腾讯云鼎实验室Killer：面对“想哭”勒索软件，你不知道的几件事

全球爆发的比特币勒索蠕虫病毒WannaCry 事件还在持续发酵，就在昨天，无论是互联网安全界、国内众多高校、政府相关部门等各方都纷纷给出紧急应对措施。腾讯云也在昨天第一时间为云上用户提供了修复建议。

这款勒索软件究竟为什么会在全球大规模爆发？给我们敲响了什么警钟？国内信息安全专业媒体《嘶吼》对腾讯云鼎实验室负责人Killer（董志强）进行了专访，一起来听听Killer对此次事件的解读。

Killer（董志强）

腾讯安全云鼎实验室负责人。国内知名安全防护工具—“超级巡警”创始人，行业内公认的杀毒专家，因2007年初“熊猫烧香”事件成为全国焦点，曾负责百度海外安全产品。

5月12日爆发的“想哭”勒索软件事件，究其原因是之前NSA泄露的一个Windows 0day漏洞，微软随之便发布了补丁。但是微软补丁更新已经有一段时间，为什么现在会大规模的爆发？

Killer：NSA工具包被披露之后，大家纷纷想办法利用其中的工具，但是他们的工具利用起来有一定的门槛。另外，通过我们的分析，互联网上的补丁修复率并不高，最近还有很多简单的利用方式出来了，包括著名的黑客工具metaspolit的插件。这就意味着利用已经比之前简单多了。从漏洞可靠性来看，之前的事件主要用ETERNALBLUE漏洞，现在ERRATICGOPHER等Python脚本也出来了，所以黑客在利用这些工具就变得很简单了。

总结之前所有的黑客攻击事件，大部分都是发生在深夜或者周末。攻击者为什么会选择这个时间点发动攻击呢？

Killer：从动机上看，这是扩大效果的需要，利用周末大家休息的空当发动攻击，与安全公司打时间差，这样效果会更好。

文件被勒索软件加密后，有什么有效的恢复手段吗？

Killer：目前还没有有效的第三方修复工具可以完美还原被加密的文件。网上有一些宣称能解密的文章，本意是引导用户购买他们的数据恢复软件。数据恢复软件通过恢复被删除的加密前的文件能恢复部分文件起到一定效果。

对于这样的灾难，对用户和安全公司你有什么建议？

Killer：这块各家都有解决方案。我简单说一下，对勒索软件来说，预防是目前最有效的手段。有一些老生常谈的东西依然有效。比如做好数据备份，及时更新系统补丁，开启防火墙做好端口过滤，安装腾讯电脑管家这样可靠的终端防护产品。不能把希望寄托在遭遇勒索后的解密上，勒索是黑客变现的手段，不要给他们批量扫描入侵的机会。

对于企业和云服务商，可通过腾讯云云镜等安全产品进行清理和普查。云镜基于腾讯安全积累的海量威胁情报数据，利用机器学习为用户提供黑客入侵检测和漏洞风险预警等安全防护服务。

除了打补丁，要做好安全组的策略落地，云服务商的镜像要第一时间更新，针对第三方服务商、生态伙伴提交的镜像也要全面检查安全性，确保有效升级。

安全行业应该加大透明度，加强信息交换和协同防御，比如这次勒索攻击，可以对攻击源进行联动封堵，增加黑客对抗难度 ，黑客换攻击源也是需要成本和时间，去更新他们的攻击脚本、木马设置等等。

每一次攻击事件，都是对各家安全产品，团队响应能力的一个考验和筛选，相信优秀的团队会脱颖而出。

另外呢，希望媒体能多给大家科普，多做一些勒索软件危害的宣传，提高大众安全意识。