【51CTO.com原創(chuàng)稿件】自2017年5月12日勒索蠕蟲(chóng)WannaCry爆發(fā)以來(lái)，對(duì)于已經(jīng)感染該勒索蠕蟲(chóng)的Windows用戶來(lái)說(shuō)，最頭痛的莫過(guò)于電腦上的數(shù)據(jù)該怎么辦呢?除了乖乖交出贖金，是否還有其他的辦法找回?cái)?shù)據(jù)嗎?帶著這一疑問(wèn)，記者采訪了亞信安全的安全專家們。

被WannaCry加密的文件，部分可恢復(fù)

“目前，加密的文件通過(guò)解密是不可能的，但是被刪除的數(shù)據(jù)可做恢復(fù)。” 亞信安全通用安全產(chǎn)品管理副總經(jīng)理劉政平說(shuō)到。

WannaCry是一種蠕蟲(chóng)式勒索軟件，利用NSA黑客武器庫(kù)泄露的“永恒之藍(lán)”發(fā)起病毒攻擊。利用Windows SMB服務(wù)器漏洞CVE20170147滲透到Windows機(jī)器中，其中嚴(yán)重的漏洞允許遠(yuǎn)程執(zhí)行代碼傳播迅速;一旦被攻擊，暫無(wú)解密方式。

在對(duì)病毒樣本的分析中，亞信安全發(fā)現(xiàn)攻擊者利用勒索蠕蟲(chóng)WannaCry針對(duì)攻擊的文檔，會(huì)先做出一份加密文檔，然后修改權(quán)限確認(rèn)此份加密文檔是無(wú)法被刪除的。然后在某些情況下，它會(huì)對(duì)原受攻擊的文檔進(jìn)行寫(xiě)入的動(dòng)作，最后進(jìn)行刪除。即使采用數(shù)據(jù)恢復(fù)工具，并不能保證可以完全恢復(fù)受攻擊文檔的原始內(nèi)容。但是，根據(jù)該勒索蠕蟲(chóng)的行為方式，我們可以恢復(fù)C盤(pán)之外的大部分?jǐn)?shù)據(jù)。

亞信安全通用安全產(chǎn)品中心總經(jīng)理童寧為記者詳細(xì)解釋到，無(wú)論是針對(duì)哪個(gè)盤(pán)的數(shù)據(jù)進(jìn)行加密，加密的算法都是一樣的。唯一的差距是刪除的時(shí)候，把這個(gè)文件拷貝出來(lái)加密形成一個(gè)新文件。為了提高勒索效率，攻擊者采用了不同的刪除行為。一方面，攻擊者會(huì)挑選桌面以及C盤(pán)一些文件進(jìn)行清零操作，即：將文件從盤(pán)里拷貝出來(lái)，然后刪除文件，采用清零算法，把數(shù)據(jù)全部寫(xiě)0，這時(shí)數(shù)據(jù)無(wú)法還原。另一方面，對(duì)于D、E等盤(pán)，攻擊者采用簡(jiǎn)單的刪除操作。例如僅僅刪除文件頭，修改文件類型，文件還在，此時(shí)數(shù)據(jù)可恢復(fù)。但是，至于能夠恢復(fù)多少，則取決于原文件所在扇區(qū)是否被重寫(xiě)或者覆蓋過(guò)。

此外，經(jīng)測(cè)試發(fā)現(xiàn)，當(dāng)一個(gè)盤(pán)符里面的數(shù)據(jù)量較少時(shí)(例如使用了30%)，幾乎能恢復(fù)所有數(shù)據(jù);當(dāng)一個(gè)盤(pán)符里面的數(shù)據(jù)量較大時(shí)(例如使用了90%)，只能恢復(fù)部分?jǐn)?shù)據(jù)，有一部分?jǐn)?shù)據(jù)丟失;當(dāng)磁盤(pán)空間已滿時(shí)，有的原始文件根本沒(méi)有被加密，這種情況下，與普通數(shù)據(jù)恢復(fù)原理相同，大多數(shù)數(shù)據(jù)可以恢復(fù)。

新的網(wǎng)絡(luò)攻防需要有新的技術(shù)來(lái)應(yīng)對(duì)新的挑戰(zhàn)

記者了解到，在本次勒索攻擊事件中，亞信安全沒(méi)有一例客戶受到影響。這是為什么?據(jù)劉政平介紹，首先，今年四月底亞信安全的全線產(chǎn)品針對(duì)微軟“永恒之藍(lán)”的漏洞發(fā)布了針對(duì)性的虛擬補(bǔ)丁和檢測(cè)策略。其次，桌面安全解決方案OfficeScan 11 SP1，通過(guò)AGEIS引擎(行為監(jiān)控)使用ADC(AccessDocument Control)功能對(duì)勒索軟件惡意的加密行為實(shí)施攔截。第三，安全專家在事前協(xié)助用戶部署虛擬補(bǔ)丁策略，事中協(xié)助用戶進(jìn)行配置更新和安全軟件更新，事后進(jìn)行詳細(xì)分析及系統(tǒng)和優(yōu)化，提供了全面的專家支持服務(wù)。

劉政平表示，新的網(wǎng)絡(luò)攻防必須要有新的技術(shù)才能應(yīng)對(duì)新的挑戰(zhàn)，何況這是一個(gè)NSA花了很大代價(jià)開(kāi)發(fā)出來(lái)的網(wǎng)絡(luò)戰(zhàn)略武器。亞信安全之所以能夠成功抵御此次攻擊，也離不開(kāi)在新技術(shù)上的持續(xù)投入。例如：機(jī)器學(xué)習(xí)技術(shù)。在本次事件中，通過(guò)機(jī)器學(xué)習(xí)引擎的beta版，幫助用戶成功有效地?cái)r截了該勒索蠕蟲(chóng)。

通過(guò)為客戶制定事前、事中、事后的安全策略，并強(qiáng)調(diào)補(bǔ)丁管理、異常行為檢測(cè)、沙箱分析、機(jī)器學(xué)習(xí)等技術(shù)手段，亞信安全配合專業(yè)的安全服務(wù)，確保客戶的配置更新以及安全軟件更新。最終，即使用戶側(cè)在病毒碼沒(méi)有更新，在硬件網(wǎng)關(guān)失效，在系統(tǒng)沒(méi)打補(bǔ)丁，在內(nèi)網(wǎng)中招的情況下，亞信安全OfficeScan仍然成功抵御了此次勒索。

國(guó)內(nèi)外的安全廠商都在想方設(shè)法應(yīng)對(duì)勒索蠕蟲(chóng)病毒，并且取得了積極的成效。亞信安全技術(shù)支持中心總經(jīng)理蔡昇欽介紹，比如亞信安全參與承建的國(guó)內(nèi)多個(gè)省份的電信運(yùn)營(yíng)商使用的錯(cuò)誤域名重定向系統(tǒng)，就能讓病毒誤以為成功訪問(wèn)了那個(gè)緊急停止“開(kāi)關(guān)”，所有請(qǐng)求得到了解析成功的響應(yīng)，客觀上避免了病毒的二次傳播。

與勒索蠕蟲(chóng)的戰(zhàn)斗剛剛開(kāi)始

“這次其實(shí)不是一個(gè)事件的結(jié)束，恰恰是一個(gè)開(kāi)始。這一類蠕蟲(chóng)和勒索軟件相融合的模式是第一次，帶有一種示范效應(yīng)。很多黑客發(fā)現(xiàn)如此有效，可能會(huì)依法炮制，利用相同手法進(jìn)行傳播和攻擊。因此，未來(lái)這個(gè)威脅會(huì)越來(lái)越大，而且是跨平臺(tái)、跨系統(tǒng)的。”劉政平表示。

蔡昇欽也認(rèn)為：“WannaCry勒索蠕蟲(chóng)將會(huì)寫(xiě)入病毒發(fā)展史，它開(kāi)啟了一個(gè)新的病毒類型。它把蠕蟲(chóng)的行為加入攻擊中，對(duì)未來(lái)的網(wǎng)絡(luò)安全影響很大。在物聯(lián)網(wǎng)時(shí)代，一旦跟勒索軟件相結(jié)合，會(huì)對(duì)未來(lái)物聯(lián)網(wǎng)的生活造成很大的影響。這也給企業(yè)敲響了警鐘，企業(yè)需時(shí)刻重視補(bǔ)丁的更新。”

據(jù)悉，NSA泄露的漏洞還有一些沒(méi)有揭露，這也意味著沒(méi)有相應(yīng)的補(bǔ)丁，而安全廠商更沒(méi)有相應(yīng)的安全規(guī)則。當(dāng)這些漏洞被揭露的時(shí)候，我們?cè)撛趺崔k?

作為安全廠商總不能跟客戶說(shuō)，這是百年一遇的大攻擊，我們的技術(shù)防不住。因此，廠商應(yīng)需要盡快地引進(jìn)和開(kāi)發(fā)新技術(shù)，從而進(jìn)行有效防御。

對(duì)用戶來(lái)說(shuō)，用病毒碼這種被動(dòng)式防護(hù)已慢慢失效，它無(wú)法解決系統(tǒng)級(jí)漏洞的傳播模式。所以，用戶需要采取主動(dòng)防御、層層防護(hù)的模式，提前建好防護(hù)體系。對(duì)此，劉政平表示：“我們認(rèn)為安全是一個(gè)三分靠技術(shù)，七分靠管理的體系化工作，建議企業(yè)做到預(yù)防為主，并同時(shí)做好事后的應(yīng)急響應(yīng)。”

【51CTO原創(chuàng)稿件，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文作者和出處為51CTO.com】