直擊騰訊電腦管家對(duì)抗勒索病毒96小時(shí)

　　2017年5月12日，一個(gè)名為“WannaCry”的勒索病毒突然在全球網(wǎng)絡(luò)范圍內(nèi)大面積肆虐。在我國(guó)，包括機(jī)場(chǎng)、銀行、加油站、醫(yī)院、公安、出入境等機(jī)構(gòu)均受到影響，電腦文件遭加密，只有在規(guī)定的時(shí)間內(nèi)繳納贖金，方能破解。備份、殺毒、恢復(fù)成了各類科普文和技術(shù)貼的高頻詞匯。

　　(電腦中毒后屏幕上跳出來(lái)的勒索信)

　　在勒索病毒發(fā)生后的96小時(shí)內(nèi)，騰訊電腦管家安全團(tuán)隊(duì)第一時(shí)間推出相關(guān)的感染風(fēng)險(xiǎn)診斷和免疫工具，并通過技術(shù)攻關(guān)，研發(fā)了勒索病毒專殺工具和文件恢復(fù)工具，受害用戶下載使用后，被鎖定的文件有相當(dāng)大的可能失而復(fù)得�？焖夙憫�(yīng)病毒治理的背后，既是騰訊電腦管家安全技術(shù)實(shí)力的體現(xiàn)，也是其對(duì)億萬(wàn)用戶網(wǎng)絡(luò)安全的承諾。在這場(chǎng)席卷全球的抗勒索病毒戰(zhàn)役中，騰訊安全團(tuán)隊(duì)吹響了先鋒號(hào)。

　　“WannaCry”勒索病毒席卷全球，國(guó)內(nèi)疫情可控

　　此前，有媒體報(bào)道稱，在這次勒索病毒攻擊中，英國(guó)最早受到攻擊，受創(chuàng)最嚴(yán)重的是英國(guó)醫(yī)療體系，大量病患信息無(wú)法查詢、電話斷線、就診無(wú)法預(yù)約，而全球超過10萬(wàn)家組織和機(jī)構(gòu)被比特幣勒索病毒攻陷。在中國(guó)，生活服務(wù)、商業(yè)中心、交通運(yùn)輸、醫(yī)療和一些政府、事業(yè)單位的電腦也遭遇攻擊。值得注意的是，醫(yī)院的日常運(yùn)行依賴于網(wǎng)絡(luò)，系統(tǒng)中包括病人重要數(shù)據(jù)，一旦醫(yī)院網(wǎng)絡(luò)系統(tǒng)出現(xiàn)紕漏導(dǎo)致無(wú)法正常運(yùn)作，將極有可能危及病患生命，而生活、商業(yè)、政府等部門的電腦被攻擊可能影響民眾的正常生活。

　　實(shí)際上，此次“WannaCry”勒索病毒的爆發(fā)早有前兆。早在今年3月，微軟就發(fā)布了相關(guān)補(bǔ)丁并發(fā)出了安全提醒，而騰訊反病毒實(shí)驗(yàn)室及騰訊電腦管家安全團(tuán)隊(duì)也第一時(shí)間做了用戶提醒和防御舉措，而此前已經(jīng)升級(jí)補(bǔ)丁的用戶并不會(huì)遭受此次“WannaCry”勒索病毒的侵害。

　　(騰訊安全反病毒實(shí)驗(yàn)室96小時(shí)勒索病毒監(jiān)控圖)

　　得益于騰訊電腦管家針對(duì)用戶提供的全面防御舉措，國(guó)內(nèi)真正被此次勒索病毒感染的用戶有限。200個(gè)受害者付款，價(jià)值37萬(wàn)人民幣的比特幣被轉(zhuǎn)到黑客賬戶。與全球中毒用戶規(guī)模來(lái)看，這僅僅是非常小的一個(gè)支付比例。

　　病毒樣本已啟動(dòng)“進(jìn)化模式”，“想哭”變身“想妹妹”

　　雖然WannaCry勒索病毒的傳播蔓延已經(jīng)得到了有效控制，但騰訊反病毒實(shí)驗(yàn)室研究發(fā)現(xiàn)，WannaCry勒索病毒似乎已經(jīng)啟動(dòng)了“進(jìn)化模式”，在接下來(lái)的幾周內(nèi)可能會(huì)出現(xiàn)更多的變種。Heimdal Security研究人員宣稱已經(jīng)發(fā)現(xiàn)多個(gè)開關(guān)被修改的木馬變種，騰訊反病毒實(shí)驗(yàn)室也證實(shí)了變種的存在。

　　(騰訊反病毒實(shí)驗(yàn)室跟進(jìn)病毒樣本進(jìn)化分析)

　　5月16日，騰訊反病毒實(shí)驗(yàn)室及時(shí)響應(yīng)此次攻擊事件，搜集相關(guān)信息，初步判斷WannaCry病毒在爆發(fā)之前已經(jīng)存在于互聯(lián)網(wǎng)中，并且病毒目前仍然在進(jìn)行變種。在監(jiān)控到的樣本中，發(fā)現(xiàn)疑似黑客的開發(fā)路徑，有的樣本名稱已經(jīng)變?yōu)?ldquo;WannaSister.exe”，從“想哭(WannaCry)”變成“想妹妹(WannaSister)”，而且這個(gè)樣本應(yīng)該是病毒作者持續(xù)更新，用來(lái)逃避殺毒軟件查殺的對(duì)抗手段。

　　就目前掌握的信息，自 5月12 日病毒爆發(fā)以后，病毒樣本出現(xiàn)了至少 4 種方式來(lái)對(duì)抗安全軟件的查殺，這也再次印證了WannaCry還在一直演化，包括加殼、偽裝、偽造數(shù)字簽名等手段。但不幸的是，即便WannaCry如何演變，目前都逃不過騰訊電腦管家的“防火墻”，用戶只要及時(shí)升級(jí)補(bǔ)丁就不會(huì)中招。

　　與此同時(shí)，騰訊安全反病毒實(shí)驗(yàn)室還追蹤到了WannaCry病毒新的入侵手段。WannaCry勒索病毒開始利用捆綁正常軟件進(jìn)行傳播，目前已經(jīng)確認(rèn)，部分下載器安裝包被黑客捆綁勒索病毒，后續(xù)可能會(huì)出現(xiàn)類似軟件捆綁。目前該變種已經(jīng)被騰訊電腦管家攔截。

　　付贖金可解鎖?WannaCry勒索病毒已被“黑吃黑”

　　騰訊反病毒實(shí)驗(yàn)室對(duì)病毒作者提供的比特幣賬戶進(jìn)行監(jiān)控，發(fā)現(xiàn)截至發(fā)稿為止已有約200個(gè)受害者付款，價(jià)值37萬(wàn)人民幣的比特幣被轉(zhuǎn)到黑客賬戶。而對(duì)于更多的受害者來(lái)說(shuō)，目前面臨的一個(gè)重要的問題，就是該不該付贖金。

　　經(jīng)過分析，WannaCry病毒提供的贖回流程可能存在一個(gè)讓受害者更加悲慘的漏洞，支付贖金的操作是一個(gè)和計(jì)算機(jī)弱綁定的操作，并不能把受害計(jì)算機(jī)的付款事實(shí)傳遞給黑客。通俗點(diǎn)說(shuō)，即使黑客收到了贖金，他也無(wú)法準(zhǔn)確知道是誰(shuí)付的款，該給誰(shuí)解密。比特幣勒索的受害者對(duì)于支付贖金一定要慎重考慮，對(duì)于通過付款贖回被加密的文件，不要抱太大的期望。

　　更令人絕望的是，經(jīng)過對(duì)比特幣勒索變種持續(xù)監(jiān)控，分析人員還發(fā)現(xiàn)了“黑吃黑”的現(xiàn)象，有其他黑客通過修改“原版WannaCry”比特幣錢包地址，做出了“改收錢地址版WannaCry”重新進(jìn)行攻擊。而這一部分新的受害者支付的贖金，都進(jìn)修改者的錢包，他們文件也基本不可能贖回了，因?yàn)樗麄?ldquo;付錯(cuò)對(duì)象了”。這里不免讓人思考，所謂的“爆發(fā)版WannaCry”作者是否也是通過修改別的黑客的錢包，而發(fā)起的這次攻擊呢?不得而知，如果真是這樣，也許付款的受害者只能等到�？菔癄�了。

　　騰訊安全專家馬勁松提醒，即便不幸遭遇勒索病毒，也不建議向黑客組織支付贖金。騰訊電腦管家已經(jīng)推出了文件恢復(fù)工具，用戶在被鎖第一時(shí)間使用工具，可以最大限度恢復(fù)文件，減少損失。

　　WannaCry勒索病毒不會(huì)感染手機(jī)，但絕不可掉以輕心

　　而針對(duì)網(wǎng)絡(luò)上流傳的關(guān)于“升級(jí)版勒索病毒侵犯手機(jī)”的說(shuō)法，騰訊安全反病毒實(shí)驗(yàn)室負(fù)責(zé)人馬勁松表示，手機(jī)上確實(shí)也出現(xiàn)過類似勒索病毒，但并沒有證據(jù)證實(shí)與這次勒索病毒事件有關(guān)系。也就是說(shuō)，WannaCry病毒基于Windows系統(tǒng)傳播，智能手機(jī)并不會(huì)受到影響。騰訊手機(jī)管家很早就截獲了手機(jī)勒索病毒樣本并具備了查殺能力，用戶可以放心使用。

　　然而，廣大網(wǎng)民絕對(duì)不可掉以輕心。最新情報(bào)顯示，泄露了WannaCry病毒所使用漏洞的黑客組織警告稱，將發(fā)布更多的惡意代碼，使黑客可以攻擊全球最廣泛使用的計(jì)算機(jī)、軟件和手機(jī)。該組織在博客中表示，從6月份開始，每月將發(fā)布工具。任何人只要愿意付費(fèi)，就可以獲得科技行業(yè)最重大的商業(yè)秘密。

　　對(duì)此，馬勁松表示，對(duì)抗黑產(chǎn)是一場(chǎng)漫長(zhǎng)的戰(zhàn)役，騰訊安全團(tuán)隊(duì)已經(jīng)做好了戰(zhàn)斗準(zhǔn)備。WannaCry爆發(fā)之際，騰訊電腦管家第一時(shí)間關(guān)注，并針對(duì)用戶反映的問題，在較短的時(shí)間內(nèi)提供解決方案，為用戶提供全方位保護(hù)，包括勒索病毒免疫工具、文檔守護(hù)者工具、文件恢復(fù)工具等，因其防御病毒的有效性及文件恢復(fù)成功率高，成為抗擊勒索病毒的最有效武器，被公安部、全國(guó)百所高校及三大運(yùn)營(yíng)商等官方推薦為專殺工具。

　　(騰訊電腦管家針對(duì)于勒索病毒推出“勒索病毒免疫工具”)

　　(騰訊電腦管家“文檔守護(hù)者工具”)

　　(公安部、全國(guó)百所高校推薦騰訊電腦管家防護(hù)方案)

　　目前，抗擊勒索病毒的黃金96小時(shí)已經(jīng)過去，但WannaCry的安全警報(bào)尚未完全解除。騰訊安全團(tuán)隊(duì)仍?shī)^斗在抗擊勒索病毒的第一線，為網(wǎng)民提供最有力的安全保障。針對(duì)此次勒索病毒事件，騰訊電腦管家提醒廣大用戶強(qiáng)化網(wǎng)絡(luò)安全意識(shí)，保持騰訊電腦管家實(shí)時(shí)開啟狀態(tài)，及時(shí)更新系統(tǒng)。