深訪10＋位安全專家：這場全球比特幣勒索病毒，究竟如何收場？

Xtecher【錯別字基金】溫馨提示：如果您在閱讀過程中發現錯別字，請在文章底部留下說明＋聯繫方式，我們會立刻發給您5-88元隨機紅包一個。

5月12號，WanaCrypt0r2.0勒索軟體攻擊全球Windows漏洞 ，截止目前，已有七十多個國家的政府、高校、醫院等機構被攻陷。此事仍在進一步發酵，而目前對於被感染的系統、文件似乎沒有任何破解的方法，全球數十億用戶安全，竟被一位躲在暗處的人玩弄於鼓掌之中。

為此，Xtecher第一時間採訪了華為高級安全專家婁偉峰、威客安全CEO陳新龍、360安全首席工程師鄭文彬、青蓮雲CEO董方、長亭科技CEO陳宇森、傑思安全CEO劉春華、阿里雲技術專家、網路安全專家劉博士、招股科技CTO程超等眾多國內一線安全領域專家，以理清此事來龍去脈。

採訪｜小生生、dude、Cedain

作者｜小生生、dude、又田

編輯｜甲小姐

微信公眾號ID｜Xtecher

大恐慌！

5月12日，一個黑客坐在電腦前，輕輕按下了Enter鍵。這個看似無足輕重的動作，掀起了全球七十多個國家、數十億用戶對網路安全的恐慌。

當晚，WanaCrypt0r2.0（以下簡稱Wcry2.0）勒索軟體在全球爆發。在無需用戶任何操作的情況下，Wcry2.0即可掃描開放445文件共享埠的Windows機器，從而植入惡意程序。

目前，該勒索病毒的攻擊已經擴散到全球74個國家，包括美國、英國、中國、西班牙、俄羅斯等。此次被攻擊的對象包括政府、醫院、公安局以及各大高校等機構和個人。

黑客要求每個被攻擊者支付贖金後方能解密恢復文件，而此次的贖金方式使用了當下最為火熱的產品比特幣，勒索金額最高達5個比特幣，價值人民幣5萬多元。

國內最早的防病毒廠商kill公司技術總監、江民公司原技術總監、現華為高級安全專家婁偉峰告訴Xtecher：「從技術上講，這不算是一次黑客攻擊，而是一次大面積的以經濟為目的勒索軟體傳播事件。此次大規模傳播的Onion、WNCRY勒索軟體是『永恆之藍』勒索軟體的病毒變種，但恰這類並非新技術的病毒，反而能肆虐蔓延、短短時間內侵襲各大機構，經濟損失截至目前已達數十億。」

網路安全專家劉博士告訴Xtecher：「本質上病毒要想獲得訪問許可權、突破訪問控制，操作系統會通過防火牆等做訪問限制，但如果系統有安全漏洞可以被利用，就有可能突破。Windows被感染的幾個版本恰好有漏洞可被利用。」

360安全首席工程師鄭文彬告訴Xtecher：「中國此次遭受攻擊的主要是教育網用戶。上個月360針對該埠漏洞發出預警，並推出了免疫工具，微軟此前也已發布相關漏洞補丁。但許多教育網並未對此漏洞做出修復，以至於淪為重災區。」

為何教育網、公安局、醫院等機構淪為重災區？

鄭文彬認為，這類機構多使用內網、較少與外界接觸，以至於在防範意識上存在疏漏。而另一方面，這些機構並不能保證完全隔絕互聯網，一旦被病毒掃描，則同樣會中毒——而只需一台電腦被掃描，便會像人類感染病毒一般傳染到其它電腦。

青蓮雲CEO董方告訴Xtecher：「學校使用教育網，教育網是專網，其特點為，學校的某一個網站被攻擊以後，會在專網中迅速傳播，且教育網防護的等級不是很高，導致學校成為重災區。」

此外，本次被病毒感染的多是Windows系統，而蘋果、安卓僥倖免於災難。

長亭科技CEO陳宇森告訴Xtecher：「這與系統優劣並無關係。此次攻擊是利用Windows漏洞進行，對其主機/伺服器運行在 445 埠的 SMB 服務進行攻擊，所以中招的都是Windows系統。微軟官方3月份陸續發布不同版本的系統補丁，就在13號下午，還專門針對XP和2003系統發布了特別補丁。」

不過華為雲安全負責人婁偉峰認為，從經濟利益的角度看，微軟的用戶遠大於蘋果的用戶，因此成了被攻擊的原因之一。

「這是微軟十年來出現的較為重大的事件，4月15號微軟已發出預警，但可能預警發方式太偏技術，以至大家沒看懂被攻擊的後果是什麼。」青蓮雲CEO董方告訴Xtecher。

那麼，這樣一次攻擊範圍波及全球，涉及金融、醫療、鐵路、能源、教育系統等終端的病毒，究竟從何而來？

病毒從何而來？

此次「永恆之藍」 變異的勒索蠕蟲，是NSA網路軍火民用化的全球第一例。

早在4月14日，自稱「影子經紀人」(Shadow Brokers)的黑客團體泄露出一份震驚世界的機密文檔，其中包含了多個Windows 遠程漏洞利用工具，可以覆蓋全球70% 的Windows 伺服器，影響程度極其巨大，但國內諸多政府、高校等機構並沒有引起足夠的重視。

華為高級安全專家婁偉峰告訴Xtecher：「影子經紀人」 (Shadow Brokers)攻破了NSA（美國國家安全局）網路，拿到其中一個叫「方程式」的黑客組織的大量軍用級別黑客工具，ShadowBrokers將其中一個黑客工具做成「永恆之藍」，而這次的勒索軟體正是「永恆之藍」的變種。

而據360安全首席工程師鄭文彬猜測，之前美國軍方使用黑客技術攻擊中東銀行，而此前美國政府對敘利亞進行轟炸，導致了黑客的不滿，繼而盜出此技術，以示威脅。

黑客使用勒索軟體由來已久，但大多數病毒軟體勒索的贖金都是法幣、電子匯款、預付卡等手段收取。但這次病毒勒索事件，黑客似乎蹭了比特幣熱點。

為何使用比特幣作為贖金？

深圳招股科技聯合創始人程超告訴Xtecher：比特幣作為一種匿名轉賬的數字資產，其匿名特性成為黑客首要看重的特性。比特幣地址是一串英文字元亂碼，不綁定任何用戶信息，所以單純從比特幣地址無法追蹤到用戶信息，這讓黑客可以更簡單地規避追捕和監管。

而網上不少觀點認為後續黑客有可能放棄大額勒索，因為一旦大量比特幣流入該黑客賬戶，有可能導致其行為軌跡被追蹤。然而，360安全首席工程師鄭文彬表示，基於比特幣的勒索，很難查找蹤跡，要想抓到黑客幾乎不可能。

事件發生後，網路熱議，認為比特幣不可追蹤性、隱蔽性，給了黑客團伙提供了一個便捷作案工具。

這件事是否要怪比特幣？

程超認為，本次勒索事件，比特幣背了一個黑鍋——即便沒有比特幣，黑客也會使用其它幣種。當然，比特幣也確實存在缺乏監管的問題，如果比特幣交易所加強身份信息審核，將會增加黑客變現難度。當然，一旦比特幣使用實名制，黑客也會尋找其他虛擬貨幣作為贖金。

威客安全CEO陳新龍告訴Xtecher：雖然可以查到比特幣流通的錢包信息，但是錢包信息是匿名的，因此無法追蹤這個錢包屬於誰。理論上來講，可以通過技術手段找到錢包背後的人，但極為困難，目前僅是理論階段。

當然，比特幣，作為一個新事物，不應該游離於法外之地，應輔以適當監管，保證行業穩定有序發展。2017年6月，中國將會出台比特幣監管相關法律，或將在一定程度上讓比特幣免背黑鍋。

無論將來比特幣如何接受監管，就目前而言，眼下人們似乎更為關心自己被病毒加密的文件該如何處理。

亡羊補牢：預防為主

NSA作為美國政府機構中最大的情報部門，在美國大片中，該部門似乎無所不能，但目前似乎尚未拿出對策，更遑論我等普通大眾。

網路安全專家劉博士告訴Xtecher：普通小白用戶除了按照推薦設置開啟系統防火牆、打開系統更新、安裝殺毒軟體、不訪問可疑網路內容、小心使用可插拔存儲之外，似乎沒什麼可做的。

威客安全CEO陳新龍認為，高手在民間，不會只能束手就擒，大眾要做的是保護好自己的個人財產安全，資金分類，分形態存放。

那麼，對於被勒索軟體加密的文件該如何處理？

傑思安全創始人劉春華表示，一旦文檔被加密，如果黑客不提供解密的密碼，則無法解密文檔。

所以，那些高校在寫論文的孩子們，請老老實實重新寫一遍！當然也可選擇給對方發去贖金，不過黑客很有可能會撕票。

當然，一個重要的破解信息或許已經出現。

目前，網路上爆出已有專家查找出一個異常域名，網路安全專家註冊該域名後，如果病毒能成功訪問這個域名，就會停止攻擊。

這個異常域名是：

對此，婁偉峰表示：由於不知道消息出處，消息並不靠譜，具體以病毒產商樣本分析為主。

威客CEO陳新龍表示，域名確實是一個重要的破解信息，如果無法與域名通訊，還是會被感染。且後續病毒可能有新的變種，攻擊甚至更猛烈，只是互聯網上的傳播被遏制，如果域名被劫持，還會繼續破壞。

360安全首席工程師鄭文彬表示，這件事情，敲響了大眾「做好備份」的警鐘。

不過，即便有備份，也不一定百分百安全，尤其是對高校、政府等機構。

陳新龍告訴Xtecher：對於此次攻擊，即便政府有備份，但多數是離線備份，實時的業務數據一旦故障就無法更新，公共信息的服務基本都是動態的，所以大家誤以為不能使用。此外，觸發備份任務時，會涉及網路鏈接，許多備份策略基於445埠，因此源文件及備份文件會一併感染。

當然，如果早期就打好補丁，做好預防，這次就可以幸免於難。

互聯網安全攻防，就像人類對於病菌的攻防，華為高級安全專家婁偉峰給出了一些建議：

對於Onion、WNCRY這類混合型病毒的威脅，可通過訪問控制手段，如防火牆，限制135、445等高位埠對內訪問。通過郵件安全網管、WEB防火牆，嚴格過濾從互聯網到內網的一切傳播手段和郵件附件，徹底切斷傳播途徑；

通過沙箱工具進行啟發式深度檢測，比如使用華為的Firehunter來對未知威脅乃至APT進行深度檢測，監控傳染源，及時切斷病毒傳播，再在核心交換，接入交換機上屏蔽掉一切高危埠；

最後，要有統一的終端安全工具，在終端上再次屏蔽高危的埠訪問，並通過統一的補丁管理，及時打上最新的針對於MS17-010的補丁，通過縱深防禦、層級聯動的方式實現企業級安全的立體防護。

靜觀其變

1983年，凱文米特尼克因被發現使用一台大學內部電腦，擅自進入Internet的前身ARPA網，並通過該網入侵美國五角大樓電腦，而被判管教6個月。這一事件成為黑客攻擊的開山之作。

更可怕的是，黑客攻擊手段曾出不窮：80年代的主流攻擊方式是密碼猜測、破解等；90年代是會話劫持、後門入侵等；2010年左右主要是遠程控制、DDoS攻擊、SQL注入等；2010年後主要是APT攻擊、移動終端、雲攻擊等。

傑思安全創始人劉春華表示：全世界黑客這兩年的收益，是過去的5到10倍。黑客行為的逐利性帶來黑產的異常活躍，各種黑客勢力分工明確，形成完整合作鏈條，攻擊目標和手段更加精準。

在這種表面上的平靜之中，以竊密、預製為目的的APT攻擊，則由於其是高度隱秘的、難以為IT管理者感知到的攻擊，始終未能得到足夠的重視。

沒有引起足夠的重視，或許也是導致本次全球大範圍網路遭受攻擊的原因。

而對於此事後續發展狀態如何，360安全首席工程師鄭文彬認為「還很難預測」，只能等待黑客的下一步動作。

互聯網正從PC時代走向移動時代，手機也將同樣面臨巨大的安全考驗。劉春華表示，未來移動智能終端安全將涉及各個方面，安全問題遵循「木桶效應」，解決一部分問題，不代表移動終端安全問題就得到了解決。

移動安全是一個生態圈，需大家共同努力，只有企業、應用市場、終端廠商、個人用戶各方一起攜手提高安全意識，才能最終建立並不斷優化移動智能終端的安全生態鏈。

此外，業務應用雲端化，帶來了新一輪生產效率的提高，雲的出現，是一次IT業務模式的重大變革，也讓為其提供支撐保障的安全體系，面臨著新的挑戰。除了雲服務商提供一定的安全保障外，使用雲端的客戶更要有防範意識，而非將安全交於他人之手。

道高一尺魔高一丈，網路沒有絕對安全。威客安全CEO陳新龍認為，日後通過加密進行勒索的方式會層出不窮，取消隱蔽支付與變現，是遏制這類事件發生的關鍵，安全防禦能力的自動化防禦將是趨勢。

人工反應速度無法趕上機器傳播速度，這次事件各個國家將高度重視，帶來的世界級的影響也將給各類人群敲響警鐘，網路安全戰略將走向一個新高度。

章節附註：本文特別感謝所有嘉賓在周末夜晚第一時間響應了Xtecher的訪問！

━━━━━

封面來源：網路 排版：陳光 校對：楊靜

━━━━━

Xtecher官網平台現開通認證作者，

（添加好友請註明公司、職位、事由）

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！