這次勒索病毒“WannaCry”（永恒之藍(lán)）在全球范圍內(nèi)的爆發(fā)，讓眾多單位業(yè)務(wù)停滯、遭受不同程度的損失。

WannaCry為何突然來襲？

Windows的構(gòu)成動(dòng)輒幾億行代碼，之間的邏輯關(guān)系不可能一個(gè)人說了算，因此出現(xiàn)漏洞是很難消除的。

勒索病毒是2013年開始出現(xiàn)的一種新型病毒模式。從2016年起，這種病毒進(jìn)入爆發(fā)期，到現(xiàn)在，已經(jīng)有超過100種勒索病毒通過這一行為模式獲利。比如去年，CryptoWall病毒家族的一個(gè)變種就收到23億美元贖金，近幾年，蘋果電腦、安卓手機(jī)和iPhone也出現(xiàn)過不同類型的勒索病毒。

雖然下黑手者目前還找不到，但其所用的工具，卻明確無誤地指向了一個(gè)機(jī)構(gòu)——NSA（National Security Agency），美國(guó)國(guó)家安全局。這一機(jī)構(gòu)又稱美國(guó)國(guó)家保密局，隸屬于美國(guó)國(guó)防部，是美國(guó)政府機(jī)構(gòu)中最大的情報(bào)部門，專門負(fù)責(zé)收集和分析外國(guó)及本國(guó)通信資料。黑客所使用的“永恒之藍(lán)”，就是NSA針對(duì)微軟MS17-010漏洞所開發(fā)的網(wǎng)絡(luò)武器。

事情是這樣的：NSA本身手里握有大量開發(fā)好的網(wǎng)絡(luò)武器，但在2013年6月，“永恒之藍(lán)”等十幾個(gè)武器被黑客組織“影子經(jīng)紀(jì)人”（ShadowBreakers）竊取。

今年3月，微軟已經(jīng)放出針對(duì)這一漏洞的補(bǔ)丁，但是，一是由于一些用戶沒有及時(shí)打補(bǔ)丁的習(xí)慣，二是全球仍然有許多用戶在使用已經(jīng)停止更新服務(wù)的WindowsXP等較低版本，無法獲取補(bǔ)丁，因此在全球造成大范圍傳播。加上“蠕蟲”不斷掃描的特點(diǎn)，很容易在國(guó)際互聯(lián)網(wǎng)和校園、企業(yè)、政府機(jī)構(gòu)的內(nèi)網(wǎng)不間斷進(jìn)行重復(fù)感染。

實(shí)事求是地說，作為操作系統(tǒng)之一，Windows的構(gòu)成動(dòng)輒幾億行代碼，之間的邏輯關(guān)系不可能一個(gè)人說了算，因此出現(xiàn)漏洞是很難消除的。而Windows又是世界上使用最普遍的操作系統(tǒng)，因此被黑客看中而研究漏洞并攻擊獲利，是很“正常”的事情。

但作為美國(guó)國(guó)家安全局，盯著這個(gè)系統(tǒng)的漏洞也就罷了，還專門搞武器，這是什么道理？

事實(shí)上，在黑客組織曝光這一漏洞之前，微軟自己也不知道漏洞的存在。也就是說，只有NSA知道漏洞存在，至于知道了多久，也只有他們自己知道。在俠客島上的網(wǎng)絡(luò)安全專家看來，很可能的情況是，NSA早就知道這個(gè)漏洞，并且利用這一漏洞很久了，只不過這次被犯罪團(tuán)隊(duì)使用了，才造成如此大的危害。從這一點(diǎn)我們可以看出，美國(guó)的技術(shù)確實(shí)很強(qiáng)，在網(wǎng)絡(luò)安全領(lǐng)域獨(dú)步全球；同時(shí)，“漏洞”已經(jīng)成為兵家必爭(zhēng)的寶貴戰(zhàn)略資源。

NSA現(xiàn)在手中握有多少網(wǎng)絡(luò)武器，當(dāng)然是美國(guó)的機(jī)密。但根據(jù)維基解密的說法，不僅NSA手里有，CIA手里也有，他們的網(wǎng)絡(luò)情報(bào)中心創(chuàng)造了超過1000種電腦病毒和黑客系統(tǒng)——這還是斯諾登2013年確認(rèn)的數(shù)量。

因此，在此次“永恒之藍(lán)”爆發(fā)之后，《紐約時(shí)報(bào)》的報(bào)道就稱，“如果確認(rèn)這次事件是由國(guó)安局（NSA）泄漏的網(wǎng)絡(luò)武器而引起的，那政府應(yīng)該被指責(zé)，因?yàn)槊绹?guó)政府讓很多醫(yī)院、企業(yè)和他國(guó)政府都易受感染”。

按照NSA的說法，自己的職責(zé)應(yīng)該是“保護(hù)美國(guó)公民不受攻擊”；他們也曾指責(zé)很多國(guó)家對(duì)美國(guó)實(shí)施網(wǎng)絡(luò)攻擊。但事實(shí)恰恰相反，被他們指責(zé)的國(guó)家都是此次病毒的受害國(guó)，他們自己用來“防御”的網(wǎng)絡(luò)武器，則成了黑客手中攻擊美國(guó)公民的武器。

用美國(guó)全國(guó)公共廣播電臺(tái)（NPR）的話說就是，“這次攻擊指出了一個(gè)安全領(lǐng)域根本性問題，也就是國(guó)安局的監(jiān)控是在保護(hù)人民還是制造了更多不可期的損害，甚至超出了其好處”。

NSA當(dāng)然應(yīng)該反思，雖然他們到現(xiàn)在都沒有出來表態(tài)回應(yīng)。但更值得反思的是一個(gè)本質(zhì)性話題：網(wǎng)絡(luò)安全，到底掌握在誰(shuí)的手里？

關(guān)于本次Wannacry病毒的爆發(fā)原理，簡(jiǎn)言之，這一“蠕蟲”勒索病毒，通過針對(duì)Windows中的一個(gè)漏洞攻擊用戶，對(duì)計(jì)算機(jī)內(nèi)的文檔、圖片等實(shí)施高強(qiáng)度加密，并向用戶索取以比特幣支付的贖金，否則七天后“撕票”，即使支付贖金亦無法恢復(fù)數(shù)據(jù)。其加密方式非常復(fù)雜，且每臺(tái)計(jì)算機(jī)都有不同加密序列號(hào)，以目前的技術(shù)手段，解密幾乎“束手無策”。

事后補(bǔ)救用好這三招

遭受病毒攻擊的單位手忙腳亂，開始緊急補(bǔ)救，無非三個(gè)步驟，但這個(gè)過程實(shí)在影響太大。

遭受病毒攻擊的單位手忙腳亂，開始緊急補(bǔ)救。無非幾個(gè)步驟：

一是斷網(wǎng)，防止病毒通過445端口快速在局域網(wǎng)內(nèi)蔓延。

二是打補(bǔ)丁，補(bǔ)丁為MS17-010，該補(bǔ)丁修復(fù)了“永恒之藍(lán)”攻擊的系統(tǒng)漏洞。

三是重新聯(lián)網(wǎng)，開展業(yè)務(wù)。

從遭受病毒攻擊，到開始大面積影響工作，到全面斷網(wǎng)無法開展業(yè)務(wù)，然后再全面打補(bǔ)丁，最后恢復(fù)正常辦公，這個(gè)過程顯然不得已而為之，而這個(gè)過程中中斷業(yè)務(wù)辦理幾個(gè)小時(shí)甚至幾天，實(shí)在影響太大，特別是一些公共事業(yè)的單位，會(huì)影響大量民眾的生活、生命安全。比如大量的醫(yī)院、公安、加油站等單位由于中斷辦公大大影響民眾的正常生活。

更有甚者，重災(zāi)區(qū)之一的學(xué)校，由于大量論文、學(xué)術(shù)資料中毒，而永遠(yuǎn)找不回來，使得很多學(xué)生甚至推延了答辯時(shí)間，影響了正常畢業(yè)，慘不忍睹。

事前防御是最優(yōu)選擇

針對(duì)這種未知、突發(fā)性的病毒可以采取事前防御的辦法，通過“恢復(fù)軟件”來恢復(fù)數(shù)據(jù)到正常的狀態(tài)。

那么，針對(duì)這種未知、突發(fā)性的病毒有沒有主動(dòng)防御和事前防御的辦法？能否做好預(yù)防工作？這是值得大家，特別是信息安全領(lǐng)域的人士思考的事情。

答案應(yīng)該是有的，勒索病毒的主要目的是破壞文件的可用性，中毒的用戶如果急于恢復(fù)數(shù)據(jù)，就得繳納比特幣作為“恢復(fù)費(fèi)”。那么我們就可以通過“恢復(fù)軟件”來恢復(fù)數(shù)據(jù)到正常的狀態(tài)，但是普通的恢復(fù)軟件做不到，比如Ghost、Windows自帶的還原軟件等也無法做到，因?yàn)檫@兩個(gè)產(chǎn)品，只有還原系統(tǒng)的可用性，而對(duì)非系統(tǒng)盤上的數(shù)據(jù)是無法修復(fù)的。并且這兩個(gè)產(chǎn)品的還原過程需要花比較長(zhǎng)的時(shí)間，一般在幾分鐘到十幾分鐘時(shí)間，在還原過程中機(jī)器不能斷電，否則系統(tǒng)再也啟動(dòng)不了。

目前國(guó)內(nèi)有一種終端虛擬機(jī)產(chǎn)品，經(jīng)過詳細(xì)的測(cè)試和用戶的反饋能夠完美解決勒索病毒等未知病毒的攻擊。其基本原理如下：

第一，實(shí)現(xiàn)多個(gè)虛擬機(jī)，將辦公資料、重要資料保護(hù)起來。

該產(chǎn)品利用終端虛擬機(jī)技術(shù)，在操作系統(tǒng)下層運(yùn)行遠(yuǎn)為終端虛擬機(jī)管理器，用戶操作系統(tǒng)運(yùn)行在虛擬機(jī)管理器之上，將用戶的電腦虛擬成兩臺(tái)，一臺(tái)是辦公虛擬機(jī)，一臺(tái)是上互聯(lián)網(wǎng)的虛擬機(jī)。辦公虛擬機(jī)和互聯(lián)網(wǎng)完全隔離，封閉各種外設(shè)訪問接口和不常使用的網(wǎng)絡(luò)端口，只能訪問內(nèi)網(wǎng)業(yè)務(wù)系統(tǒng)。因此辦公虛擬機(jī)不會(huì)遭受勒索病毒的攻擊，保存在辦公虛擬機(jī)的辦公數(shù)據(jù)和重要數(shù)據(jù)不會(huì)被勒索病毒感染。

第二，該產(chǎn)品可以快速修復(fù)中毒的文件，保證文件的可用性，防止數(shù)據(jù)丟失。

因?yàn)樵摦a(chǎn)品運(yùn)行在操作系統(tǒng)下層，所以不管操作系統(tǒng)中了任何病毒，都可以秒級(jí)無損修復(fù)的。比如互聯(lián)網(wǎng)虛擬機(jī)被勒索病毒感染，那么使用多網(wǎng)隔離的快速修復(fù)功能，可以在幾秒鐘內(nèi)恢復(fù)系統(tǒng)，把病毒清理干凈，并且所有數(shù)據(jù)恢復(fù)正常，不會(huì)丟失任何數(shù)據(jù)文件。

第三，該產(chǎn)品可以實(shí)現(xiàn)所有未知病毒的事前防御。

所有病毒感染的是操作系統(tǒng)中的文件，不管是通過加密手段，還是植入病毒程序的方法，不管是針對(duì)系統(tǒng)文件，還是用戶數(shù)據(jù)文件，都是對(duì)計(jì)算機(jī)里面的文件進(jìn)行非法修改，導(dǎo)致文件的不可用性或非正常性。由于該產(chǎn)品能夠?qū)τ?jì)算機(jī)建立時(shí)間軸，對(duì)所有文件的寫操作進(jìn)行記錄和控制，所以不管什么病毒對(duì)文件修改后，該產(chǎn)品能夠?qū)⑦@個(gè)文件修復(fù)到病毒修改之前的狀態(tài)。特別是，當(dāng)計(jì)算機(jī)恢復(fù)到中毒之前的某個(gè)時(shí)間點(diǎn)后，病毒也會(huì)隨之被清理干凈。（北京遠(yuǎn)為軟件有限公司董事長(zhǎng) 黃玉琪）