被WannaCry加密的文件,部分可恢复 “目前,加密的文件通过解密是不可能的,但是被删除的数据可做恢复。” 亚信安全通用安全产品管理副总经理刘政平说到。 WannaCry是一种蠕虫式勒索软件,利用NSA黑客武器库泄露的“永恒之蓝”发起病毒攻击。利用Windows SMB服务器漏洞CVE20170147渗透到Windows机器中,其中严重的漏洞允许远程执行代码传播迅速;一旦被攻击,暂无解密方式。
在对病毒样本的分析中,亚信安全发现攻击者利用勒索蠕虫WannaCry针对攻击的文档,会先做出一份加密文档,然后修改权限确认此份加密文档是无法被删除的。然后在某些情况下,它会对原受攻击的文档进行写入的动作,最后进行删除。即使采用数据恢复工具,并不能保证可以完全恢复受攻击文档的原始内容。但是,根据该勒索蠕虫的行为方式,我们可以恢复C盘之外的大部分数据。 亚信安全通用安全产品中心总经理童宁为记者详细解释到,无论是针对哪个盘的数据进行加密,加密的算法都是一样的。唯一的差距是删除的时候,把这个文件拷贝出来加密形成一个新文件。为了提高勒索效率,攻击者采用了不同的删除行为。一方面,攻击者会挑选桌面以及C盘一些文件进行清零操作,即:将文件从盘里拷贝出来,然后删除文件,采用清零算法,把数据全部写0,这时数据无法还原。另一方面,对于D、E等盘,攻击者采用简单的删除操作。例如仅仅删除文件头,修改文件类型,文件还在,此时数据可恢复。但是,至于能够恢复多少,则取决于原文件所在扇区是否被重写或者覆盖过。 此外,经测试发现,当一个盘符里面的数据量较少时(例如使用了30%),几乎能恢复所有数据;当一个盘符里面的数据量较大时(例如使用了90%),只能恢复部分数据,有一部分数据丢失;当磁盘空间已满时,有的原始文件根本没有被加密,这种情况下,与普通数据恢复原理相同,大多数数据可以恢复。 新的网络攻防需要有新的技术来应对新的挑战 记者了解到,在本次勒索攻击事件中,亚信安全没有一例客户受到影响。这是为什么?据刘政平介绍,首先,今年四月底亚信安全的全线产品针对微软“永恒之蓝”的漏洞发布了针对性的虚拟补丁和检测策略。其次,桌面安全解决方案OfficeScan 11 SP1,通过AGEIS引擎(行为监控)使用ADC(AccessDocument Control)功能对勒索软件恶意的加密行为实施拦截。第三,安全专家在事前协助用户部署虚拟补丁策略,事中协助用户进行配置更新和安全软件更新,事后进行详细分析及系统和优化,提供了全面的专家支持服务。 刘政平表示,新的网络攻防必须要有新的技术才能应对新的挑战,何况这是一个NSA花了很大代价开发出来的网络战略武器。亚信安全之所以能够成功抵御此次攻击,也离不开在新技术上的持续投入。例如:机器学习技术。在本次事件中,通过机器学习引擎的beta版,帮助用户成功有效地拦截了该勒索蠕虫。 通过为客户制定事前、事中、事后的安全策略,并强调补丁管理、异常行为检测、沙箱分析、机器学习等技术手段,亚信安全配合专业的安全服务,确保客户的配置更新以及安全软件更新。最终,即使用户侧在病毒码没有更新,在硬件网关失效,在系统没打补丁,在内网中招的情况下,亚信安全OfficeScan仍然成功抵御了此次勒索。 国内外的安全厂商都在想方设法应对勒索蠕虫病毒,并且取得了积极的成效。亚信安全技术支持中心总经理蔡昇钦介绍,比如亚信安全参与承建的国内多个省份的电信运营商使用的错误域名重定向系统,就能让病毒误以为成功访问了那个紧急停止“开关”,所有请求得到了解析成功的响应,客观上避免了病毒的二次传播。 与勒索蠕虫的战斗刚刚开始 “这次其实不是一个事件的结束,恰恰是一个开始。这一类蠕虫和勒索软件相融合的模式是第一次,带有一种示范效应。很多黑客发现如此有效,可能会依法炮制,利用相同手法进行传播和攻击。因此,未来这个威胁会越来越大,而且是跨平台、跨系统的。”刘政平表示。 蔡昇钦也认为:“WannaCry勒索蠕虫将会写入病毒发展史,它开启了一个新的病毒类型。它把蠕虫的行为加入攻击中,对未来的网络安全影响很大。在物联网时代,一旦跟勒索软件相结合,会对未来物联网的生活造成很大的影响。这也给企业敲响了警钟,企业需时刻重视补丁的更新。” 据悉,NSA泄露的漏洞还有一些没有揭露,这也意味着没有相应的补丁,而安全厂商更没有相应的安全规则。当这些漏洞被揭露的时候,我们该怎么办? 作为安全厂商总不能跟客户说,这是百年一遇的大攻击,我们的技术防不住。因此,厂商应需要尽快地引进和开发新技术,从而进行有效防御。 对用户来说,用病毒码这种被动式防护已慢慢失效,它无法解决系统级漏洞的传播模式。所以,用户需要采取主动防御、层层防护的模式,提前建好防护体系。对此,刘政平表示:“我们认为安全是一个三分靠技术,七分靠管理的体系化工作,建议企业做到预防为主,并同时做好事后的应急响应。” |