2017年5月12日,一個名為「WannaCry」的勒索病毒突然在全球網絡範圍內大面積肆虐。在我國,包括機場、銀行、加油站、醫院、公安、出入境等機構均受到影響,電腦文件遭加密,只有在規定的時間內繳納贖金,方能破解。備份、殺毒、恢復成了各類科普文和技術貼的高頻詞彙。
(電腦中毒後屏幕上跳出來的勒索信)
在勒索病毒發生後的96小時內,騰訊電腦管家安全團隊第一時間推出相關的感染風險診斷和免疫工具,並通過技術攻關,研發了勒索病毒專殺工具和文件恢復工具,受害用戶下載使用後,被鎖定的文件有相當大的可能失而復得。快速響應病毒治理的背後,既是騰訊電腦管家安全技術實力的體現,也是其對億萬用戶網絡安全的承諾。在這場席捲全球的抗勒索病毒戰役中,騰訊安全團隊吹響了先鋒號。
「WannaCry」勒索病毒席捲全球,國內疫情可控
此前,有媒體報導稱,在這次勒索病毒攻擊中,英國最早受到攻擊,受創最嚴重的是英國醫療體系,大量病患信息無法查詢、電話斷線、就診無法預約,而全球超過10萬家組織和機構被比特幣勒索病毒攻陷。在中國,生活服務、商業中心、交通運輸、醫療和一些政府、事業單位的電腦也遭遇攻擊。值得注意的是,醫院的日常運行依賴於網絡,系統中包括病人重要數據,一旦醫院網絡系統出現紕漏導致無法正常運作,將極有可能危及病患生命,而生活、商業、政府等部門的電腦被攻擊可能影響民眾的正常生活。
實際上,此次「WannaCry」勒索病毒的爆發早有前兆。早在今年3月,微軟就發布了相關補丁並發出了安全提醒,而騰訊反病毒實驗室及騰訊電腦管家安全團隊也第一時間做了用戶提醒和防禦舉措,而此前已經升級補丁的好用戶並不會遭受此次「WannaCry」勒索病毒的侵害。
(騰訊安全反病毒實驗室96小時勒索病毒監控圖)
得益於騰訊電腦管家針對用戶提供的全面防禦舉措,國內真正被此次勒索病毒感染的用戶有限。200個受害者付款,價值37W人民幣的比特幣被轉到黑客帳戶。與全球中毒用戶規模來看,這僅僅是非常小的一個支付比例。
病毒樣本已啟動「進化模式」,「想哭」變身「想妹妹」
雖然WannaCry勒索病毒的傳播蔓延已經得到了有效控制,但騰訊反病毒實驗室研究發現,WannaCry勒索病毒似乎已經啟動了「進化模式」,在接下來的幾周內可能會出現更多的變種。Heimdal Security研究人員宣稱已經發現多個開關被修改的木馬變種,騰訊反病毒實驗室也證實了變種的存在。
(騰訊反病毒實驗室跟進病毒樣本進化分析)
5月16日,騰訊反病毒實驗室及時響應此次攻擊事件,搜集相關信息,初步判斷WannaCry病毒在爆發之前已經存在於網際網路中,並且病毒目前仍然在進行變種。在監控到的樣本中,發現疑似黑客的開發路徑,有的樣本名稱已經變為「WannaSister.exe」,從「想哭(WannaCry)」變成「想妹妹(WannaSister)」,而且這個樣本應該是病毒作者持續更新,用來逃避殺毒軟體查殺的對抗手段。
就目前掌握的信息,自 5月12 日病毒爆發以後,病毒樣本出現了至少 4 種方式來對抗安全軟體的查殺,這也再次印證了WannaCry還在一直演化,包括加殼、偽裝、偽造數字籤名等手段。但不幸的是,即便WannaCry如何演變,目前都逃不過騰訊電腦管家的「防火牆」,用戶只要及時升級補丁就不會中招。
於此同時,騰訊安全反病毒實驗室還追蹤到了WannaCry病毒新的入侵手段。WannaCry勒索病毒開始利用捆綁正常軟體進行傳播,目前已經確認,部分下載器安裝包被黑客捆綁勒索病毒,後續可能會出現類似軟體捆綁。目前該變種已經被騰訊電腦管家攔截。
付贖金可解鎖?WannaCry勒索病毒已被「黑吃黑」
騰訊反病毒實驗室對病毒作者提供的比特幣帳戶進行監控,發現截至發稿為止已有約200個受害者付款,價值37W人民幣的比特幣被轉到黑客帳戶。而對於更多的受害者來說,目前面臨的一個重要的問題,就是該不該付贖金。
經過分析,WannaCry病毒提供的贖回流程可能存在一個讓受害者更加悲慘的漏洞,支付贖金的操作是一個和計算機弱綁定的操作,並不能把受害計算機的付款事實傳遞給黑客。通俗點說,即使黑客收到了贖金,他也無法準確知道是誰付的款,該給誰解密。比特幣勒索的受害者對於支付贖金一定要慎重考慮,對於通過付款贖回被加密的文件,不要抱太大的期望。
更令人絕望的是,經過對比特幣勒索變種持續監控,分析人員還發現了「黑吃黑」的現象,有其他黑客通過修改「原版Wannacry」比特幣錢包地址,做出了「改收錢地址版Wannacry」重新進行攻擊。而這一部分新的受害者支付的贖金,都進修改者的錢包,他們文件也基本不可能贖回了,因為他們「付錯對象了」。這裡不免讓人思考,所謂的「爆發版Wannacry」作者是否也是通過修改別的黑客的錢包,而發起的這次攻擊呢?不得而知,如果真是這樣,也許付款的受害者只能等到海枯石爛了。
馬勁松提醒,即便不幸遭遇勒索病毒,也不建議向黑客組織支付贖金。騰訊電腦管家已經推出了文件恢復工具,用戶在被鎖第一時間使用工具,可以最大限度恢復文件,減少損失。
WannaCry勒索病毒不會感染手機,但絕不可掉以輕心
而針對網絡上流傳的關於「升級版勒索病毒侵犯手機」的說法,騰訊安全反病毒實驗室負責人馬勁松表示,手機上確實也出現過類似勒索病毒,但並沒有證據證實跟這次勒索病毒事件有關係。也就是說,WannaCry病毒基於Windows系統傳播,智慧型手機並不會受到影響。騰訊手機管家很早就截獲了手機勒索病毒樣本並具備了查殺能力,用戶可以放心使用。
然而,廣大網民絕對不可掉以輕心。最新情報顯示,洩露了WannaCry病毒所使用漏洞的黑客組織警告稱,將發布更多的惡意代碼,使黑客可以攻擊全球最廣泛使用的計算機、軟體和手機。該組織在博客中表示,從6月份開始,每月將發布工具。任何人只要願意付費,就可以獲得科技行業最重大的商業秘密。
對此,馬勁松表示,對抗黑產是一場漫長的戰役,騰訊安全團隊已經做好了戰鬥準備。WannaCry爆發之際,騰訊電腦管家第一時間關注,並針對用戶反映的問題,進在較短的時間內提供解決方案,為用戶提供全方位保護,包括勒索病毒免疫工具、文檔守護者工具、文件恢復工具等,因其防禦病毒的有效性及文件恢復成功率高,成為抗擊勒索病毒的最有效武器,被公安部、全國百所高校及三大運營商等官方推薦使用工具。
(騰訊電腦管家推出「勒索病毒免疫工具」)
(騰訊電腦管家「文檔守護者工具」)
(公安部、全國百所高校推薦騰訊電腦管家防護方案)
目前,抗擊勒索病毒的黃金96小時已經過去,但WannaCry的安全警報尚未完全解除。騰訊安全團隊仍奮鬥在抗擊病毒的第一線,為網民提供最有力的安全保障。針對此次勒索病毒事件,騰訊電腦管家提醒廣大用戶強化網絡安全意識,保持騰訊電腦管家實時開啟狀態,及時更新系統等。