工业和信息化部主管 中国电子报社主办
联系合作投稿

信息通信

这次面对勒索病毒只能靠事后补救,那下次呢?

这次勒索病毒“WannaCry”(永恒之蓝)在全球范围内的爆发,让众多单位业务停滞、遭受不同程度的损失。

WannaCry勒索软件为何突然来袭?

勒索病毒是2013年才开始出现的一种新型病毒模式。2016年起,这种病毒进入爆发期,到现在,已经有超过100种勒索病毒通过这一行为模式获利。比如去年,CryptoWall病毒家族一个变种就收到23亿赎金,近几年苹果电脑、安卓手机和iPhone也出现过不同类型的勒索病毒。

虽然下黑手者目前还找不到,但其所用的工具,却明确无误地指向了一个机构——NSA(National Security Agency),美国国家安全局。这一机构又称美国国家保密局,隶属于美国国防部,是美国政府机构中最大的情报部门,专门负责收集和分析外国及本国通讯资料。黑客所使用的“永恒之蓝”,就是NSA针对微软MS17-010漏洞所开发的网络武器。

事情是这样的:NSA本身手里握有大量开发好的网络武器,但在2013年6月,“永恒之蓝”等十几个武器被黑客组织“影子经纪人”(ShadowBreakers)窃取。

今年3月,微软已经放出针对这一漏洞的补丁,但是一是由于一些用户没有及时打补丁的习惯,二是全球仍然有许多用户在使用已经停止更新服务的WindowsXP等较低版本,无法获取补丁,因此在全球造成大范围传播。加上“蠕虫”不断扫描的特点,很容易便在国际互联网和校园、企业、政府机构的内网不间断进行重复感染。

实事求是地说,作为操作系统之一,Windows的构成动辄几亿行代码,之间的逻辑关系不可能一个人说了算,因此出现漏洞是很难消除的。而Windows又是世界上使用最普遍的操作系统,因此被黑客看中而研究漏洞并攻击获利,是很“正常”的事情。

但作为美国国家安全局,盯着这个系统的漏洞也就罢了,还专门搞武器,这是什么道理?

事实上,在黑客组织曝光这一漏洞之前,微软自己也不知道漏洞存在。也就是说,只有NSA知道漏洞存在,至于知道了多久,也只有他们自己知道。在侠客岛上的网络安全专家看来,很可能的情况是,NSA早就知道这个漏洞,并且利用这一漏洞很久了,只不过这次被犯罪团队使用了,才造成如此大的危害。从这一点我们可以看出,美国的技术确实很强,在网络安全领域独步全球;同时,“漏洞”已经成为兵家必争的宝贵战略资源。

NSA现在手中握有多少网络武器,当然是美国的机密。但根据维基解密的说法,不仅NSA手里有,CIA手里也有,他们的网络情报中心创造了超过1000种电脑病毒和黑客系统——这还是斯诺登2013年确认的数量。

因此,在此次“永恒之蓝”爆发之后,《纽约时报》的报道就称,“如果确认这次事件是由国安局(NSA)泄漏的网络武器而引起的,那政府应该被指责,因为美国政府让很多医院、企业和他国政府都易受感染”。

按照NSA的说法,自己的职责应该是“保护美国公民不受攻击”;他们也曾指责很多国家对美国实施网络攻击。但事实恰恰相反,被他们指责的国家都是此次病毒的受害国,他们自己用来“防御”的网络武器,则成了黑客手中攻击美国公民的武器。

用美国全国公共广播电台(NPR)的话说就是,“这次攻击指出了一个安全领域根本性问题,也就是国安局的监控是在保护人民还是制造了更多不可期的损害,甚至超出了其好处”。

NSA当然应该反思,虽然他们到现在都没有出来表态回应。但更值得反思的是一个本质性话题:网络安全,到底掌握在谁的手里?

关于本次Wannacry病毒的爆发原理,简言之,这一“蠕虫”勒索病毒,通过针对Windows中的一个漏洞攻击用户,对计算机内的文档、图片等实施高强度加密,并向用户索取以比特币支付的赎金,否则七天后“撕票”,即使支付赎金亦无法恢复数据。其加密方式非常复杂,且每台计算机都有不同加密序列号,以目前的技术手段,解密几乎“束手无策”。

事后补救用好这三招

遭受病毒攻击的单位手忙脚乱,开始紧急补救。无非几个步骤:

1、断网,防止病毒通过445端口快速在局域网内蔓延。

2、打补丁,补丁为MS17-010,该补丁修复了“永恒之蓝”攻击的系统漏洞。

3、重新联网,开展业务。

从遭受病毒攻击,到开始大面积影响工作,到全面断网无法开展业务,然后再全面打补丁,最后恢复正常办公,这个过程显然不得已而为之,而这个过程中中断业务办理几个小时甚至几天,实在影响太大,特别是一些公共事业的单位,会影响大量民众的生活、生命安全。比如大量的医院、公安、加油站等单位由于中断办公大大影响民众的正常生活。

更有甚者,重灾区之一的学校,由于大量论文、学术资料中毒,而永远找不回来,使得很多学生甚至推延了答辩时间,影响了正常毕业,惨不忍睹。

事前防御是最优选择

那么,针对这种未知、突发性的病毒有没有主动防御和事前防御的办法?能否做好预防工作?这是值得大家思考,特别是信息安全领域的人士应该思考的事情。

答案应该是有的,勒索病毒的主要目的是破坏文件的可用性,中毒的用户如果想急于恢复数据,就得缴纳比特币作为“恢复费”。那么我们就可以通过“恢复软件”来恢复数据到正常的状态,但是普通的恢复软件做不到,比如ghost,windows自带的还原软件等也无法做到,因为这两个产品,只有还原系统的可用性,而对非系统盘上的数据是无法修复的。并且这两个产品还原过程需要花比较长的时间,一般在几分钟到十几分钟时间,还原过程机器不能断电,否则系统再也启动不了。

目前国内有一种终端虚拟机产品,经过详细的测试和用户的反馈能够完美解决勒索病毒等未知病毒的攻击。 其基本原理如下:

第一,实现多个虚拟机,将办公资料、重要资料保护起来。

该产品利用终端虚拟机技术,在操作系统下层运行远为终端虚拟机管理器,用户操作系统运行在虚拟机管理器之上,将用户的电脑虚拟成两台,一台是办公虚拟机,一台是上互联网的虚拟机。办公虚拟机和互联网完全隔离,封闭各种外设访问接口和不常使用的网络端口,只能访问内网业务系统。因此办公虚拟机不会遭受勒索病毒的攻击,保存在办公虚拟机的办公数据和重要数据不会被勒索病毒感染。

第二,该产品可以快速修复中毒的文件,保证文件的可用性,防止数据丢失。

因为该产品运行在操作系统下层,所以不管操作系统中了任何病毒,都可以秒级无损修复的。比如互联网虚拟机被勒索病毒感染,那么使用多网隔离的快速修复功能,可以在几秒钟内恢复系统,把病毒清理干净,并且所有数据恢复正常,不会丢失任何数据文件。

第三,该产品可以实现所有未知病毒的事前防御。

所有病毒感染的是操作系统中的文件,不管通过加密手段,还是植入病毒程序的方法,不管是针对系统文件,还是用户数据文件,都是对计算机里面的文件进行非法修改,导致文件的不可用性或非正常性。由于该产品能够对计算机建立时间轴,对所有文件的写操作进行记录和控制,所以不管什么病毒对文件修改后,该产品能够将这个文件修复到病毒修改之前的状态。特别是,当计算机恢复到中毒之前的某个时间点后,病毒也会随之被清理干净。

(作者黄玉琪,系北京远为软件有限公司董事长)

责任编辑:赵强


声明

1、本站遵循行业规范,任何转载的稿件都会明确标注作者和来源;2、本站的原创文章,请转载时务必注明文章作者和来源,不尊重原创的行为我们将追究责任;3、作者投稿可能会经我们编辑修改或补充;4、如本站的文章或图片存在版权,请拨打电话010-88558835进行联系,我们将第一时间处理。

相关链接

视频

专题

2023中国电子报编辑选择奖

12月26日,“2023中国电子报编辑选择奖”获奖名单正式出炉。本次评选采用企业自荐和编辑推荐两种方式,综合考量影响力、创新性、成长性等多个维度,围绕企业、技术、产品、解决方案等赛道评出20个奖项。

2024年全国工业和信息化工作会议

12月21日,全国工业和信息化工作会议在京召开。会议坚持以习近平新时代中国特色社会主义思想为指导,全面贯彻党的二十大和二十届二中全会精神,深入学习贯彻习近平总书记关于新型工业化的重要论述,认真落实中央经济工作会议和全国新型工业化推进大会部署要求,总结2023年工作,部署2024年任务。

深入学习贯彻党的二十大精神·工信系统在行动

当前,全国工业和信息化系统正进一步深入学习党的二十大精神,将二十大精神贯彻落实到具体举措和实际行动。为深入学习宣传贯彻党的二十大精神,中国电子报推出“深入学习贯彻党的二十大精神·工信系统在行动”专栏,通过调研采访报道各地贯彻落实党的二十大精神的具体举措、典型案例,反映各地实干担当、求真务实的精神风貌。敬请关注。

学习贯彻习近平新时代中国特色社会主义思想主题教育

学习贯彻习近平新时代中国特色社会主义思想主题教育开展以来,全国工信系统牢牢把握“学思想、强党性、重实践、建新功”的总要求,多措并举扎实推进主题教育高质量开局、高标准起步。

聚焦2023年全国两会

北京3月5日电 第十四届全国人民代表大会第一次会议5日上午在北京人民大会堂开幕。近3000名新一届全国人大代表肩负人民重托出席盛会,认真履行宪法和法律赋予的神圣职责。

世界超高清视频(4K/8K)产业发展大会

会议

2023全球数字贸易创新大赛

11月22—23日,2023全球数字贸易创新大赛总决赛在杭州举行。大赛是第二届全球数字贸易博览会重要活动之一,今年为首次举办。大赛设置人工智能元宇宙和区块链Web3.0两个赛道,吸引了近200家优秀企业及项目团队参与,其中,100余家入围半决赛,24家进入总决赛。

2023世界VR产业大会

10月19日,由工业和信息化部、江西省人民政府共同主办的2023世界VR产业大会在江西南昌开幕。江西省委书记、省人大常委会主任尹弘,工业和信息化部副部长徐晓兰,江西省委常委、南昌市委书记李红军出席开幕式并致辞。开幕式由江西省委副书记、省政府省长叶建春主持。

2023世界显示产业大会

9月7日-8日,由四川省人民政府、工业和信息化部主办的2023世界显示产业大会在四川省成都市召开。四川省委副书记、省长黄强,工业和信息化部党组成员、副部长张云明,重庆市政府党组成员、副市长江敦涛,德国联邦经济发展和对外贸易协会主席米夏埃尔·舒曼出席开幕式并先后致辞。

2023世界超高清视频产业发展大会

5月8日-10日,由工业和信息化部、国家广播电视总局、中央广播电视总台、广东省人民政府共同主办的2023世界超高清视频产业发展大会在广州召开。5月9日,广州市委副书记、市长郭永航,中央广播电视总台副台长胡劲军,国家广播电视总局副局长朱咏雷,工业和信息化部总工程师赵志国,广东省委副书记、省长王伟中出席开幕式并先后致辞。

2022世界集成电路大会

11月17日,由工业和信息化部、安徽省人民政府共同主办的2022世界集成电路大会在安徽省合肥市召开。安徽省委书记、省人大常委会主任郑栅洁出席会议。安徽省委副书记、省长王清宪,工业和信息化部党组成员、副部长王江平出席开幕式并致辞。

世界显示产业大会

本周排行