“黑色星期一”没有发生,WannaCry好像被控制住了。但与病毒的战争才刚刚开始。
作者
王付娇
刚刚过去的一个周末是对互联网安全从业者的一场大考。
安全从业者像是在和病毒的始作俑者玩一场“猫和老鼠”的游戏。勒索病毒攻城掠地,袭击一个又一个国家地区,医院、学校、警察局,甚至连边检站也遭到毒手;安全人员像救火一样研究病毒样本、提醒用户尽快修补漏洞,试图止住蔓延的趋势,降低用户损失。
情况刚刚好一点的时候,网上又有关于勒索病毒2.0版本的消息出现,用户“心又提到了嗓子眼”,在这场与勒索病毒的攻防战中,不少安全人员都彻夜未眠。病毒已经可以达到“载入史册”的量级了,他们的故事同样值得被记录。
▋D1:病毒来了从5月12日周五晚发现勒索病毒开始,60安全监测与响应中心负责人赵晋龙就几乎没有合过眼。
周五晚上,赵晋龙就陆续在论坛上看到有学校学生的电脑感染了某种蠕虫病毒,通过Windows系统的端口,感染用户数据,勒索比特币。赵晋龙放下困意,起来开始搜集信息,职业本能告诉他,这场病毒来头不小。
凌晨1点半,同事打电话来,说客户那边出事儿了。对方是超大型企业客户,同事的电话坚定了赵晋龙的判断,这是个很大的事情,得马上搞定。
当时市面上还没有任何报道,能做出判断的原因有两点:第一,在安全界,蠕虫和勒索病毒是两个最大的混蛋。蠕虫会自我复制、传播性强,现在有些老蠕虫即使没有危害了,但依然在活动,一旦发现就像牛皮藓一样难以根除;勒索病毒是这几年的新兴事物,在业界被称为“数字绑票”,破坏用户数据,给挂一个闹钟倒计时,简单粗暴。
现在,这两个最大的混蛋聚在一起,简直是暴乱。
判断过后,客户的问题是当务之急。由于赵晋龙的团队偏后端,在凌晨1点半时,就有同事赶往“现场”了,他们必须第一时间出现在客户办公室。
去现场的路上,作为负责人的赵晋龙顺带叫醒了几个主力同事。安全团队的同事有个习惯,睡觉不关机、也不静音,24小时随时standby。
周六凌晨点左右,在客户那里,赵晋龙的团队拿到了病毒样本。在另一头,60企业安全集团总裁吴云坤成立了一个临时的指挥中心,一部分人赶到办公室、另一部分先在线上办公、远程协助。
争分夺秒。凌晨4点多时,60已经给出了用户材料和简单的措施建议。比如,这么大样本量怎么能抑制住它的传播?怎么能保证主机不被它控制?已经中毒的怎么清理?怎么恢复核心业务?
结合用户提出的具体问题,在凌晨5点左右,整个团队拿出了一个可落地的执行方案。同时,一个临时的免疫工具出台。8点左右,
转载请注明:http://www.wangguoqiangq.com/sglbly/6488.html
