10+安全专家深度访谈：这场全球性的比特币勒索软件是如何收场的？

标题图片来自美剧《机器人先生》。

5 月 12 日，WanaCrypt0r2.0 勒索软件攻击了全球 Windows 漏洞。迄今为止，已有70多个国家的政府、大学、医院等机构遭到袭击。这件事还在进一步发酵，似乎没有办法破解被感染的系统和文件。全球数十亿用户是安全的，但他们却被一个躲在黑暗中的人在掌声中玩弄。

为此，Xtecher专访了华为高级安全专家楼伟峰、威客安全CEO陈新龙、360安全总工程师郑文斌、清联云CEO董方、长亭科技CEO陈宇森、杰斯安全CEO刘春华、云技术专家、网络安全专家刘博士、招股科技CTO程超等多位国内一线安全专家为此事澄清了来龙去脉。

采访｜小生生，哥们，策丹

作者｜小生生、哥们、田

编辑｜A小姐

网址｜

微信公众号｜Xtecher

大恐慌！

5 月 12 日，一名黑客坐在电脑前，轻轻按下 Enter 键。这一看似微不足道的举动，却在全球 70 多个国家/地区的数十亿用户中引发了对网络安全的恐慌。

当晚，WanaCrypt0r2.0（以下简称Wcry2.0）勒索软件在全球爆发。无需用户任何操作，Wcry2.0就可以扫描Windows 机器开放 445 文件共享端口来植入恶意程序。

目前，勒索软件攻击已波及全球74个国家，包括美国、英国、中国、西班牙、俄罗斯等。此次攻击的目标包括政府、医院、公安局、以及主要大学和其他机构和个人。

黑客要求每个受害者在解密和恢复文件之前支付赎金，而这种赎金方式使用的是最流行的产品比特币，勒索金额高达5比特币，价值5万多元。

Kill公司技术总监，中国最早的杀毒厂商，原江民公司技术总监，现华为高级安全专家楼伟峰告诉Xtecher：“从技术上讲，这不是黑客攻击，而是一次大规模的攻击。出于经济目的的勒索软件传播事件。Onion 和 WNCRY 勒索软件的大规模传播是“永恒之蓝”勒索软件的病毒变种，但这种病毒不是新技术，但可以迅速蔓延，短时间内侵入各大机构，至今经济损失已达数十亿。”

博士。网络安全专家刘告诉Xtecher：“本质上，如果病毒想要获得访问权限并突破访问控制，操作系统会通过防火墙等限制访问，但如果系统存在安全漏洞，能被利用，就有可能突破。几个被感染的Windows版本恰好存在可被利用的漏洞。”

360安全总工程师郑文斌告诉Xtecher：“中国主要受到教育网用户的攻击。上个月，360针对这个端口漏洞发布了预警，并推出了免疫工具。微软之前也发布了相关的漏洞补丁。”但是很多教育网络并没有修复这个漏洞，所以成了重灾区。”

为什么教育网、公安局、医院等机构成为重灾区？

郑文斌认为，此类机构使用内网较多，与外界联系较少，在防范意识上存在疏漏。另一方面，这些机构不能保证完全隔离互联网。一旦扫描病毒，它们也会中毒 - 只需扫描一台计算机，它会像人类感染一样传播到其他计算机。

清联云CEO董方告诉Xtecher：“学校使用教育网，教育网是私网，成绩不是很高，学校是重灾区。”

另外，这次被病毒感染的大部分是Windows系统，而苹果和安卓则幸免于难。

长亭科技CEO陈宇森告诉Xtecher：“这与系统质量无关，本次攻击是利用Windows漏洞攻击其主机/服务器运行在445端口的SMB服务。 ，所以攻击全是Windows系统。微软在3月份正式发布了不同版本的系统补丁，13日下午还发布了针对XP和2003系统的特殊补丁。”

不过，华为云安全负责人楼伟峰认为，从经济利益的角度来看，微软的用户远大于苹果的用户，因此成为了被攻击的原因之一。

“这是微软近十年来发生的一件比较重大的事件。 4月15日，微软已经发出警告，但警告方式可能技术性太强，以至于大家不明白被攻击的后果是什么。”青莲云CEO东方告诉Xtecher。

那么，这样的攻击是从哪里传到全球，涉及金融、医疗、铁路、能源、教育系统等终端的，又是从哪里来的呢？

病毒从何而来？

从“永恒之蓝”变异而来的勒索软件蠕虫是世界上第一个民用NSA网络武器的例子。

早在4月14日，一个自称“影子经纪人”的黑客组织泄露了一份震惊世界的机密文件，其中包含多个Windows远程利用工具，可覆盖全球70%的Windows服务器谁能破解比特币勒索病毒，产生巨大影响，但国内很多政府、大学等机构并没有给予足够的重视。

华为高级安全专家楼伟峰告诉Xtecher：“影子经纪人”（Shadow Brokers）突破了美国国家安全局（National Security Agency）的网络，从一个名为“方程式”的黑客组织那里获得了大量军用级黑客工具。 ”，ShadowBrokers 制作了黑客工具之一“EternalBlue”，而这次勒索软件是“EternalBlue”的变种。

据360安全总工程师郑文斌称，美军利用黑客技术攻击中东地区的银行。美国政府对叙利亚的轰炸引起了黑客的不满，黑客随后窃取了这项技术作为威胁。

黑客使用勒索软件由来已久，但病毒软件勒索的大部分赎金都是通过法币、电子汇款、预付卡等方式收取的。但在这次病毒勒索事件中，黑客似乎利用了比特币热点。

为什么要用比特币作为赎金？

深圳招股科技联合创始人程超告诉Xtecher：作为匿名转账的数字资产，比特币的匿名性已经成为黑客最看重的特征。比特币地址是一串乱码的英文字符，不绑定任何用户信息，因此无法仅从比特币地址追踪用户信息，更容易让黑客逃避追查和监管。

网上有很多观点认为，后续黑客可能会放弃大规模勒索，因为一旦大量比特币流入黑客的账户，就有可能导致其行为轨迹被追踪。不过，360安全总工程师郑文斌表示，基于比特币的勒索很难追根溯源，几乎不可能抓到黑客。

事件发生后，网络热议，认为比特币的不可追溯性和隐蔽性为黑客团伙作案提供了方便的工具。

这要怪比特币吗？

程超认为，在这次勒索事件中，比特币有一个黑锅——即使没有比特币，黑客也会使用其他货币。当然，比特币确实存在监管缺失的问题。如果比特币交易所加强对身份信息的验证，将会增加黑客变现的难度。当然，一旦比特币采用实名制，黑客也会寻找其他虚拟货币作为赎金。

Wickey Security CEO陈新龙告诉Xtecher：虽然可以查到比特币流通的钱包信息，但钱包信息是匿名的，所以无法追踪钱包的归属。理论上可以通过技术手段找到钱包背后的人，但难度极大，目前还只是理论阶段。

当然，比特币作为一个新生事物，不应该在法律之外，应该辅以适当的监管，以确保行业稳定有序的发展。 2017年6月，中国将出台比特币监管相关的法律，这可能会在一定程度上让比特币免于责难。

无论未来比特币如何监管，就目前而言，人们似乎更关心如何处理他们的病毒加密文件。

做好工作：预防为主

作为美国政府机构中最大的情报机构，美国国家安全局在美国大片中看似无所不能，但似乎还没有拿出对策，更不用说像我这样的普通民众了。

博士。网络安全专家刘告诉Xtecher，普通新手用户除了按照推荐设置开启系统防火墙、开启系统更新、安装杀毒软件、不访问可疑网络内容、使用可插拔存储，似乎无事可做。小心。的。

威客安全CEO陈新龙认为，高手在民间谁能破解比特币勒索病毒，不会随便抓到手。

那么，如何处理被勒索软件加密的文件？

耶稣安全创始人刘春华表示，一旦文档被加密，如果黑客不提供解密密码，文档就无法解密。

所以，那些正在写论文的大学生，请诚实地重写它！当然，你也可以选择向对方发送赎金，但黑客很有可能会撕票。

当然，一个重要的破解信息可能已经出现了。

目前，专家在网上发现了一个异常域名。网络安全专家注册域名后，如果病毒可以成功访问该域名，攻击就会停止。

异常域名为：

对此，楼伟峰表示：由于不知道消息来源，消息不可靠，具体分析主要以病毒厂商的样本分析为主。

威客CEO陈新龙表示，域名确实是破解的重要信息。如果它不能与域名通信，它仍然会被感染。而且后续病毒可能有新变种，攻击更加猛烈，但在互联网上的传播受到遏制，如果域名被劫持，还会继续被破坏。

360安全总工程师郑文斌表示，此次事件敲响了公众“做好备份”的警钟。

但是，即使您有备份，也不一定是 100% 安全的，尤其是对于大学和政府等机构而言。

陈新龙告诉Xtecher：这次攻击，虽然政府有备份，但大部分都是离线备份。一旦实时业务数据出现故障，就无法更新。公共信息服务基本上是动态的，所以人们错误地认为不能使用。另外，当一个备份任务触发时，会涉及到网络链路，而且很多备份策略都是基于445端口的，所以源文件和备份文件会一起被感染。

当然，如果你早点打补丁并采取预防措施，你本可以活下来的。

互联网安全攻防就像人类对病菌的攻防，华为高级安全专家楼伟峰给出了一些建议：

对于Onion、WNCRY等混合病毒的威胁，可以通过防火墙等访问控制手段来限制135、445等高级端口的向内访问。通过邮件安全网管和WEB防火墙，严格过滤从互联网到内网的所有传输手段和邮件附件，彻底切断传输手段；

使用沙盒工具进行启发式深度检测，例如使用华为Firehunter对未知威胁甚至APT进行深度检测，监控感染源，及时切断病毒传播，然后阻断所有高-核心交换机和接入交换机的风险。港口；

最后，必须有统一的终端安全工具，重新阻断终端上高危端口的访问，并通过统一的补丁管理，及时打上MS17-010最新补丁，并通过防御- 深度分层联动，实现企业级安全的立体防护。

拭目以待

1983 年，凯文·米特尼克 (Kevin Mitnick) 因使用大学计算机未经授权访问互联网的前身 ARPA 网络，并通过该网络侵入五角大楼的计算机，被判入狱六个月。此事件成为黑客攻击的创举。

更可怕的是，黑客手段层出不穷：1980年代，主流的攻击手段有密码猜测、破解等； 1990年代，会话劫持、后门入侵等； SQL注入等。2010年后主要是APT攻击、移动端、云攻击等。

Jess Security 创始人刘春华表示，过去两年全球黑客的收入是过去的 5 到 10 倍。黑客的逐利性质带来了异常活跃的黑色产业。各种黑客势力分工明确，形成完整的合作链条，攻击目标和手段更加精准。

在这种表面上的平静中，旨在窃取机密和预制的 APT 攻击从未得到足够的关注，因为它们高度隐秘且 IT 经理难以察觉。

没有引起足够的重视，这也可能是这次大规模全球网络攻击的原因。

对于此事的后续发展，360安全总工程师郑文斌认为“难以预料”，只能等待黑客的下一步行动。

互联网正在从PC时代走向移动时代，手机也将面临巨大的安全挑战。刘春华表示，未来移动智能终端的安全将涉及方方面面。安全问题遵循“木桶效应”，解决了部分问题并不意味着移动终端的安全问题就解决了。

移动安全是一个需要每个人共同努力的生态系统。只有企业、应用市场、终端厂商、个人用户共同提高安全意识，才能最终建立并不断优化移动智能终端的安全生态链。

此外，业务应用的云化带来了新一轮的生产效率提升。云的出现是IT商业模式的一次重大变革，也给为其提供支撑的安全体系带来了新的挑战。 除了云服务提供商提供的某些安全保障外，使用云的客户应该更加注意预防措施，而不是把安全交给别人。

路一尺高，魔鬼一尺高，网络也不是绝对安全的。威客安全CEO陈新龙认为，未来通过加密进行勒索的手段将层出不穷。取消隐性支付和变现是遏制此类事件发生的关键。安全防御能力的自动化防御将是趋势。

人工响应的速度赶不上机器传动的速度。各国将高度重视这一事件，世界级的影响也将为各类人士敲响警钟，网络安全战略将迈上新高度。

尾注：特别感谢所有在周末晚上响应 Xtecher 来访的客人！