您的反饋 必有回響

勒索病毒爆發(fā)后48小時(shí)：安全人員的絕命狂奔

導(dǎo)語(yǔ)：在這場(chǎng)與勒索病毒的攻防戰(zhàn)中，不少安全人員都徹夜未眠。病毒已經(jīng)可以達(dá)到“載入史冊(cè)”的量級(jí)了，他們的故事同樣值得被記錄。

剛剛過(guò)去的一個(gè)周末是對(duì)互聯(lián)網(wǎng)安全從業(yè)者的一場(chǎng)大考。

安全從業(yè)者像是在和病毒的始作俑者玩一場(chǎng)“貓和老鼠”的游戲。勒索病毒攻城掠地，襲擊一個(gè)又一個(gè)國(guó)家地區(qū)、感染醫(yī)院、學(xué)校、警察局，甚至連邊檢站也遭到毒手；安全人員像救火一樣研究病毒樣本、提醒用戶盡快修補(bǔ)漏洞，試圖止住蔓延的趨勢(shì)，降低用戶損失。

情況剛剛好一點(diǎn)的時(shí)候，網(wǎng)上又有關(guān)于勒索病毒2.0版本的消息出現(xiàn)，用戶“心又提到了嗓子眼”，在這場(chǎng)與勒索病毒的攻防戰(zhàn)中，不少安全人員都徹夜未眠。病毒已經(jīng)可以達(dá)到“載入史冊(cè)”的量級(jí)了，他們的故事同樣值得被記錄。

D1：病毒來(lái)了

從5月12日周五晚發(fā)現(xiàn)勒索病毒開始，360安全監(jiān)測(cè)與響應(yīng)中心負(fù)責(zé)人趙晉龍就幾乎沒有合過(guò)眼。

周五晚上，趙晉龍就陸續(xù)在論壇上看到有學(xué)校學(xué)生感染了某種蠕蟲病毒，通過(guò)Windows系統(tǒng)的445端口，感染用戶數(shù)據(jù)，勒索比特幣。趙晉龍放下困意，起來(lái)開始搜集信息，職業(yè)本能告訴他，這場(chǎng)病毒來(lái)頭不小。

凌晨1點(diǎn)半，同事打電話來(lái)，說(shuō)客戶那邊出事兒了。對(duì)方是超大型企業(yè)客戶，同事的電話堅(jiān)定了趙晉龍的判斷，這是個(gè)很大的事情，得馬上搞定。

當(dāng)時(shí)市面上還沒有任何報(bào)道，能做出判斷的原因有兩點(diǎn)：第一，在安全界，蠕蟲和勒索病毒是兩個(gè)最大的混蛋。蠕蟲會(huì)自我復(fù)制、傳播性強(qiáng)，現(xiàn)在有些老蠕蟲即使沒有危害了，但依然在活動(dòng)，一旦發(fā)現(xiàn)就像牛皮蘚一樣難以根除；勒索病毒是這幾年的新興事物，在業(yè)界被稱為“數(shù)字綁票”，破壞用戶數(shù)據(jù)，給掛一個(gè)鬧鐘倒計(jì)時(shí)，簡(jiǎn)單粗暴。

現(xiàn)在，這兩個(gè)最大的混蛋聚在一起，簡(jiǎn)直是暴亂。

判斷過(guò)后，客戶的問(wèn)題是當(dāng)務(wù)之急。由于趙晉龍的團(tuán)隊(duì)偏后端，在凌晨1點(diǎn)半時(shí)，就有同事趕往“現(xiàn)場(chǎng)”了，他們必須第一時(shí)間出現(xiàn)在客戶辦公室。

去現(xiàn)場(chǎng)的路上，作為負(fù)責(zé)人的趙晉龍順帶叫醒了幾個(gè)主力同事。安全團(tuán)隊(duì)的同事有個(gè)習(xí)慣，睡覺不關(guān)機(jī)、也不靜音，24小時(shí)隨時(shí)stand by。

周六凌晨3點(diǎn)左右，在客戶那里，趙晉龍的團(tuán)隊(duì)拿到了病毒樣本。在另一頭，360企業(yè)安全集團(tuán)總裁吳云坤成立了一個(gè)臨時(shí)的指揮中心，一部分人趕到辦公室、另一部分先在線上辦公、遠(yuǎn)程協(xié)助。

爭(zhēng)分奪秒。凌晨4點(diǎn)多時(shí)，360已經(jīng)給出了用戶材料和簡(jiǎn)單的措施建議。比如，這么大樣本量怎么能抑制住它的傳播？怎么能保證主機(jī)不被它控制？已經(jīng)中毒的怎么清理？怎么恢復(fù)核心業(yè)務(wù)？

結(jié)合用戶提出的具體問(wèn)題，在凌晨5點(diǎn)左右，整個(gè)團(tuán)隊(duì)拿出了一個(gè)可落地的執(zhí)行方案。同時(shí)，一個(gè)臨時(shí)的免疫工具出臺(tái)。8點(diǎn)左右，官網(wǎng)信息發(fā)布。

據(jù)360企業(yè)安全集團(tuán)總裁吳云坤介紹：“截至15日上午9點(diǎn)，360推送給政企客戶的預(yù)警通告更新了8個(gè)版本，提供了7個(gè)修復(fù)指南，6個(gè)修復(fù)工具。出動(dòng)近千人，提供上萬(wàn)次的上門支持服務(wù)，超兩萬(wàn)多次電話支持服務(wù)，我們還制作了5000多個(gè)U盤和光盤發(fā)放到客戶上手上，手把手教會(huì)客戶修復(fù)電腦，配置網(wǎng)絡(luò)?！?/p>

一些大型企業(yè)也在第一時(shí)間重視了該病毒，避免了周一上班時(shí)的大規(guī)模感染。之前大家擔(dān)心，周一上班，將會(huì)迎來(lái)電腦開機(jī)高峰，如果沒有做好預(yù)警和安全措施，后果不可想象。

好在各地的配合也都高效積極。某銀行在上周六上午六點(diǎn)半就建立了響應(yīng)群，將免疫工具下發(fā)，八點(diǎn)半部署全國(guó)防護(hù)策略，從網(wǎng)絡(luò)、服務(wù)器、終端360度無(wú)死角，到5月15日早晨十點(diǎn)半，全行無(wú)一例感染；南寧市網(wǎng)信辦聯(lián)合發(fā)改委信息中心、南寧公安局網(wǎng)安支隊(duì)在13日下午召開緊急會(huì)議，由網(wǎng)安支隊(duì)提供360的第七套解決方案，并由網(wǎng)安支隊(duì)刻了600張光盤，由發(fā)改委、網(wǎng)信辦、網(wǎng)安支隊(duì)一起發(fā)放全市各政府企事業(yè)單位，整個(gè)南寧的病毒感染率極低。

對(duì)付電腦病毒，頭24小時(shí)是戰(zhàn)爭(zhēng)的最關(guān)鍵時(shí)間。

 “同行競(jìng)爭(zhēng)也是存在的。大家都在比誰(shuí)跑得快，誰(shuí)會(huì)脫穎而出。所以你會(huì)看到，很多公司都在輸出各種版本的報(bào)告和病毒防治方法?！被ヂ?lián)網(wǎng)安全創(chuàng)業(yè)公司白帽匯員工吳明告訴界面新聞?dòng)浾摺?/p>

吳明認(rèn)為，做安全企業(yè)，一定要對(duì)自己和用戶負(fù)責(zé)。報(bào)告一定是要自己驗(yàn)證過(guò)的才能發(fā)布出去。所以在發(fā)現(xiàn)勒索病毒后，吳明和他的團(tuán)隊(duì)第一時(shí)間做的工作是搭建測(cè)試環(huán)境、搭建攻擊環(huán)境、反反復(fù)復(fù)做樣本測(cè)試。

 “團(tuán)隊(duì)最開始也是在網(wǎng)上先交流信息，也通過(guò)一些圈內(nèi)朋友了解樣本資源，雙方互相交換。周六開始樣本測(cè)試。我們?cè)诤髞?lái)運(yùn)行樣本時(shí)發(fā)現(xiàn)，很多細(xì)節(jié)并不像網(wǎng)上說(shuō)的那樣?！眳敲髡f(shuō)。

每個(gè)樣本文件都有特定的“哈?！保╤ash），安全術(shù)語(yǔ)特定字符串的意思，有點(diǎn)類似一個(gè)唯一識(shí)別碼。根據(jù)不同文件的哈希，吳明的測(cè)試在不同平臺(tái)上展開。

毫無(wú)疑問(wèn)的一點(diǎn)是，這樣反復(fù)驗(yàn)證反復(fù)測(cè)試，會(huì)影響報(bào)告發(fā)布的時(shí)間。“準(zhǔn)確度是會(huì)影響時(shí)間，我們是為了驗(yàn)證與其他人不同的地方，找出差異性。”

在最后的報(bào)告里，吳明他們對(duì)勒索病毒的重要時(shí)間線進(jìn)行了梳理——從不同時(shí)間跨度到各種里程碑事件，那些圈內(nèi)圈外知道不知道的事情，都被一一盤點(diǎn)了出來(lái)。也解答了用戶對(duì)微軟的抱怨——微軟早在今年3月份就推過(guò)一輪補(bǔ)丁了。

D2：2.0版本是個(gè)偽命題

周六結(jié)束，在大家覺得可喘口氣的時(shí)候，病毒的2.0版本來(lái)了。

白帽匯吳明最早看到2.0版本的病毒是周六晚上。1.0版本的病毒有個(gè)最明顯的特征，它有個(gè)“隱蔽的開關(guān)”，在樣本運(yùn)行分析完后，吳明發(fā)現(xiàn)，通過(guò)域名解析后，就可以避免感染發(fā)生。但是周日凌晨發(fā)現(xiàn)的病毒，域名解析已經(jīng)沒有效果了。

來(lái)勢(shì)洶洶的2.0版本基本沒有域名，可以直接感染，唯一制止的辦法就是裝補(bǔ)丁。

騰訊電腦管家反病毒安全專家徐超認(rèn)為，人們對(duì)2.0版本的病毒有誤解，外界有夸大的成本。最開始說(shuō)的關(guān)于“隱秘的開關(guān)”這個(gè)問(wèn)題也并不準(zhǔn)確。

騰訊的團(tuán)隊(duì)也確實(shí)發(fā)現(xiàn)了被人改過(guò)的樣本，但根本沒有所謂2.0的出現(xiàn)。這個(gè)更像一個(gè)國(guó)外安全人員的口誤，他在推特上發(fā)布了所謂2.0的病毒，后來(lái)有人站出來(lái)辟謠。

根據(jù)徐超團(tuán)隊(duì)監(jiān)控到的內(nèi)容，原先版本的開關(guān)確實(shí)是失效了，但并沒有外界說(shuō)得那么邪乎，只不過(guò)是開關(guān)被人改動(dòng)了。

杭州電子科技大學(xué)學(xué)生James給界面新聞?dòng)浾咛峁┝艘粋€(gè)很有意思的觀點(diǎn)，根據(jù)他的觀察，病毒最開始提供的那個(gè)域名開關(guān)，會(huì)嘗試連接一個(gè)不存在的網(wǎng)站，是病毒開發(fā)者為了怕病毒完全失控特意留下的bug，如果連上了就不是加密文件。

后來(lái)網(wǎng)站被注冊(cè)，再后來(lái)，病毒2.0版本沒有了這項(xiàng)機(jī)制，在任何情況下都會(huì)執(zhí)行加密。

最奇怪的是，這個(gè)變種病毒是直接修改病毒可執(zhí)行文件改出來(lái)的，并不是把代碼改了重新編譯的。所以James猜想的是，這個(gè)2.0版本的人可能不是原作者。極有可能是有人利用了1.0版本聲勢(shì)，想趁火打劫。

James是在學(xué)大學(xué)生，他沒有參與任何商業(yè)團(tuán)隊(duì)，這種猜測(cè)只是憑個(gè)人研究興趣。最開始的時(shí)候，是隔壁學(xué)校做畢業(yè)設(shè)計(jì)的大四同學(xué)找到他，文件沒了，James第一反應(yīng)是很正常，不就是勒索病毒嘛。在網(wǎng)絡(luò)工程人員的眼中，見多了。

不久前，James剛剛破解了一個(gè)勒索病毒。上一次比較好破解是因?yàn)榻饷苊罔€存在本地，直接寫個(gè)程序就解密了。這次它把解密用的密鑰通過(guò)Tor上傳了，本地沒有保留，喪失了通用的解決辦法。但James沒想到這次會(huì)形成如此大范圍的傳播。

勒索軟件追兇者：我不是第一次見比特幣勒索了

勒索軟件追兇者唐平的第一次實(shí)戰(zhàn)勒索病毒是在2014年夏天。你現(xiàn)在上網(wǎng)搜索，依舊可以看到一種名為CTB-Locker的勒索病毒曾經(jīng)兇猛襲擊過(guò)網(wǎng)絡(luò)的戰(zhàn)亂現(xiàn)場(chǎng)：“可怕”、“病毒式襲擊”是當(dāng)年常見的關(guān)鍵詞?？僧?dāng)年曾經(jīng)“兇猛”的CTB-Locker如果碰上現(xiàn)如今的WannaCry才是真的小巫見大巫。

2014年，唐平幫一個(gè)NGO組織里的女性朋友支付了比特幣，即使當(dāng)年病毒來(lái)自于郵件，支付比特幣仍然是有效的方法。

所有的勒索病毒都長(zhǎng)一個(gè)樣子，第一綁架你的文件；第二，留下信息索要比特幣。對(duì)于病毒制造者而言，綁架用戶文件成本太低了。那位NGO的朋友一定要付錢，因?yàn)樗枰募诳退饕粋€(gè)比特幣，大約價(jià)值500美元。

唐平嘗試開始和黑客對(duì)話了。在暗網(wǎng)里，黑客像現(xiàn)在的客服一樣，開放了一個(gè)“人道主義”的對(duì)話窗口，進(jìn)入一個(gè)類似sdsdasdwanadnhbfhbagwag.onion這樣的暗網(wǎng)網(wǎng)頁(yè)后，唐平找到了對(duì)話框。暗網(wǎng)地址多由一個(gè)亂碼跟上后綴onion構(gòu)成。

通過(guò)Tor瀏覽器進(jìn)去后，一般每個(gè)中毒者都會(huì)有一個(gè)ID或者特別的Token，這樣實(shí)際上就等于中毒者有一個(gè)個(gè)人網(wǎng)頁(yè)，與客服的聊天內(nèi)容簡(jiǎn)直就像菜市場(chǎng)討價(jià)還價(jià)一樣簡(jiǎn)單。

 “How much？”“May I have a discount？”雖然沒有議價(jià)能力，但還價(jià)還是要的。

交易成功后，當(dāng)年還算守信用的黑客給了一個(gè)軟件和私鑰，可以用來(lái)恢復(fù)你的文件。

唐平早年從事互聯(lián)網(wǎng)安全行業(yè)，之前在廣州一家小互聯(lián)網(wǎng)安全公司工作，2013年春天開始接觸比特幣，后來(lái)就長(zhǎng)期持有。漸漸地，他放棄了原有的打工生活，專心做起了“勒索軟件追兇者”的工作，有一個(gè)同名的個(gè)人網(wǎng)站，實(shí)時(shí)更新勒索軟件的最新動(dòng)態(tài)信息。

他現(xiàn)在平時(shí)的主業(yè)是幫助一些愿意出錢的客戶解決被病毒侵?jǐn)_的難題。不管是支付比特幣，還是他自己動(dòng)手解決，反正是對(duì)方出錢，他負(fù)責(zé)消災(zāi)。來(lái)找他的人，經(jīng)常有一些IT從業(yè)者和殺毒軟件代理商。

唐平一直按照比特幣市場(chǎng)價(jià)+20%的服務(wù)費(fèi)來(lái)操作，并逐漸發(fā)現(xiàn)這是一門可以賺錢的生意。

2015年，唐平的存幣量有400多個(gè)，當(dāng)時(shí)比特幣接觸的人還不多。按照當(dāng)時(shí)的存幣量，唐平的收入顯得非?？捎^。這兩年，他反倒覺得自己忙忙碌碌什么都沒干、人也很焦慮。

2017年5月12日，病毒爆發(fā)時(shí)，業(yè)內(nèi)人士唐平覺得見怪不怪。當(dāng)晚，一個(gè)學(xué)生私信他，想2000塊錢解決論文問(wèn)題。唐平遠(yuǎn)程操作她的電腦。然后唐平就看見了那幅后來(lái)流傳各大媒體的勒索切圖。

半個(gè)小時(shí)后，第二個(gè)人又找上門了。唐平最近一直蟄居贛州，很久沒關(guān)注病毒了。他跑到微博上搜了下關(guān)鍵詞，wanna decryptor（劫持病毒解密器），想尋找黑客的蛛絲馬跡，后來(lái)發(fā)現(xiàn)很多人都在微博發(fā)了被劫持信息。

在那幅關(guān)鍵的劫持圖上，唐平發(fā)現(xiàn)了最關(guān)鍵信息，右下角黑客留下的收款地址，絕大多數(shù)和找他求助的學(xué)生收款地址是一模一樣的。根據(jù)比特幣的特征，如果使用同一個(gè)收款地址，針對(duì)不同的綁架者，收款方根本就不可能判斷出是哪臺(tái)電腦付了款。

即使唐平在第一時(shí)間在知乎上發(fā)了信息，還是有很多人上當(dāng)了。近幾年比特幣的火爆，很多人已經(jīng)掌握了比特幣支付的方法。中間有個(gè)人找過(guò)來(lái)，第一句話就是，“我剛剛付完了款，下一步該怎么辦？”

唐平只好苦笑。

截至2017年5月16日，有媒體曝光勒索病毒全球共有136人交了贖金，價(jià)值3.6萬(wàn)美元。“我個(gè)人主觀上覺得是個(gè)大佬玩膩的工具……讓小弟去做破壞級(jí)別，完全沒有任何經(jīng)濟(jì)效應(yīng)，”唐平不理解這種高風(fēng)險(xiǎn)低收益的邏輯。

要知道從2016年底到現(xiàn)在，一種名為wallet的勒索病毒，半年不到時(shí)間勒索比特幣超過(guò)1萬(wàn)個(gè)，而現(xiàn)在比特幣的價(jià)格已經(jīng)接近1萬(wàn)元高位。悶聲發(fā)大財(cái)。

經(jīng)驗(yàn)與總結(jié)

在回溯整個(gè)勒索病毒的對(duì)抗流程，每個(gè)人都有話想說(shuō)。唐平認(rèn)為，這可能只是最普通的一次勒索病毒；但也有從業(yè)者認(rèn)為，在職業(yè)生涯中難得一見。

360的趙晉龍?jiān)诓稍L時(shí)稱，現(xiàn)在自己只想休息。不過(guò)“按這個(gè)規(guī)模和影響人群來(lái)看，在很多人的職業(yè)生涯內(nèi)，可能都遇不到第二個(gè)這樣的病毒”，所以它值得團(tuán)隊(duì)好好反思。

這種大型事件沒有一個(gè)組織是準(zhǔn)備充分的。大家都是匆忙上場(chǎng)，考量的是團(tuán)隊(duì)厚度和執(zhí)行力、速度。

趙晉龍遺憾的是，在3月份微軟發(fā)布補(bǔ)丁時(shí)、4月影子發(fā)布NSA漏洞工具后，沒有更嚴(yán)重地督促用戶做補(bǔ)丁修護(hù)。當(dāng)時(shí)同事們還曾就討論過(guò)，如果拿蠕蟲做勒索，效果一定空前。

沒想到同事的話這么快就應(yīng)驗(yàn)了。

騰訊的團(tuán)隊(duì)最遺憾的也是這點(diǎn)。這場(chǎng)病毒狙擊戰(zhàn)不是盲打，它是一場(chǎng)可預(yù)見的病毒傳播模式，如果如果3月份初選的時(shí)候人們能更重視一點(diǎn)就好了。不過(guò)人類總是健忘的，需要用這么嚴(yán)重的事件進(jìn)行網(wǎng)絡(luò)安全教育。

同樣做安全防護(hù)的創(chuàng)業(yè)公司漏洞盒子員工Gaba告訴界面新聞?dòng)浾撸诓《颈l(fā)后的第二天，很多媒體或者微博上關(guān)于這個(gè)事情的報(bào)道都是錯(cuò)誤的，從一定程度上講，它加重了用戶的恐慌情緒。

漏洞盒子現(xiàn)在還在不停地推出更新包，開始跟進(jìn)WannaCry蠕蟲的變種樣本。

趙晉龍能回憶起來(lái)的蠕蟲編號(hào)是微軟2006年、2007年發(fā)布的06040、06035、08067。他們的效果和今天的蠕蟲類似，只不過(guò)在那個(gè)純真年代還沒有勒索軟件。這兩年勒索軟件流行開，才有了今天頭一回蠕蟲加勒索的17010。距離上一次編號(hào)已經(jīng)過(guò)去近十年時(shí)間。

上周，谷歌安全團(tuán)隊(duì)剛剛發(fā)布了微軟的一個(gè)內(nèi)部殺毒程序漏洞，針對(duì)的是Win7以后的系統(tǒng)。在securityweek中，標(biāo)題把這個(gè)新漏洞形容為“worst”，用戶瀏覽網(wǎng)頁(yè)時(shí)，很有可能受到攻擊者攜帶的惡意代碼的影響。但鮮有媒體關(guān)注。

這場(chǎng)病毒的反擊戰(zhàn)什么時(shí)候是個(gè)頭呢？在360所給出的官方通稿中，使用了“黑色星期一爽約了”這樣的樂觀標(biāo)題來(lái)形容我們對(duì)抗勒索蠕蟲所獲得的階段性勝利，周一受感染機(jī)構(gòu)的增長(zhǎng)速度比前兩天明顯放緩。

或許外界有點(diǎn)誤解和妖魔化了這次病毒。“只要按照正確的操作手冊(cè)去執(zhí)行，它還是一個(gè)講道理、講科學(xué)的東西。影響并非不可控。只不過(guò)大部分人看到它的時(shí)候完全是懵的，”趙晉龍強(qiáng)調(diào)，未來(lái)這種蠕蟲出現(xiàn)的概率仍然存在，只不過(guò)到時(shí)候我們應(yīng)該有更強(qiáng)大的團(tuán)隊(duì)去應(yīng)對(duì)他們。