那么這個“勒索”病毒怎么來的，為什么這么厲害？被加密的數(shù)據(jù)還能夠解開嗎？“勒索”的比特幣從哪來、怎么支付？教育網(wǎng)聲明其不是重災區(qū)，這次的安全應急響應是否過度？5月16日下午，中國計算機學會青年科技論壇(CCF YOCSEF)聯(lián)合CCF計算機安全專業(yè)委員會共同舉行一次“勒索病毒：憑什么能綁架我們的系統(tǒng)？”特別技術論壇，邀請國內信息安全領域內的知名專家、學者進行相關探討。

“這是第一例蠕蟲型‘勒索’病毒軟件。”左磊是北京神州綠盟信息安全公司安全研究部總監(jiān)，他先給這次爆發(fā)的“勒索”軟件進行了定義，“蠕蟲病毒主要是利用網(wǎng)絡進行復制和傳播，傳染途徑一般是通過電子郵件引導用戶點擊，但這次勒索軟件又多了一步，利用漏洞快速傳播，加密文件以進行勒索”。

左磊介紹，今年2月就有人在網(wǎng)上宣稱發(fā)現(xiàn)了這一惡意軟件，3月也有人宣布發(fā)現(xiàn)。當時還是1.0版本，不具備蠕蟲的性質。微軟曾經(jīng)在3月發(fā)布過針對漏洞的6個補丁，但一個月之后這一病毒軟件2.0版本出現(xiàn)。左磊從技術角度分析了微軟操作系統(tǒng)的漏洞是如何被“勒索”軟件攻擊的。這一軟件攻擊范圍很廣，許多系統(tǒng)可以傳播。

左磊也看到報道，英國一個年輕的IT專家通過分析“想哭”軟件發(fā)現(xiàn)，它預設如果訪問某個域名就自我刪除，而這個域名尚未注冊，他通過注冊這個域名并進行相關操作，成功阻止了“想哭”軟件蔓延。

“這個軟件5月14日出現(xiàn)變種，目前已經(jīng)發(fā)現(xiàn)兩個變種，第一個變種改動簡單已經(jīng)失效。”左磊說，“勒索”軟件影響范圍很大，他們監(jiān)測到，截至5月16日13時有237筆被勒索的支付，包括235個比特幣，約5.9萬美元，折合41萬元人民幣，但目前沒有人領取。

北京理工大學計算機學院教授祝烈煌則給大家展示了被勒索的比特幣是如何形成的，以及它與傳統(tǒng)貨幣的區(qū)別、資金流向。他提出，要根據(jù)已經(jīng)查明的3個資金流向地址，在網(wǎng)絡世界中建立相應的反制措施。

這是大規(guī)模“網(wǎng)絡軍火”擴散失控事件

安天科技公司副總裁王小豐則把這款新型蠕蟲式“勒索”軟件稱為“魔窟”：“安全從業(yè)人員這幾天一直都很緊張，進行分析、應對，我們認為這是一起全球大規(guī)模‘網(wǎng)絡軍火’擴散失控事件。”

他說，一個月前，安天就曾發(fā)布有關提示：“網(wǎng)絡軍火”擴散會在全球降低攻擊者成本，會帶來“蠕蟲”回潮。此預警不幸言中。好在，此次國內的網(wǎng)絡安全企業(yè)反應相對迅速。天安在5月12日晚就拿出了分析報告，并發(fā)出相關應對預案。并在隨后針對“勒索”軟件的防范發(fā)布指南，發(fā)布了免疫工具。

“‘網(wǎng)絡軍火’攻擊性強、穿透性強，會造成大規(guī)模災難；我們的基礎防御水平還很低；要舉一反三，現(xiàn)在不是網(wǎng)絡更安全了，而是隱蔽性增加了，難以被發(fā)現(xiàn)了。”針對此次攻擊事件，王小豐有許多思考，他認為今后我們會面臨更多“網(wǎng)絡軍火”攻擊和失控的危險，“此次暴露出隔離網(wǎng)內漏洞比較多。過于依賴網(wǎng)絡邊界防護和物理隔離的安全體系，反而內部網(wǎng)絡安全可能疏漏較多，系統(tǒng)安全治理工作也任重道遠。”

中標軟件副總經(jīng)理李震寧在論壇上也代表國產操作系統(tǒng)廠商發(fā)表了看法：“雖然這次攻擊只是針對windows系統(tǒng)而不會影響到Linux，但這個漏洞是被美國國家安全局掌控，被黑客泄露后發(fā)動攻擊。還有更多沒有被公開的漏洞，這才是這個事件中透射的最可怕問題。我們大量的設備是基于這樣的系統(tǒng)構建，系統(tǒng)還有多少漏洞后門不得而知。我國提出要在實施信息領域核心技術設備攻堅戰(zhàn)略、在操作系統(tǒng)等研發(fā)和應用取得重大突破，就是希望能夠構建真正安全、可控的信息技術體系。”

此次事件應急處理成功有運氣成分

360副總裁、首席安全官譚曉生出示了一張數(shù)據(jù)監(jiān)測圖，顯示5月12日的下午3點開始出現(xiàn)大量感染，晚上進入了高發(fā)期，有很多機構中招，包括某石油系統(tǒng)和政府某機構網(wǎng)站。“到了5月13日12點以后，無論是政府企業(yè)還是機構個人都開始進行相關處置，病毒感染開始得到控制。從5月14日早上7點到現(xiàn)在，一直平穩(wěn)，沒有出現(xiàn)大規(guī)模的感染。”

由于15日是病毒出現(xiàn)后的第一個工作日，上午11點到12點一個小時中，是過去這些時間段里的最高峰，共有5389次攻擊，一共105個用戶中招。而在16日下午一個小時內則只有幾十個。

“現(xiàn)在用戶中病毒會繼續(xù)傳播但不會加密文件，損害基本不存在了。”譚曉生說，這是因為那個英國小伙子注冊了域名，把它的危害控制住了。

360的實時監(jiān)測數(shù)據(jù)也證明了“教育網(wǎng)不是此次事件的重災區(qū)”。截至5月16日零點，360安全衛(wèi)士監(jiān)測到的數(shù)據(jù)顯示，教育網(wǎng)只占國內全部受感染的0.63%。此前的報道，很大程度是由于媒體的數(shù)據(jù)誤讀和錯誤解讀。

“我們接近6萬臺設備，到目前為止沒有接到一個學生電腦中毒的報告，也沒有接到一個教師受到這次‘勒索’軟件影響的報告。全校只是有幾臺在教室中播放PPT的設備受到感染。”在論壇上，從事信息安全研究的北京大學教授陳鐘提供了北京大學目前的數(shù)據(jù)，以此證明“教育網(wǎng)在此次‘勒索’軟件傳播中背了黑鍋”。

譚曉生認為這次“勒索”軟件的傳播得到及時控制，有運氣成分在其中。“首先是安全產品廠家反映迅速，因為是在‘一帶一路’峰會期間，各個部門溝通及時，政府連下3個通告，運營商對端口進行封閉，很多企事業(yè)單位、機構迅速關閉了445端口，也阻礙了傳播。微軟也特例給XP和2003系統(tǒng)出了補丁，雖然晚了一點點，但是還是解決了不少的問題。”

“雖然說應急比較成功，但還是有不少需要改進的地方。”譚曉生進行了逐一分析，第一，谷歌3月首先報出那個操作系統(tǒng)的漏洞，如果當時研判這是蠕蟲的傳播，應該有應急預案，但是沒做；第二，有些大企業(yè)，特別是有的央企，信息技術能力并不差，有很強大的安全團隊，但是為什么也中招？因為他們對安全理解有偏頗。“從這次看，網(wǎng)絡終端并非等同于徹底殺毒，終端也可以成為發(fā)起攻擊的源頭，病毒可以進到隔離的網(wǎng)絡里去，如果內網(wǎng)安全防范沒有做好，照樣會被病毒攻擊。”