WannaCry具备了一款超级病毒应有的特点:神秘、快速以及严重的破坏。终止这场猫鼠游戏是网络安全专家们的共同目标。
“估计全球安全人员都想把病毒作者扒出来。”李铁军对腾讯科技说道。
采集样本、进行分析、形成对策建议是安全团队们的基本应对模式。
腾讯安全团队在5月12日下午2点多感知到这波蠕虫病毒、晚上开始爆发后,第一时间对敲诈者病毒进行了拦截防御、对漏洞进行了防御,同时引导用户去打补丁、关闭高危端口(445端口等),并推出了“文档守护者”产品;5月14日推出了针对易感的企业客户推出了一个电脑管家“管理员助手”诊断工具。
监测到WannaCry病毒发作的当天即5月12日晚间八点,安天实验室立刻启动了A级即最高级灾难响应,此前的同级别病毒或安全疫情有红色代码、震荡波、冲击波、破壳等。
启动了A级灾难响应后,安天实验室首先派出一部分人员去现场采集病毒样本、观测主机和网络现象,涉及十个不同的行业,因需保护客户隐私,安天实验室未透露中毒的具体企业名称。
情况显然相当严重,实际上,并非每一次病毒爆发都需要实验室研发人员前往现场采集样本,肖新光介绍,上一次出现大面积类似操作的针对IoT僵尸网络进行的取证分析。而研发人员现场采集回来的样本接近30个,包含母体和释放的文件。
采集样本的同时,研发人员进行后台分析、样本分析,另一部分研发人员则形成对策建议、应急方案,开发分析、免疫工具。
金山毒霸研发团队同样一直在加班,抓紧分析病毒,开发免疫工具,提供应急补丁,升级了毒霸的防御系统。
由于事件出现在周末,当前来看后果还没有完全体现出来,随着周末过后的工作日来临,病毒传播进一步发展的风险很高。尤其高校、企业、政府机关等内网用户仍属于高危感染人群,因此,对安全团队们而言,当前最紧要的任务是保证行业用户在周一开机投入使用的时候规范化操作,能够尽量的去减少损失。
为此,包括腾讯安全团队、安天实验室在内的安全团队已经推出了针对周一开机的解决方案。
此前腾讯电脑管家已经发布“勒索病毒免疫工具”及“勒索病毒免疫工具离线版”,用户只要掌握正确处置方法,通过电脑管家勒索病毒免疫工具,就可以加固电脑以免被感染。
对于企业而言,如果管理员在不确定电脑是否被感染的情况下,可以使用腾讯电脑管家的“管理员助手”诊断工具进行检测。下载后,输入目标电脑的IP或者设备名称,即可诊断目标电脑是否存在被感染勒索病毒的漏洞,可在诊断报告的指导下,对尚未打补丁的健康设备及时打补丁、布置防御。
然而在加密可破解性、可恢复性到底有多大、这个病毒能不能进行有效的溯源等问题上,目前全球安全专家还没有实质性的突破。
随着WannaCry变种的预警出现,可以预见,短期内安全专家们与病毒作者间的猫鼠游戏还将持续一段时间。基于此,安全专家们普遍建议用户们应该及时安装系统补丁,打开主机防火墙,关闭不使用的服务和端口,及时升级病毒库。
腾讯安全反病毒实验室负责人马劲松表示,虽然目前监控到的数据并没有完全证实WannaCry 2.0勒索病毒已经来袭,但出现新变种的可能性非常大,广大用户务必强化网络安全意识,陌生链接不点击,陌生文件不要下载,陌生邮件不要打开,电脑安装并开启杀毒软件。
由WannaCry带来的反思已经在进行,李铁军认为,“WannaCry影响比较大,应该说对所有人上了一课。网民几乎已经忘了电脑病毒这个东西,以为自熊猫烧香后,病毒已经不见了。其实,不是病毒不见了,而网民看不见而已。病毒一直都在,庞大的黑色产业链越来越专业,隐藏越来越深,也基本上不破坏系统,目标只是赚钱。网民看不见了。开始以为病毒都是安全厂商瞎忽悠。所以,这个病毒事件,会让网民重新警觉起来。一定会对中国的网络安全产生正面影响。”
肖新光眼中,刻意强调是恶意的攻击行为来推动了安全的进步,这个价值观是有问题的,但“从规律性来看,人类历史上所有的巨大灾难都是以巨大进步为补偿。”