自2017年5月12日勒索蠕蟲WannaCry爆發(fā)以來，對于已經(jīng)感染該勒索蠕蟲的Windows用戶來說，最頭痛的莫過于電腦上的數(shù)據(jù)該怎么辦呢?除了乖乖交出贖金，是否還有其他的辦法找回?cái)?shù)據(jù)嗎?帶著這一疑問，記者采訪了亞信安全的安全專家們。 　　被WannaCry加密的文件，部分可恢復(fù) 　　“目前，加密的文件通過解密是不可能的，但是被刪除的數(shù)據(jù)可做恢復(fù)?！?亞信安全通用安全產(chǎn)品管理副總經(jīng)理劉政平說到。 　　WannaCry是一種蠕蟲式勒索軟件，利用NSA黑客武器庫泄露的“永恒之藍(lán)”發(fā)起病毒攻擊。利用Windows SMB服務(wù)器漏洞CVE20170147滲透到Windows機(jī)器中，其中嚴(yán)重的漏洞允許遠(yuǎn)程執(zhí)行代碼傳播迅速;一旦被攻擊，暫無解密方式。 　　被WannaCry勒索蠕蟲加密的文件是否能復(fù)原 　　在對病毒樣本的分析中，亞信安全發(fā)現(xiàn)攻擊者利用勒索蠕蟲WannaCry針對攻擊的文檔，會先做出一份加密文檔，然后修改權(quán)限確認(rèn)此份加密文檔是無法被刪除的。然后在某些情況下，它會對原受攻擊的文檔進(jìn)行寫入的動作，最后進(jìn)行刪除。即使采用數(shù)據(jù)恢復(fù)工具，并不能保證可以完全恢復(fù)受攻擊文檔的原始內(nèi)容。但是，根據(jù)該勒索蠕蟲的行為方式，我們可以恢復(fù)C盤之外的大部分?jǐn)?shù)據(jù)。 　　亞信安全通用安全產(chǎn)品中心總經(jīng)理童寧為記者詳細(xì)解釋到，無論是針對哪個(gè)盤的數(shù)據(jù)進(jìn)行加密，加密的算法都是一樣的。唯一的差距是刪除的時(shí)候，把這個(gè)文件拷貝出來加密形成一個(gè)新文件。為了提高勒索效率，攻擊者采用了不同的刪除行為。一方面，攻擊者會挑選桌面以及C盤一些文件進(jìn)行清零操作，即：將文件從盤里拷貝出來，然后刪除文件，采用清零算法，把數(shù)據(jù)全部寫0，這時(shí)數(shù)據(jù)無法還原。另一方面，對于D、E等盤，攻擊者采用簡單的刪除操作。例如僅僅刪除文件頭，修改文件類型，文件還在，此時(shí)數(shù)據(jù)可恢復(fù)。但是，至于能夠恢復(fù)多少，則取決于原文件所在扇區(qū)是否被重寫或者覆蓋過。 　　此外，經(jīng)測試發(fā)現(xiàn)，當(dāng)一個(gè)盤符里面的數(shù)據(jù)量較少時(shí)(例如使用了30%)，幾乎能恢復(fù)所有數(shù)據(jù);當(dāng)一個(gè)盤符里面的數(shù)據(jù)量較大時(shí)(例如使用了90%)，只能恢復(fù)部分?jǐn)?shù)據(jù)，有一部分?jǐn)?shù)據(jù)丟失;當(dāng)磁盤空間已滿時(shí)，有的原始文件根本沒有被加密，這種情況下，與普通數(shù)據(jù)恢復(fù)原理相同，大多數(shù)數(shù)據(jù)可以恢復(fù)。 　　新的網(wǎng)絡(luò)攻防需要有新的技術(shù)來應(yīng)對新的挑戰(zhàn) 　　記者了解到，在本次勒索攻擊事件中，亞信安全沒有一例客戶受到影響。這是為什么?據(jù)劉政平介紹，首先，今年四月底亞信安全的全線產(chǎn)品針對微軟“永恒之藍(lán)”的漏洞發(fā)布了針對性的虛擬補(bǔ)丁和檢測策略。其次，桌面安全解決方案OfficeScan 11 SP1，通過AGEIS引擎(行為監(jiān)控)使用ADC(AccessDocument Control)功能對勒索軟件惡意的加密行為實(shí)施攔截。第三，安全專家在事前協(xié)助用戶部署虛擬補(bǔ)丁策略，事中協(xié)助用戶進(jìn)行配置更新和安全軟件更新，事后進(jìn)行詳細(xì)分析及系統(tǒng)和優(yōu)化，提供了全面的專家支持服務(wù)。 　　劉政平表示，新的網(wǎng)絡(luò)攻防必須要有新的技術(shù)才能應(yīng)對新的挑戰(zhàn)，何況這是一個(gè)NSA花了很大代價(jià)開發(fā)出來的網(wǎng)絡(luò)戰(zhàn)略武器。亞信安全之所以能夠成功抵御此次攻擊，也離不開在新技術(shù)上的持續(xù)投入。例如：機(jī)器學(xué)習(xí)技術(shù)。在本次事件中，通過機(jī)器學(xué)習(xí)引擎的beta版，幫助用戶成功有效地?cái)r截了該勒索蠕蟲。 　　通過為客戶制定事前、事中、事后的安全策略，并強(qiáng)調(diào)補(bǔ)丁管理、異常行為檢測、沙箱分析、機(jī)器學(xué)習(xí)等技術(shù)手段，亞信安全配合專業(yè)的安全服務(wù)，確?？蛻舻呐渲酶乱约鞍踩浖隆Ｗ罱K，即使用戶側(cè)在病毒碼沒有更新，在硬件網(wǎng)關(guān)失效，在系統(tǒng)沒打補(bǔ)丁，在內(nèi)網(wǎng)中招的情況下，亞信安全OfficeScan仍然成功抵御了此次勒索。 　　國內(nèi)外的安全廠商都在想方設(shè)法應(yīng)對勒索蠕蟲病毒，并且取得了積極的成效。亞信安全技術(shù)支持中心總經(jīng)理蔡昇欽介紹，比如亞信安全參與承建的國內(nèi)多個(gè)省份的電信運(yùn)營商使用的錯(cuò)誤域名重定向系統(tǒng)，就能讓病毒誤以為成功訪問了那個(gè)緊急停止“開關(guān)”，所有請求得到了解析成功的響應(yīng)，客觀上避免了病毒的二次傳播。 　　與勒索蠕蟲的戰(zhàn)斗剛剛開始 　　“這次其實(shí)不是一個(gè)事件的結(jié)束，恰恰是一個(gè)開始。這一類蠕蟲和勒索軟件相融合的模式是第一次，帶有一種示范效應(yīng)。很多黑客發(fā)現(xiàn)如此有效，可能會依法炮制，利用相同手法進(jìn)行傳播和攻擊。因此，未來這個(gè)威脅會越來越大，而且是跨平臺、跨系統(tǒng)的?！眲⒄奖硎尽? 　　蔡昇欽也認(rèn)為：“WannaCry勒索蠕蟲將會寫入病毒發(fā)展史，它開啟了一個(gè)新的病毒類型。它把蠕蟲的行為加入攻擊中，對未來的網(wǎng)絡(luò)安全影響很大。在物聯(lián)網(wǎng)時(shí)代，一旦跟勒索軟件相結(jié)合，會對未來物聯(lián)網(wǎng)的生活造成很大的影響。這也給企業(yè)敲響了警鐘，企業(yè)需時(shí)刻重視補(bǔ)丁的更新。” 　　據(jù)悉，NSA泄露的漏洞還有一些沒有揭露，這也意味著沒有相應(yīng)的補(bǔ)丁，而安全廠商更沒有相應(yīng)的安全規(guī)則。當(dāng)這些漏洞被揭露的時(shí)候，我們該怎么辦? 　　作為安全廠商總不能跟客戶說，這是百年一遇的大攻擊，我們的技術(shù)防不住。因此，廠商應(yīng)需要盡快地引進(jìn)和開發(fā)新技術(shù)，從而進(jìn)行有效防御。 　　對用戶來說，用病毒碼這種被動式防護(hù)已慢慢失效，它無法解決系統(tǒng)級漏洞的傳播模式。所以，用戶需要采取主動防御、層層防護(hù)的模式，提前建好防護(hù)體系。對此，劉政平表示：“我們認(rèn)為安全是一個(gè)三分靠技術(shù)，七分靠管理的體系化工作，建議企業(yè)做到預(yù)防為主，并同時(shí)做好事后的應(yīng)急響應(yīng)。”