周末全球肆虐的勒索病毒WannaCrypt(永恒之蓝),本周一在中央网信办、公安部、工信部的领导下,经过72小时全国动员和应急响应,感染和影响得到了控制,总体态势平稳,受感染机构的增长速度比前两天明显放缓,没有在“毒发”后首个工作日给本地各行业制造太多的麻烦。深刻反思事件成因,探讨如何避免将来再出现同类事件和伤害,成为安全行业专家们的热议话题。
■新快报记者 郑志辉
毒灾中的“大幸”
根据360威胁情报中心发布的勒索蠕虫态势显示,随着周一工作日电脑开机高峰的结束,之前被业界广泛担忧的国内机构被大规模感染的状况并没有出现。
记者从一些本地商家处也了解得知,周一的电脑、网络状况运行良好,并没有受到WannaCrypt的侵袭。某大型电商集团文员何小姐告诉记者,直至到周一中午都未见公司有机器中毒,而且她的朋友所在的公司也一切正常,让她差点以为周末收到的广东移动公司的提醒短信是“报流料”呢。不过,她的一位在银行工作的朋友周末确实被紧急召回去加班备份文件了。
另一家本地连锁餐饮集团策划经理黄先生也表示,至今为止公司都没有出现过电脑中毒一类的事件,这可能是因为他们内部一向都比较文明使用电脑,来历不明的网站、文件都会谨慎使用和打开。
此外,这次的勒索蠕虫的大规模爆发始于上周五下午,周末正好是大型机构、政府机关使用电脑的低峰期,这在客观上避免了蠕虫病毒的快速扩散,也为相关机构和行业进行应急处置提供了48小时的缓冲时间。
据透露,人民银行在周六上午六点半就建立了响应群,将免疫工具下发,八点半部署全国防护策略,从网络、服务器、终端360度无死角,到周一早晨十点半,全行无一例感染。
至于普通家用电脑,据猎豹安全工程师分析说,用户不用过分担心,因为你的电脑并不对外提供服务,互联网上的其他电脑并不能越过家用路由器的保护直接访问你。
病毒再次突袭,我们该反思什么?
本次事件也让国内安全行业来了一次集体反思,360企业安全集团总裁吴云坤表示,多年来我国的企业安全总在强调内外网隔离的思想,认为网络隔离是解决网络安全问题最有效的方式,有些单位的信息安全工作人员仍旧简单地以为,只要隔离就能安全解决问题。但随着互联网时代的日益兴盛,网络边界越来越不清晰,业务应用场景越来越复杂,也有更多的技术手段可以轻易突破网络边界。
“此次事件中招的大部分是企业和机构内网以及物理隔离网事件证明,隔离不是万能的,不能一隔了之、万事大吉。内网是隔离的,本来应该是安全岛,但内网如果没有任何安全措施,一旦被突破,瞬间全部沦陷,所以在隔离网里要采取更加有效的安全措施。”
有批评声音指,在WannaCrypt爆发之前,国内没一安全企业提早发出预警,之后则齐刷刷争相出炉解决方案,表现让人失望。网络安全企业安天科技发言人回应说,“2014年起安天就开始不断地发关于勒索软件的消息,今年三四月份还针对这个漏洞发过漏洞预警,直接指出有可能在一年内爆发大规模感染,可惜都是如同石入大海。作为安全企业,我们也挺心酸的。”
吴云坤也表示,虽然网络安全已经上升了国家战略层面和法制层面,但是国内机构和企业整体安全意识还不强,此次事件发生前一个月,相关补丁和预警就已经发布,此次被感染的大多数客户都是因为没有及时打补丁所致。
关于勒索病毒, 需要知道的真相
■链接
问:能否恢复被加密锁死的文件?
答:非常难,或者说是几乎不可能,即使支付赎金,也未必能得到解密密钥。金山等安全公司也发布了免费修复工具,其实只能有限恢复一些被删除的文件,但是依然无法解密被锁死的文件。
另外,网上还流传谣言说病毒作者良心发现,已经公布了解密密钥,这些都是谣言。这个勒索病毒和以往的绝大多数勒索病毒一样,是无法解密的,请不要相信任何可以解密的谎言,防止上当受骗。
问:手机、Pad、Mac等终端是否会被攻击?
答:不会的,病毒只攻击Windows系统的电脑,手机等终端不会被攻击,包括Unix、Linux、Android等系统都不会受影响。昨天网上流传有安卓手机中毒的图片,安全专家认为明显是假的,是造谣者PS的。
问:英国小哥的意外之举,阻止了病毒蔓延,是不是真的?
答:WannaCrypt的病毒体中包含了一段代码,内容是病毒会自动联网检测“http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com”这个网址是否可以访问,如果可以访问,则不再继续传播。这就是该病毒的“神奇开关”。国外安全研究人员(英国小哥)发现这段代码后立刻注册了这个网址,的确是有效地阻止了该病毒的更大范围的传播。但是,这仅仅阻止了病毒的传播,已经被感染的电脑依然被攻击,文件会被加密锁死。
问:昨天还有传言说WannaCrypt2.0已经出来了,将会发动新一轮攻击,是真的吗?
答:病毒体中的部分源代码没有被加密处理,任何一个新的病毒制造者都可以修改、删除代码,因此未来可能出现其他新变种病毒,如连“神奇开关”都删掉了的。
