之下，黑客与安全厂商的攻防大战拉开序幕。对于购买了安全产品和服务的用户们来说，是骡子是马？终于有机会拉出来验验了。就像买保险，真出了事才知道管不管用。因此，为了防住WannaCry，多少安全企业夜以继日，不敢有丝毫松懈。

记者为此也多方联系安全厂商沟通事态进展。其中，亚信安全方面公布了他们对事态的监控和应急处理方式：

5月12日下午3点，亚信安全接到第1起某省级运营商的报案

5月12日下午3点10分，亚信安全即时向全国用户发布预警&措施

5月12日，确保所有用户产品/配置到位，免受威胁

5月13日，为运营商、公安、学校、医院、银行等>100家客户提供现场PSP服务，确保所有客户免遭勒索

5月13日，联合权威机构和政府向公众发布安全预警及解决方案

5月13日，与四川公安共同发布勒索病毒预警

5月13日，与国家计算机病毒应急处理中心推荐用户下载专杀工具

病毒爆发期间，亚信安全获悉勒索病毒的传播与域名“www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com”有关以后，亚信安全DNS团队第一时间联系了由亚信安全承建全国20多个省级运营商，并对DNS解析日志进行了针对性的分析。分析结果表明，在病毒发作的高峰期12-14日期间，多省的运营商DNS均有该域名的请求，请求总量在1000次上下，多的达到1500次。详细分析结果发现，得益于亚信安全为运营商承建的错误域名重定向系统，所有请求得到了解析成功的响应，客观上避免了病毒的二次传播。从时间上看，12-14号，该域名的请求量呈下降趋势，极大的减少了运营商客户的损失。

5月14日零点，再次确认所有部署亚信安全通过以机器学习技术为核心的桌面安全解决方案OfficeScan11SP1的用户，全部幸免WannaCry的勒索。

相比WannaCry的猛烈攻击，亚信安全比较安稳的陪着客户一起度过了难关，就像亚信安全通用安全产品管理副总经理刘政平所说：“客户没有被攻破，我们的确没有太多故事可以讲。”

预防变种和新病毒提上日程  手机和物联网将成为下一攻击目标

这波病毒的攻击并没有停止，对安全厂商来说，预防变种和新病毒立即提上日程。就在16日，亚信安全再次截获最新勒索病毒UIWIX，并将其命名为Ransom_UIWIX.A。与WannaCry/Wcry勒索病毒相似之处，都是利用NSA泄露的Microsoft Windows SMB Server(MS17-010) 漏洞传播。区别在于创建的互斥量有变化；加密的名称改变了；没有域名开关。感染方式是由其它恶意程序生成或者用户访问恶意网址不经意下载感染本机。

亚信安全建议使用WannaCry/Wcry勒索病毒免疫工具（同样适用于UIWIX勒索病毒），该工具可以关闭勒索病毒利用漏洞服务及445端口，还可以下载MS17-010对应的补丁程序。

病毒攻防战总是一波未平一波又起。从“人上网”到“物上网”，当数百亿级的设备联网后，如果爆发类似的病毒或者更新的病毒，后果简直难以想象。手机安全和物联网安全将是现在和未来最为关键的领域，攻防战也将开辟新领地。

数据恢复不等于解密

针对本次爆发的勒索蠕虫WannaCry, 到目前为止还没有公布私钥，而从黑客采用的加密技术原理来讲，除非拿到对称密钥，否则无法实现解密。亚信安全技术支持中心测试发现：目前，能减少客户损失的方法只有通过数据恢复技术，而非解密技术来还原数据。

近期，网上流传一些“解密方法”，甚至有人说病毒作者良心发现，已经公布了解密密钥，通过验证，这些都是谣言。亚信安全建议广大公众，轻信谣言的结果，还可能面临“二次中毒”的风险。

在尝试恢复数据的测试中，亚信安全技术支持中心测试了两个操作系统、若干病毒样本，多种数据恢复软件，测试结果一致。结论是：桌面文件无法恢复。系统盘文件可部分恢复，但恢复难度较大。其他盘符内的文件容易被恢复，且被恢复的可能性较大。建议受到WannaCry感染的客户，请优先恢复D，E等其他盘符内的文件，对系统盘内的文件用户请选择性恢复。