5 月 12 日，一場(chǎng)網(wǎng)絡(luò)病毒風(fēng)暴迅速席卷全球，包孕英國(guó)、意大利、俄羅斯在內(nèi)的近百個(gè)國(guó)家遭遇勒索病毒的攻擊，甚至讓很多本能機(jī)能機(jī)構(gòu)斷網(wǎng)，至今仍讓公眾心有余悸。

6 月 13 日，恰逢WannaCry在中國(guó)發(fā)作一個(gè)月的時(shí)間節(jié)點(diǎn)，上百位信息安適領(lǐng)袖專(zhuān)家齊聚 2017 中國(guó)網(wǎng)絡(luò)安適大會(huì)，探討全球化的網(wǎng)絡(luò)安適議題，不少業(yè)內(nèi)專(zhuān)家結(jié)合勒索病毒攻擊事件分享經(jīng)驗(yàn)和反思。其中，騰訊安適反病毒實(shí)驗(yàn)室負(fù)責(zé)人馬勁松在大會(huì)當(dāng)天下午的“大師講堂”論壇，頒發(fā)了名為《WannaCry病毒事件反思》的主題演講，首度分享了騰訊電腦管家和騰訊安適反病毒實(shí)驗(yàn)室并吞勒索病毒背后的故事。

全網(wǎng)首發(fā)XP解密工具 最高幾率恢復(fù)被鎖文件

在談及這場(chǎng)剛剛過(guò)去一個(gè)月的網(wǎng)絡(luò)安適危機(jī)時(shí)，馬勁松體現(xiàn)，在勒索病毒發(fā)作之后，騰訊安適反病毒實(shí)驗(yàn)室就迅速拉響了最高等級(jí)的安適警報(bào)，一方面連結(jié)對(duì)勒索病毒及其變種的高度關(guān)注;另一方面，基于自身安適實(shí)力持續(xù)輸出深度研究陳訴，起底WannaCry勒索病毒的傳播方式及最新變種，并推出了一整套包羅漏洞免疫工具、文檔守護(hù)者工具、文件恢復(fù)工具、勒索病毒專(zhuān)殺工具等在內(nèi)的處置辦法，幫手用戶抵御病毒的侵襲。

與此同時(shí)，騰訊安適反病毒實(shí)驗(yàn)室還在解密WannaCry勒索病毒上取得重大突破。馬勁松體現(xiàn)，關(guān)于Windows XP 系統(tǒng)解鎖的研究，此前已有安適同行頒發(fā)了進(jìn)展，Adrien Guinet首先發(fā)現(xiàn)了在XP環(huán)境某些條件下，使用CryptDestroyKey和CryptReleaseContext時(shí)不會(huì)將生成的RSA密鑰從內(nèi)存中銷(xiāo)毀，通過(guò)搜索目標(biāo)進(jìn)程內(nèi)存的方式，可以搜索到RSA密鑰的某些痕跡，但其沒(méi)有對(duì)解密結(jié)果進(jìn)行廣泛驗(yàn)證。

馬勁松進(jìn)一步體現(xiàn)，在Adrien Guinet提供的代碼基礎(chǔ)上，騰訊安適反病毒實(shí)驗(yàn)室按照病毒發(fā)作之后對(duì)樣本的分析結(jié)果以及以前的技術(shù)積累，修改了其中一些關(guān)鍵的問(wèn)題，使得從搜索到的結(jié)果可以提取到文件解密所需的RSA私鑰，進(jìn)而解密XP系統(tǒng)下的受害文件。

經(jīng)過(guò)驗(yàn)證，騰訊安適反病毒實(shí)驗(yàn)室針對(duì)受感染的XP系統(tǒng)用戶開(kāi)發(fā)的解密工具，在沒(méi)有重啟電腦的前提下，可以大概率成功解密被鎖文件，解密恢復(fù)成功率是其他文件恢復(fù)工具的幾倍。與此同時(shí)，騰訊安適反病毒實(shí)驗(yàn)室也及時(shí)將解密工具的技術(shù)細(xì)節(jié)和源代碼，開(kāi)放給行業(yè)同仁，共同抵御安適威脅，以期建立更高效的協(xié)同機(jī)制。

行業(yè)協(xié)同狙擊“暗云Ⅲ”病毒 拯救 40 萬(wàn)被感染用戶

雖然在以騰訊電腦管家和騰訊安適反病毒實(shí)驗(yàn)室為代表的安適廠商合力圍剿之下，WannaCry勒索病毒的攻擊已經(jīng)被及時(shí)遏制，但其帶給安適行業(yè)甚至整個(gè)互聯(lián)網(wǎng)用戶的反思卻沒(méi)有停止。馬勁松體現(xiàn)，WannaCry勒索病毒或許是新時(shí)期網(wǎng)絡(luò)威脅的一個(gè)序曲，隨著互聯(lián)網(wǎng)+時(shí)代的來(lái)臨，應(yīng)對(duì)“WannaCry”式攻擊或?qū)⒊蔀槌B(tài)。

而就在WannaCry剛剛過(guò)去不到一個(gè)月的時(shí)間內(nèi)，互聯(lián)網(wǎng)安適就又迎來(lái)了一次嚴(yán)峻的考驗(yàn)——史上最復(fù)雜的病毒“暗云Ⅲ”悄然來(lái)襲。 6 月 9 日，據(jù)騰訊電腦管家監(jiān)測(cè)發(fā)現(xiàn)，“暗云Ⅲ”病毒正在通過(guò)下載站大規(guī)模傳播，傳播量級(jí)逾百萬(wàn)。感染“暗云Ⅲ”病毒的用戶不但將面臨個(gè)人信息遭竊的風(fēng)險(xiǎn)，還將在黑客的控制下釀成“肉雞”，發(fā)起DDoS大規(guī)模網(wǎng)絡(luò)攻擊，嚴(yán)重影響互聯(lián)網(wǎng)安適。

對(duì)比一個(gè)月之內(nèi)的這兩場(chǎng)網(wǎng)絡(luò)安適危機(jī)，馬勁松體現(xiàn)，在應(yīng)對(duì)WannaCry病毒過(guò)程中，全球各大安適廠商均有所行動(dòng)，也相繼推出了防御方案，但并沒(méi)有產(chǎn)生協(xié)同效應(yīng)，甚至其中部分誤判結(jié)論會(huì)加劇社會(huì)的恐慌情緒。在吸取了對(duì)抗勒索病毒經(jīng)驗(yàn)之后，此次全行業(yè)協(xié)同對(duì)抗暗云病毒明顯快速且有效。

據(jù)中央電視臺(tái)報(bào)道，截止 6 月 13 日，騰訊安適反病毒實(shí)驗(yàn)室及騰訊電腦管家協(xié)同國(guó)內(nèi)其他安適廠商和云辦事商已修復(fù)了約 40 萬(wàn)臺(tái)“暗云Ⅲ”中毒電腦，，極大程度的掩護(hù)了廣大用戶的網(wǎng)絡(luò)安適。

雖然在一個(gè)月之內(nèi)連克兩場(chǎng)大型的病毒攻擊，但馬勁松仍然不敢樂(lè)不雅觀，他體現(xiàn)，面對(duì)復(fù)雜的網(wǎng)絡(luò)環(huán)境，我們永遠(yuǎn)是如履薄冰，不敢放松警惕。應(yīng)對(duì)下一個(gè)WannaCry勒索病毒的攻擊，需要進(jìn)一步提升全社會(huì)的安適意識(shí)，我們的任務(wù)還很重。