騰訊云：Petrwrap勒索病毒席卷全球，為何說(shuō)云端才是安全高地？

　　昨天，一種名為“Petya”(也有稱Petrwrap，exPetr)的新型超強(qiáng)勒索病毒再次席卷俄羅斯、英國(guó)、烏克蘭等歐洲多個(gè)國(guó)家，包括烏克蘭首都國(guó)際機(jī)場(chǎng)、烏克蘭國(guó)家儲(chǔ)蓄銀行、船舶公司、俄羅斯石油公司和烏克蘭一些商業(yè)銀行以及部分私人公司、零售企業(yè)和政府系統(tǒng)都遭到了攻擊。這是繼上個(gè)月 “WannaCry”(想哭)的網(wǎng)絡(luò)病毒肆掠全球100多個(gè)國(guó)家后，再次出現(xiàn)世界級(jí)的網(wǎng)絡(luò)病毒。

　　27號(hào)18點(diǎn)左右，騰訊云聯(lián)合騰訊電腦管家發(fā)現(xiàn)相關(guān)樣本在國(guó)內(nèi)出現(xiàn)，騰訊云已實(shí)時(shí)啟動(dòng)用戶防護(hù)引導(dǎo)。到目前為止，云上用戶尚無(wú)感染案例。騰訊云主機(jī)防護(hù)產(chǎn)品云鏡已實(shí)時(shí)監(jiān)測(cè)該蠕蟲，同時(shí)騰訊云云鼎實(shí)驗(yàn)室將持續(xù)關(guān)注該事件和病毒動(dòng)態(tài)，第一時(shí)間更新相關(guān)信息，并提醒用戶及時(shí)關(guān)注，修復(fù)相關(guān)漏洞，避免感染風(fēng)險(xiǎn)。

　　Wannacry、Petya輪番來(lái)襲，世界級(jí)網(wǎng)絡(luò)病毒將成常態(tài)

　　經(jīng)騰訊云云鼎實(shí)驗(yàn)室確認(rèn)，Petya是一種類似于“WannaCry”的勒索病毒新變種，傳播方式與“WannaCry”類似，其利用EternalBlue(永恒之藍(lán))和OFFICE OLE機(jī)制漏洞(CVE-2017-0199)進(jìn)行傳播，同時(shí)還具備局域網(wǎng)傳播手法。通過(guò)分析，發(fā)現(xiàn)病毒采用多種感染方式，其中通過(guò)郵件投毒的方式有定向攻擊的特性，在目標(biāo)中毒后會(huì)在內(nèi)網(wǎng)橫向滲透，通過(guò)下載更多載體進(jìn)行內(nèi)網(wǎng)探測(cè)。與Wannacry相比，Petya勒索病毒變種的傳播速度更快。

　　截至目前，在一些歐洲國(guó)家的重災(zāi)區(qū)，Petya已經(jīng)達(dá)到了每十分鐘感染5000臺(tái)電腦的速度。而運(yùn)營(yíng)商、機(jī)場(chǎng)、ATM更是成為了此次新病毒的聚集地。來(lái)自莫斯科的消息稱，至今已有高達(dá)80多家的公司被這種新病毒攻擊并且淪陷。

　　分析顯示，病毒樣本運(yùn)行之后，會(huì)枚舉內(nèi)網(wǎng)中的電腦，并嘗試在135、139、445等端口使用SMB協(xié)議進(jìn)行連接。同時(shí)，病毒會(huì)修改系統(tǒng)的MBR引導(dǎo)扇區(qū)，當(dāng)電腦重啟時(shí)，病毒代碼會(huì)在Windows操作系統(tǒng)之前接管電腦，執(zhí)行加密等惡意操作。電腦重啟后，會(huì)顯示一個(gè)偽裝的界面，假稱正在進(jìn)行磁盤掃描，實(shí)際上正在對(duì)磁盤數(shù)據(jù)進(jìn)行加密操作。加密完成后，病毒才露出真正的嘴臉，要求受害者支付價(jià)值300美金的比特幣贖金。

　　這是在Wannacry之后，再一次出現(xiàn)全球性的網(wǎng)絡(luò)安全危機(jī)。業(yè)內(nèi)專家表示，隨著技術(shù)的不斷發(fā)展以及全球信息一體化程度的不斷提升，對(duì)技術(shù)同樣具有天然敏感性的犯罪份子，將充分利用可能出現(xiàn)的網(wǎng)絡(luò)安全漏洞制造新的網(wǎng)絡(luò)病毒，并充分利用云、人工智能等技術(shù)讓病毒蔓延范圍更廣，危害更大。未來(lái)這也將成為一種新常態(tài)。

　　云-端部署具有御敵優(yōu)勢(shì)，云-端協(xié)同才是真安全

　　一直以來(lái)，很多人慣性認(rèn)為數(shù)據(jù)在放在自己手中(自建IDC或采用私有云部署)才是最安全，而采用第三方云服務(wù)商所提供的應(yīng)用環(huán)境，或是將數(shù)據(jù)托管在云上，總不是那么讓人放心。但是近兩次病毒的肆掠卻出現(xiàn)了完全不同于既有思維的結(jié)果：采用私有云的企業(yè)反而比采用公有云的企業(yè)受到攻擊更廣，損失更嚴(yán)重，甚至連號(hào)稱最安全的內(nèi)外網(wǎng)隔離也沒能逃過(guò)一劫。

　　“過(guò)去安全界的法寶，無(wú)論是‘修長(zhǎng)城’(找到邊界和要塞隔離、審計(jì)、控制)，還是‘搭迷宮’(制定成千上萬(wàn)的策略限制黑客)，都已經(jīng)無(wú)法應(yīng)對(duì)嚴(yán)峻的安全形勢(shì)。而云和端統(tǒng)一部署應(yīng)對(duì)措施，從時(shí)間上就更容易防御病毒侵襲。”騰訊云副總裁、騰訊社交網(wǎng)絡(luò)與騰訊云安全負(fù)責(zé)人黎巍認(rèn)為。

　　以Petya病毒攻擊為例。在Petya勒索病毒已經(jīng)確認(rèn)感染全球數(shù)十家跨國(guó)企業(yè)和政府機(jī)構(gòu)后，騰訊電腦管家安全團(tuán)隊(duì)通過(guò)溯源追蹤的方式，率先響應(yīng)預(yù)警并確認(rèn)該病毒利用EternalBlue進(jìn)行傳播，并聯(lián)合騰訊云為用戶提供了全面防御方案，用戶更新windows系統(tǒng)補(bǔ)丁、開啟騰訊電腦管家防護(hù)、騰訊云用戶請(qǐng)確保安裝和開啟云鏡主機(jī)保護(hù)系統(tǒng)，均可防御病毒攻擊。

　　“云上用戶能獲得的實(shí)時(shí)情報(bào)預(yù)警，聯(lián)防聯(lián)控和風(fēng)險(xiǎn)應(yīng)對(duì)指引是云端御敵的優(yōu)勢(shì)，騰訊云和電腦管家覆蓋云到端的全終端覆蓋是騰訊安全威脅情報(bào)和實(shí)時(shí)態(tài)勢(shì)感知的保證。” 騰訊云云鼎實(shí)驗(yàn)室負(fù)責(zé)人董志強(qiáng)表示。

　　AI賦能安全，更優(yōu)技術(shù)加持可持續(xù)對(duì)抗病毒升級(jí)

　　AI即服務(wù)的時(shí)代，騰訊云以AI和大數(shù)據(jù)為驅(qū)動(dòng)力，以云為平臺(tái)和管道構(gòu)建新一代智能安全防御體系。

　　在剛剛過(guò)去的2017“云+未來(lái)”峰會(huì)上，騰訊云隆重介紹了三款重磅云安全新品，分別為主機(jī)安全、反詐騙云、網(wǎng)站安全，同時(shí)發(fā)布騰訊云在車聯(lián)網(wǎng)、移動(dòng)、直播三大領(lǐng)域的安全行業(yè)解決方案。

　　其中，在此次Peyta防御中派上用場(chǎng)的云鏡產(chǎn)品，正是基于騰訊安全積累的海量威脅數(shù)據(jù)，利用機(jī)器學(xué)習(xí)為用戶提供黑客入侵檢測(cè)和漏洞風(fēng)險(xiǎn)預(yù)警等安全防護(hù)服務(wù)，不僅有密碼破解攔截、異常登錄提醒、木馬文件查殺、高危漏洞檢測(cè)等安全功能，通過(guò)AI的加持，云鏡還具有學(xué)習(xí)的強(qiáng)大能力，進(jìn)一步幫助提升主機(jī)安全防護(hù)、防止數(shù)據(jù)泄露。

　　而反詐騙云，騰訊從計(jì)算力、算法、數(shù)據(jù)等三方面能力，為反詐騙的AI創(chuàng)新提供了堅(jiān)實(shí)基礎(chǔ)。面向政府與金融企業(yè)，實(shí)時(shí)為防止詐騙、反騙貸、反洗錢、反騙保等一系列犯罪活動(dòng)提供監(jiān)測(cè)。包含云智能防火墻、AI業(yè)務(wù)防控、高級(jí)威脅檢測(cè)、多地容災(zāi)保障四大防御體系的網(wǎng)站管家，通過(guò)立體協(xié)同的防御策略，全面保護(hù)網(wǎng)站的系統(tǒng)安全和業(yè)務(wù)穩(wěn)定，為合法內(nèi)容的有效傳播保駕護(hù)航。

　　馬化騰在云+未來(lái)峰會(huì)上曾表示，企業(yè)用好云這個(gè)武器，將更好對(duì)抗對(duì)技術(shù)越發(fā)敏感的電信詐騙、網(wǎng)絡(luò)犯罪、黑產(chǎn)等犯罪分子。

　　而這句話更加通俗的解釋，則可表述為，云端更安全。