应用

10年来最大网络安全事件!专家详解勒索病毒

作者:闵杰来源:中国电子报、电子信息产业网发布时间:2017-05-18 10:24我要评论
5月12日,WannaCry/Wcry勒索蠕虫席卷全球,是不法分子通过改造之前泄露的NSA黑客武器库中“永恒之蓝”攻击程序发起的网络攻击事件,利用了微软基于445端口传播扩散的SMB漏洞MS17-010。一旦被攻击,暂无有效解密方案。

5月17日,亚信安全多位安全专家接受《中国电子报》记者采访时表示,这个10年以来最大规模的安全事件,是对我国安全产品的大考,借此提醒广大用户,当超级病毒爆发时,预防病毒要比事后弥补更为有效。

大部分数据可恢复,除了C盘

据了解,此次勒索蠕虫的特点与传统的有所不同,曾经90%%的勒索软件都是通过网站或者邮件渗透实现攻击。这次引发的风暴,是因为传播行为和手段有所升级,也是全球首款通过系统漏洞实现传播的勒索蠕虫,让传统的安全防护手段几乎全部沦陷,甚至因此造成了更为严重的内网蔓延。

亚信安全通用安全产品管理副总经理刘政平表示,上周五下午3点,亚信安全监测到了该病毒,并发现该病毒为蠕虫病毒。几小时内,全球近100多个国家,近万家组织和企业遭受攻击。在病毒爆发时,黑客对中招的受害者勒索比特币,要求在几小时内支付一定的比特币,否则就锁死文件。庆幸的是,现在监测到的愿意支付黑客比特币的人并不多,黑客某种程度上并没有得逞。

亚信安全通用安全产品研发负责人吴湘宁透露:“在病毒样本分析中,我们发现WannaCry/Wcry针对受攻击的文档,会先做一份加密文件,在修改权限确认此份加密文档是无法被删除的。接着,在有些情况下,它会对原受攻击的文档进行写入的动作,最后进行删除。所以,即使采用数据恢复工具,并不能保证可以完全恢复受攻击文档的原始内容。我们目前的重大发现是,根据勒索病毒的行为方式,我们可以恢复C盘之外的大部分数据。”

这源于发现了黑客行为的一个小漏洞。刘政平表示,此次WannaCry/Wcry爆发,对于加密的文件通过解密的方式恢复原文件,几乎是不可能的。但是在昨天,亚信安全在逆向病毒后,发现了黑客的一个漏洞,即黑客重点加密的文件是桌面文件和C盘文件,在加密D、E等其他盘时偷了一个懒。

偷了什么懒?吴湘宁解释,黑客加密C盘,用的是清零算法,即低级格式化,将原文件删除,导致数据恢复不出来。即使是用硬盘恢复工具,也是恢复不出来的。黑客为了提高效率,没有将除C盘外的其他盘都用清零算法,因为低级格式化的方式效率很低,所以对除C盘外的文件采用了效率更高的删除方式,而这种方式则是可以恢复数据的。亚信安全建议受到WannaCry/Wcry感染的客户,优先恢复D、E等其他盘内的文件,对系统盘内的文件用户选择性恢复。

吴湘宁还强调,近期网络上流传一些“解密方法”,其实是无效的。亚信安全技术支持中心测试发现,目前,能减少客户损失的方法只有通过数据恢复技术,而非解密技术来还原数据。

事实证明防病毒更有效

当超级病毒爆发时,其实并没有好的解决办法,最好的方法是做好预防病毒的措施。

亚信安全一位安全专家透露,过去10年因为没有一些大规模的、高端的漏洞可以利用,所以也没爆发如此严重的安全事件。今天爆发的这个WannaCry/Wcry,其实是美国军方病毒库里藏的病毒,被黑客入侵偷出来了。鉴于对美国军方的忌惮,黑客没法把病毒卖出去,就自己出来做坏事。

10年才爆发的安全事件让我们发现,超级病毒确实存在,而当这些病毒爆发后,其实也没有有效的方法来解决。

截至目前,亚信安全服务的客户通过以机器学习技术为核心的桌面安全解决方案,成功抵御了攻击。吴湘宁透露,在病毒爆发高峰期间,即12~14日,我国多省运营商DNS均受到WannaCry/Wcry的试探请求,总量在1000次上下。事后分析,得益于亚信安全为运营商承建的错误域名重定向系统,所有请求得到了解析成功的响应,客观上避免了病毒的二次传播。

“通过为客户制定事前、事中、事后的安全策略,并强调补丁管理、异常行为检测、沙箱分析、机器学习等技术手段,配合专业的安全服务,确保客户的配置更新以及安全软件更新,幸免遭受WannaCry/Wcry勒索软件带来的伤害。”吴湘宁解释。

在吴湘宁看来,传统的事后应急处理的病毒库防御模式已经无法应对当下病毒发展的态势,重点应该聚焦在事前如何预防。

(《中国电子报》版权所有,转载请注明出处)


责任编辑:赵强

2018制造业“双创”高峰论坛

6月22日,2018制造业“双创”高峰论坛在北京举办。本次论坛由中国电子信息产业发展研究院、中国制造企业双创发展联盟和中国软件行业协会工业互联网分会主办,中国电子报社、北京云道智造科技有限公司和中国船舶工...

2018世界VR产业大会新闻发布会

5月21日,记者从在北京人民大会堂召开的2018世界VR产业大会新闻发布会上获悉,由工业和信息化部、江西省人民政府共同主办,中国电子信息产业发展研究院、江西省工业和信息化委员会、南昌市人民政府、虚拟现实产业...

数字经济前沿论坛-CITE2018第六届中国电...

为贯彻落实党的十九大精神,充分展示新一代信息技术产业最新发展成就,促进产业核心技术突破,加快形成数字经济新动能,引领信息技术产业供给侧改革,工业和信息化部、深圳市人民政府将于2018年4月9日-11日在深圳市共 ...

中国超高清视频(4K)产业发展大会

3月29日,中国超高清视频(4K)产业发展大会在广州市召开。大会由工业和信息化部、国家广播电视总局、广东省人民政府主办,广东省经济和信息化委员会、广东省新闻出版广电局、广东省通信管理局、广州市人民政府、中...

工业互联网平台建设与推广专栏

当前,全球工业互联网正处在格局未定的关键期、规模化扩张的窗口期、抢占主导权的机遇期。作为工业互联网三大要素,工业互联网平台是全要素连接的枢纽,是工业资源配置的核心,正成为领军企业竞争的新赛道、产业布局...

聚焦2018年全国两会

3月5日,第十三届全国人民代表大会第一次会议在人民大会堂开幕。会后,工信部部长苗圩在人民大会堂两会“部长通道”回答记者提问时表示,工信部通过调查发现,广大手机客户对手机流量区分本地流量和全国流量这种计...

第六届中国电子信息博览会开幕式暨数字经济前沿论坛

本次论坛主题是“智领新时代 慧享新生活”,将邀请政府行业主管部门、国内外著名专家学者、企业家发表主题演讲、对话或专题交流,深入探讨深化创新驱动战略、实施“中国制...

必看 | 2017年成就平板显示产业的十大事件

2017年1月22日,由广东聚华印刷显示技术有限公司承建的广东省印刷及柔性显示创新中心成立。该中心以建设G4.5印刷OLED研发公共开发平台及印刷显示产业园为基...

4G高端访谈:Red Bend中国技术与新业务总监殷高生

其实我们Red Bend是一家典型的技术公司,是基于公司创始人他的很多专利算法专利,所以我们在手机软件管理里面我们提供差分升级对软件版本进行升级,传统方式进行整...

友情链接
关于我们 | 联系我们
电子信息产业网LOGO