勒索病毒WannaCry肆虐，除了哭，企业还能做什么？

从5月12日起，互联网世界遭遇一种名为WannaCry(想哭)的勒索病毒攻击，这波攻击来势汹汹，席卷了全球150多个国家，数千家企业和机构、超过30万台设备受到影响。

WannaCry加密用户的文件，要求用户支付价值300美元的比特币来解锁文件。如果72小时后未支付，勒索金额将翻倍至600美元，七天后，这些文件将被永久锁定。

什么是WannaCry？企业应该做什么？如果受勒索软件影响，是否应该缴纳赎金？启迪之星投资企业云城数据告诉你真相。

WannaCry影响谁？

WannaCry病毒攻击的是Windows系统，几乎所有没打补丁的Windows系统，都会被攻击。 微软就这个问题 (MS17-010)，在今年3月就已经推出了补丁。如果用户使用的是微软支持的版本的正版软件，打开了自动更新或手动进行了更新，那就不会受到WannaCry的影响。（微软在WannaCry病毒爆发后为已经停止支持的Windows XP及Windows2003系统也提供了补丁。）

因为WannaCry攻击的是Windows系统，所以在这次攻击中Linux、MacOS以及各种手机的操作系统没有被波及。

综上，这次WannaCry的攻击，影响的是企业用户使用的盗版的，或未能及时进行更新的系统，或早期没有官方补丁的Windows XP/Windows2003等系统。   

小白用户如何防御WannaCry勒索病毒？

广大的Windows个人用户其实不需要过于担心。 对于个人用户，各大服务商早就把WannaCry攻击所需要借助的445端口封闭了。所以如果个人用户没有使用单位内网、教育网等服务，那么“中招”的可能性并不高。虽然“中招”的可能性不高，但是还是推荐确认已经采用微软的补丁，来有效保护自己的安全。

另外，我们也推荐用户打开Windows defender，可以更好的保护系统。有关安全更新和打开Windows defender的流程，有很多文章已经进行了介绍，我们就不多写了。个人用户对于这次WannaCry攻击无需过于恐慌。

为什么政府机关和大学是重灾区？

长期以来，我国很多政府机关及企业等大量采用了“内网”，“外网”，“互联网”的机制，并对其进行了物理隔绝来保证网络安全。但是随着移动办公、移动互联网的普及，以及黑客采用的更狡猾的攻击手段，主要依赖物理隔绝的“内网”的安全性也就有了漏洞。大量在“内网”内的机器因为没有能够及时更新，所以一旦一台机器感染，病毒就会迅速传播。校园网因为学术共享需要，445端口未能封闭。而校园网内计算机的硬件、软件复杂，大量机器未能及时更新，也就更容易被感染。这也是为什么政府机关和大学“中招”最多的原因。

WannaCry病毒来自哪里？

WannaCry之所以在国内被称为永恒之蓝，就在于它利用了“永恒之蓝”漏洞。这个漏洞普遍被认为是美国国家安全局开发的，在今年的4月14日，一个自称“影子经纪人”的黑客组织公布了一系列来自NSA的黑客工具，其中就包含了“永恒之蓝”漏洞。必须指出的是，4月14日既不是该组织第一次公布漏洞，也不会是最后一次。

WannaCry是其他黑客组织利用了影子经纪人发布的永恒之蓝漏洞，在其上研发的勒索蠕虫病毒。目前一些机构指出，WannaCry的一些变种显示有可能病毒的源头不止一家。也就是说，有可能有多个黑客组织或个人正在利用永恒之蓝来对企业和个人进行攻击，这就意味着，后期攻击的内容、形式，都有可能发生变化。建议企业用户紧密监视动态，保护企业数据安全。

Windows 系统之外的Linux、Mac、手机、pad是否就安全了？

虽然WannaCry本身不攻击Windows之外的系统，但是影子经纪人在过去公布的漏洞中，颇有一些针对其他系统的。譬如同样在4月14日被公布的漏洞中，就有针对Solaris系统的攻击。WannaCry之所以不影响其他系统，是因为它所依赖的是Windows的缺陷，这并不代表其他系统没有缺陷，也不代表黑客没有能力攻击其他系统。那些针对其他系统的攻击从来没有停止过。

让我们想象一下，如果这次的攻击利用了别的漏洞，攻击了在互联网的伺服器中占优的Linux, 或者在个人设备中占优的手机等设备，由于这些生态系统碎片化严重，缺乏微软这样一家独大的供应商，在提供补丁等环节中有可能会面临更大的挑战，而对于用户的损失也非常有可能比这次还大。

今后是否还会出现类似问题？

可以肯定的是，今后此类事件不但还会发生，甚至还会发生的更加猛烈。

首先，让我们不要忘记影子经纪人手中还有其他美国国家安全局出产的工具。其次，世界上不仅仅影子经纪人一个黑客组织；第三，当骇客组织可以利用其他公开的漏洞进行二次研发的时候，往往会出产更可怕的病毒。这次的WannaCry就是一个很好的例子。而这次WannaCry的迅速传播和这类新的攻击模式及商业模式，也会起到一个非常坏的示范作用，开启很多新的点子。

我国的网络安全基础设施还相对薄弱，但是我国的数据增长却是全球最快的。在未来以数据的争夺和攻击为主的新的攻击模式下，我国很有可能会首当其冲。因此，企业应提高对数据安全的重视，建立相应的系统及流程，以保证企业的正常运行。

勒索是否会成为常态？

当我们说今后类似事件会经常发生的时候，我们也要清醒的意识到，勒索并不是对数据进行攻击的唯一表现形式。黑客完全可以采用其他形式来干扰企业业务的正常进行。譬如，黑客有可能偷盗数据，有可能篡改数据，有可能将数据部分或全部销毁。这些都可能极大的影响企业业务的正常运行，给企业和其客户带来不可估量的损失。

勒索有可能成为常态，也有可能因为商业模式的不成熟不成为常态。本次WannaCry的数据勒索，截至5月15日下午4点为止，在全球被感染机器超过几十万台的情况下，只有227人缴纳赎金，赎金总额为不到6万美金。

但是无论勒索是否成为常态，WannaCry开启了一种新的攻击模式，在大数据成为我们的生活的一部分的今天，针对数据本身的攻击应该会成为常态。因此，企业也必须把保护数据作为战略目标。

企业应该做什么？

在过往，当企业谈论安全的时候，往往更注重网络安全，更多的想的是防病毒软件、防火墙，物理隔绝这些措施。但是通过这次WannaCry的感染过程及其后的处置过程来看，以隔绝、防护为主的安全已经不能适应新时代的需要。

我们也同样可以看到，数据作为企业最重要的资产，也变成了黑客攻击的主要目标。所以我们希望对企业说的是，在不放松网络安全的同时，也要加强对数据安全的重视。

企业应该对数据统一管理，定期备份，应对数据的生成、加工、共享、存储的整个过程有完整的可见性及控制能力。当我们总结永恒之蓝及WannaCry的经验教训的时候，我们可以比任何时候都更明确的看到，绝对的安全是不存在的。任何系统，在任何一个时间点都非常有可能是“带漏洞”运行的。企业需要以新的战略来应对这样的挑战，可以迅速甄别攻击，可以在攻击被甄别后迅速控制局势并迅速恢复正常业务。

云城数据的解决方案对于WannaCry的攻击

有什么意义？

针对WannaCry攻击本身，采用了云城数据安享解决方案的客户无论电脑及内网是否受到影响，其数据都是安全的。如果终端设备（如员工的Windows电脑）受到勒索影响，可以通过管理员执行的数据备份恢复或用户自行执行的数据同步两种方式恢复数据，其过程相当的简单，易于操作。

另外，当前大部分企业应对WannaCry问题的流程中，会关闭135、139、445等端口，这也就造成了依赖这些端口进行通讯及共享的一系列网络协议的崩溃。基于SMB/CIFS/SAMBA等的解决方案无法运行。同时，为了避免蠕虫传播，企业内USB、移动硬盘的使用也受到了限制。这让企业内文件协同、共享无法顺利完成。而云城安享解决方案仍可以正常操作，让员工可以通过电脑、手机、内网网页等方式正常协作。

企业的管理员可以通过后台的管理系统，监控企业内数据的使用、存储、提取、共享等活动，配合网络安全解决方案，进一步加强企业对于IT运营环境的管控。

综上，云城数据对企业数据的统一管控，备份等能力，对于WannaCry一类的数据勒索行为有非常有效的遏制作用。其跨操作系统、跨平台的数据解决方案，可以让对单一操作系统的数据攻击的有效性大大降低，可有效帮助企业完成被攻击后的业务恢复。

如果受勒索软件影响，是否应该缴纳赎金？

首先，我们要认识到这一伙黑客对医院、交通枢纽等关乎人命的机构进行了无差别攻击，显示其及其冷血；

其次，他们选择了比特币作为赎金的手段本身，就意味着很多“中招”的中小企业或个人用户或许从来就没有解锁的希望。

因此，大部分专业机构都不建议受影响个人及企业支付赎金。从实际情况来看，在几十万台受影响的机器中，只有227人缴纳了赎金。

所以，我们也不建议缴纳赎金。同时，如果出现问题，建议将感染机器交由专业人士进行处理，不要盲目相信网络传播的各种“秘籍”。对于企业和个人，对抗此类攻击最好的方式归结起来就是以下几点：

1. 数据统一管理，定期备份，建立有效的数据安全体系；

2. 使用正版软件，密切关注各大厂商的更新，及时维护系统；

3. 加强对员工的教育，如不使用不明来源的USB、移动硬盘等设备，不多人混用这些设备，不乱下载文件等。

云城数据，一个目前领先于世界的安全云存储系统，专门针对企业的数据安全问题应运而生。不仅可以很好地解决政府需要私有云，机关、企业等保密资料不能放在公共云上的问题，更是能确保安全的避开高手黑客们的撬锁攻击。