【文章摘要】在勒索病毒发生后的96小时内,腾讯电脑管家安全团队第一时间推出相关的感染风险诊断和免疫工具,并通过技术攻关,研发了勒索病毒专杀工具和文件恢复工具,保障用户安全免受侵害。
2017年5月12日,一个名为“WannaCry”的勒索病毒突然在全球网络范围内大面积肆虐。在我国,包括机场、银行、加油站、医院、公安、出入境等机构均受到影响,电脑文件遭加密,只有在规定的时间内缴纳赎金,方能破解。备份、杀毒、恢复成了各类科普文和技术贴的高频词汇。
(电脑中毒后屏幕上跳出来的勒索信)
在勒索病毒发生后的96小时内,腾讯电脑管家安全团队第一时间推出相关的感染风险诊断和免疫工具,并通过技术攻关,研发了勒索病毒专杀工具和文件恢复工具,受害用户下载使用后,被锁定的文件有相当大的可能失而复得。快速响应病毒治理的背后,既是腾讯电脑管家安全技术实力的体现,也是其对亿万用户网络安全的承诺。在这场席卷全球的抗勒索病毒战役中,腾讯安全团队吹响了先锋号。
“WannaCry”勒索病毒席卷全球,国内疫情可控
此前,有媒体报道称,在这次勒索病毒攻击中,英国最早受到攻击,受创最严重的是英国医疗体系,大量病患信息无法查询、电话断线、就诊无法预约,而全球超过10万家组织和机构被比特币勒索病毒攻陷。在中国,生活服务、商业中心、交通运输、医疗和一些政府、事业单位的电脑也遭遇攻击。值得注意的是,医院的日常运行依赖于网络,系统中包括病人重要数据,一旦医院网络系统出现纰漏导致无法正常运作,将极有可能危及病患生命,而生活、商业、政府等部门的电脑被攻击可能影响民众的正常生活。
实际上,此次“WannaCry”勒索病毒的爆发早有前兆。早在今年3月,微软就发布了相关补丁并发出了安全提醒,而腾讯反病毒实验室及腾讯电脑管家安全团队也第一时间做了用户提醒和防御举措,而此前已经升级好补丁的用户并不会遭受此次“WannaCry”勒索病毒的侵害。
(腾讯安全反病毒实验室96小时勒索病毒监控图)
得益于腾讯电脑管家针对用户提供的全面防御举措,国内真正被此次勒索病毒感染的用户有限。200个受害者付款,价值37万人民币的比特币被转到黑客账户。与全球中毒用户规模来看,这仅仅是非常小的一个支付比例。
病毒样本已启动“进化模式”,“想哭”变身“想妹妹”
虽然WannaCry勒索病毒的传播蔓延已经得到了有效控制,但腾讯反病毒实验室研究发现,WannaCry勒索病毒似乎已经启动了“进化模式”,在接下来的几周内可能会出现更多的变种。Heimdal Security研究人员宣称已经发现多个开关被修改的木马变种,腾讯反病毒实验室也证实了变种的存在。
(腾讯反病毒实验室跟进病毒样本进化分析)
5月16日,腾讯反病毒实验室及时响应此次攻击事件,搜集相关信息,初步判断WannaCry病毒在爆发之前已经存在于互联网中,并且病毒目前仍然在进行变种。在监控到的样本中,发现疑似黑客的开发路径,有的样本名称已经变为“WannaSister.exe”,从“想哭(WannaCry)”变成“想妹妹(WannaSister)”,而且这个样本应该是病毒作者持续更新,用来逃避杀毒软件查杀的对抗手段。
就目前掌握的信息,自 5月12 日病毒爆发以后,病毒样本出现了至少 4 种方式来对抗安全软件的查杀,这也再次印证了WannaCry还在一直演化,包括加壳、伪装、伪造数字签名等手段。但不幸的是,即便WannaCry如何演变,目前都逃不过腾讯电脑管家的“防火墙”,用户只要及时升级补丁就不会中招。
于此同时,腾讯安全反病毒实验室还追踪到了WannaCry病毒新的入侵手段。WannaCry勒索病毒开始利用捆绑正常软件进行传播,目前已经确认,部分下载器安装包被黑客捆绑勒索病毒,后续可能会出现类似软件捆绑。目前该变种已经被腾讯电脑管家拦截。
付赎金可解锁?WannaCry勒索病毒已被“黑吃黑”
腾讯安全反病毒实验室对病毒作者提供的比特币账户进行监控,发现截至发稿为止已有约200个受害者付款,价值37万人民币的比特币被转到黑客账户。而对于更多的受害者来说,目前面临的一个重要的问题,就是该不该付赎金。
经过分析,WannaCry病毒提供的赎回流程可能存在一个让受害者更加悲惨的漏洞,支付赎金的操作是一个和计算机弱绑定的操作,并不能把受害计算机的付款事实传递给黑客。通俗点说,即使黑客收到了赎金,他也无法准确知道是谁付的款,该给谁解密。比特币勒索的受害者对于支付赎金一定要慎重考虑,对于通过付款赎回被加密的文件,不要抱太大的期望。
更令人绝望的是,经过对比特币勒索变种持续监控,分析人员还发现了“黑吃黑”的现象,有其他黑客通过修改“原版Wannacry”比特币钱包地址,做出了“改收钱地址版Wannacry”重新进行攻击。而这一部分新的受害者支付的赎金,都进修改者的钱包,他们文件也基本不可能赎回了,因为他们“付错对象了”。这里不免让人思考,所谓的“爆发版Wannacry”作者是否也是通过修改别的黑客的钱包,而发起的这次攻击呢?不得而知,如果真是这样,也许付款的受害者只能等到海枯石烂了。
马劲松提醒,即便不幸遭遇勒索病毒,也不建议向黑客组织支付赎金。腾讯电脑管家已经推出了文件恢复工具,用户在被锁第一时间使用工具,可以最大限度恢复文件,减少损失。
WannaCry勒索病毒不会感染手机,但绝不可掉以轻心
而针对网络上流传的关于“升级版勒索病毒侵犯手机”的说法,腾讯安全反病毒实验室负责人马劲松表示,手机上确实也出现过类似勒索病毒,但并没有证据证实跟这次勒索病毒事件有关系。也就是说,WannaCry病毒基于Windows系统传播,智能手机并不会受到影响。腾讯手机管家很早就截获了手机勒索病毒样本并具备了查杀能力,用户可以放心使用。
然而,广大网民绝对不可掉以轻心。最新情报显示,泄露了WannaCry病毒所使用漏洞的黑客组织警告称,将发布更多的恶意代码,使黑客可以攻击全球最广泛使用的计算机、软件和手机。该组织在博客中表示,从6月份开始,每月将发布工具。任何人只要愿意付费,就可以获得科技行业最重大的商业秘密。
对此,马劲松表示,对抗黑产是一场漫长的战役,腾讯安全团队已经做好了战斗准备。WannaCry爆发之际,腾讯电脑管家第一时间关注,并针对用户反映的问题,在较短的时间内提供解决方案,为用户提供全方位保护,包括勒索病毒免疫工具、文档守护者工具、文件恢复工具等,因其防御病毒的有效性及文件恢复成功率高,成为抗击勒索病毒的最有效武器,被公安部、全国百所高校及三大运营商等官方推荐使用工具。
(腾讯电脑管家针对于勒索病毒推出“勒索病毒免疫工具”)
(腾讯电脑管家“文档守护者工具”)
(公安部、全国百所高校推荐腾讯电脑管家防护方案)
目前,抗击勒索病毒的黄金96小时已经过去,但WannaCry的安全警报尚未完全解除。腾讯安全团队仍奋斗在抗击病毒的第一线,为网民提供最有力的安全保障。针对此次勒索病毒事件,腾讯电脑管家提醒广大用户强化网络安全意识,保持腾讯电脑管家实时开启状态,及时更新系统等。
【关键词】腾讯安全 WannaCry 勒索病毒 96小时 电脑管家 反病毒实验室