导语:“想哭”勒索软件来袭,著名安全专家Killer公海上解读此次事件,深度剖析了勒索软件的真实面目,并给出了数条安全建议。

概要:“想哭”勒索软件来袭,嘶吼记者在公海邮轮上采访了著名安全专家Killer,深度剖析了勒索软件的真实面目,并给出了数条安全建议。

5月12日晚,全球爆发了一次大规模的勒索软件事件,并且这一事件还在继续。统计显示,目前全球包括美国、英国、中国、俄罗斯、西班牙、意大利、越南等至少100个国家受到了影响。

就国内而言,受到了非常严重的影响,桂林电子科技大学、贺州学院、桂林航天工业学院、大连海事大学、山东大学等教学系统已经瘫痪,部分医院系统无法访问。除了政府和事业单位遭受影响之外,中石油系统也受到了影响。

专家解读

针对这次事件,信息安全专业媒体嘶吼方面紧急联系了腾讯安全云鼎实验室负责人Killer,就以下几个问题询问了专业解释。

Kille:国内知名安全防护工具—“超级巡警”创始人,前百度国际化杀毒产品负责人,现腾讯安全云鼎实验室负责人。

WechatIMG201.jpeg

5月12日爆发的“想哭”勒索软件事件,究其原因是之前NSA泄露的一个Windows 0day漏洞,微软随之便发布了补丁。但是微软补丁更新已经有一段时间,为什么现在会大规模的爆发?

Killer:NSA工具包被披露之后,大家纷纷想办法利用其中的工具,但是他们的工具利用起来有一定的门槛。另外,通过我们的分析,互联网上的补丁修复率并不高,最近还有很多简单的利用方式出来了,包括著名的黑客工具metaspolit的插件。这就意味着利用已经比之前简单多了。从漏洞可靠性来看,之前的事件主要用ETERNALBLUE漏洞,现在ERRATICGOPHER等Python脚本也出来了,所以黑客在利用这些工具就变得很简单了。

总结之前所有的黑客攻击事件,大部分都是发生在深夜或者周末。攻击者为什么会选择这个时间点发动攻击呢?

Killer:从动机上看,这是扩大效果的需要,利用周末大家休息的空当发动攻击,与安全公司打时间差,这样效果会更好。

文件被勒索软件加密后,有什么有效的恢复手段吗?

Killer:目前还没有有效的第三方修复工具可以完美还原被加密的文件。

网上有一些宣称能解密的文章,本意是引导用户购买他们的数据恢复软件。数据恢复软件通过恢复被删除的加密前的文件能恢复部分文件起到一定效果。

对于这样的灾难,对用户和安全公司你有什么建议?

Killer:这块各家都有解决方案。我简单说一下,对勒索软件来说,预防是目前最有效的手段。有一些老生常谈的东西依然有效。比如做好数据备份,及时更新系统补丁,开启防火墙做好端口过滤,安装可靠的终端防护产品。不能把希望寄托在遭遇勒索后的解密上,勒索是黑客变现的手段,不要给他们批量扫描入侵的机会。

对于企业和云服务商,除了打补丁,要做好安全组的策略落地,云服务商的镜像要第一时间更新,针对第三方服务商、生态伙伴提交的镜像也要全面检查安全性,确保有效升级。

安全行业应该加大透明度,加强信息交换和协同防御,比如这次勒索攻击,可以对攻击源进行联动封堵,增加黑客对抗难度 ,黑客换攻击源也是需要成本和时间,去更新他们的攻击脚本、木马设置等等。

每一次攻击事件,都是对各家安全产品,团队响应能力的一个考验和筛选,相信优秀的团队会脱颖而出。

另外呢,希望媒体能多给大家科普,多做一些勒索软件危害的宣传,提高大众安全意识。

写在最后

据知,此次事件已经有大量受害者选择了直接支付赎金。支付赎金虽然可取,但嘶吼不建议所有用户都用支付赎金的方式解决。如果被加密的文件对自己造成很大的影响,必须要拿回,嘶吼建议你直接支付赎金,否则慎选这种方式。

针对勒索软件,支付赎金是最快,最直接的解决办法,早在之前FBI也已经建议大家选择直接支付赎金赎回文件,但嘶吼建议大家不要盲目支付。

另外,更为重要的是,不要轻易相信任何可以帮助你破解勒索软件的方式。嘶吼编辑以从业多年的经验告诉大家,在勒索事件出现的同时可能会衍生出一系列的诈骗事件,所以希望大家提高警惕。

源链接

Hacking more

...