勒索病毒找到破解的方法了吗？勒索病毒怎么防御？

勒索病毒肆虐全球，波及范围之广，损失严重。那么勒索病毒能破解了吗？勒索病毒怎么防御？

从当日20时左右开始，100多个国家和地区的数万台电脑遭该勒索病毒感染，我国部分Windows系列操作系统用户遭到感染。被该勒索软件入侵后，用户主机系统内的照片、图片、文档、音频、视频等几乎所有类型文件都将被加密，加密文件后缀名被修改为“．WNCRY”，并会在桌面弹出勒索对话框，要求受害者支付价值数百美元的比特币到攻击者的比特币钱包。

监测数据表明：在首个24小时，国内有2.9万多个IP地址感染勒索病毒，教育科研行业成重灾区，共4300余个IP地址感染，占比14.7%。

国家网络与信息安全信息通报中心昨天发布通报：在全球范围内爆发的勒索病毒出现变种。与之前版本不同的是，这个变种不能通过注册某个域名来关闭变种勒索病毒的传播，该变种传播速度可能会更快。

专家表示，根据目前的态势，对于黑客发现的新漏洞，我们只能不断防御。

“潘多拉魔盒”还未彻底打开

网络安全专家、“漏洞银行”首席执行官罗清篮介绍说，“永恒之蓝”是一种利用计算机操作系统新漏洞的蠕虫病毒。蠕虫是一种常见的计算机病毒，能利用网络进行自我复制和传播。这类病毒很久没有大规模爆发了，此次为何会震动全球？因为病毒发布者利用了一个新近公开的漏洞——Windows系统SMB服务远程溢出漏洞。通过445端口，“永恒之蓝”就能攻击这个漏洞，从而入侵网络上的各台Windows主机，获得权限后对主机上的文件进行加密。

罗清篮说，根据他掌握的信息，这个漏洞是由方程式组织（EquationGroup）发现的，该组织是美国国家安全局（NSA）的“网络军火供应商”，为NSA研发各种网络入侵攻击技术。今年3月，黑客组织“影子经纪人”（ShadowBrokers）把方程式组织“网络军火库”内的许多技术发布在网上，公开出售，售价极高。由于乏人问津，他们又通过众筹方式叫卖。

机密的NSA“网络军火库”怎么会落到“影子经纪人”手里？目前，流传着多个说法，包括大名鼎鼎的斯诺登的爆料。无论何种原因，“潘多拉魔盒”已被打开，“永恒之蓝”利用的漏洞只是“影子经纪人”公布的8个漏洞之一，有迹象显示，该组织还没有公开他们获取的全部漏洞。

事实上，早在今年3月，方程式组织发现的Windows漏洞就已在网上公开，微软公司亦很快发布针对这个漏洞的补丁。此次事件表明，这一发现并未引起重视。许多电脑因为没有及时“打补丁”而“中招”。

现在个人终端计算能力难破解

上海交大信息安全工程学院教授李建华说，人们日常设置的邮箱、论坛等账号密码，只是“弱口令密码”，通过猜测或暴力破解不难解开。但此次勒索病毒使用的是“高强度加密算法”。对于经这种算法生成的密钥，现有的个人终端计算能力难以破解。

他介绍，目前主要有两种加密算法，一种是椭圆曲线加密，还有一种是由三个科学家发明的RSA加密公钥体系。勒索病毒使用的是后者。这个公钥体系高达2048比特，只要其钥匙的长度足够长，用RSA加密的信息几乎无法被破解。从目前看，用户主机一旦被勒索软件渗透，只能通过专杀工具或重装操作系统的方式来清除，但用户的重要数据文件不能完全恢复。“这两天，网上传出一些企业能破解密码、为用户恢复文件的消息，都不可信。”

勒索病毒出现变种，升级补丁软件还有用吗？李建华认为，这只是病毒增加了一个新的漏洞利用攻击功能，并没有什么本质改变。目前，人们已提高警惕，该变种传播速度不见得会更快。

机构个人亟待增强“免疫力”

黑客手段不断翻新，未来我们该如何应对？李建华说，在网络安全这条看不见的战线上，有人研究攻击手段，也有人研究防御手段。“最重要的，还是要增强对病毒的‘免疫力’。”他说，要有安全意识，平时对于重要信息和数据要养成备份的习惯。

罗清篮则表示，对个人而言，技术层面最直接的启示有两个：一是要及时为计算机操作系统打补丁，应开启Windows“自动更新”服务，或及时通过网络下载补丁；二是可以关闭平时不用的端口，如445、135端口，切断计算机病毒入侵的通道。此外，还可以关注一两个网络安全微信公众号，及时了解网络安全领域的最新动向。事实上，在“永恒之蓝”爆发前，一些微信公众号已提醒用户注意加强防护。

但个人防范并不足以解决问题。此次遭到入侵的一些国内机构，今后应雇用专职网络安全运维人员，或购买信息安全公司的服务，防范此类严重中毒事件再度发生。

“今后，估计会出现一批效仿者，利用其他漏洞进行各种技术形态的网络入侵，索取经济利益。”罗清篮说，广大计算机个人和机构用户有必要加强安全意识，特别是对机构来说，要加强对网络基础设施安全运维的人力和物力投入，提升安全防控级别；还需像黑客一样，深入研究计算机系统存在的漏洞。“我们必须赶在不法黑客利用漏洞发动攻击前扎好篱笆，防止在下一轮攻击中受损。”