勒索病毒肆虐全球 最高幾率恢復被鎖文件的解密工具是如何煉成的？

5 月 12 日，一場網絡病毒風暴迅速席卷全球，包孕英國、意大利、俄羅斯在內的近百個國家遭遇勒索病毒的攻擊，甚至讓很多本能機能機構斷網，至今仍讓公眾心有余悸。

6 月 13 日，恰逢WannaCry在中國發(fā)作一個月的時間節(jié)點，上百位信息安適領袖專家齊聚 2017 中國網絡安適大會，探討全球化的網絡安適議題，不少業(yè)內專家結合勒索病毒攻擊事件分享經驗和反思。其中，騰訊安適反病毒實驗室負責人馬勁松在大會當天下午的“大師講堂”論壇，頒發(fā)了名為《WannaCry病毒事件反思》的主題演講，首度分享了騰訊電腦管家和騰訊安適反病毒實驗室并吞勒索病毒背后的故事。

全網首發(fā)XP解密工具 最高幾率恢復被鎖文件

在談及這場剛剛過去一個月的網絡安適危機時，馬勁松體現(xiàn)，在勒索病毒發(fā)作之后，騰訊安適反病毒實驗室就迅速拉響了最高等級的安適警報，一方面連結對勒索病毒及其變種的高度關注;另一方面，基于自身安適實力持續(xù)輸出深度研究陳訴，起底WannaCry勒索病毒的傳播方式及最新變種，并推出了一整套包羅漏洞免疫工具、文檔守護者工具、文件恢復工具、勒索病毒專殺工具等在內的處置辦法，幫手用戶抵御病毒的侵襲。

與此同時，騰訊安適反病毒實驗室還在解密WannaCry勒索病毒上取得重大突破。馬勁松體現(xiàn)，關于Windows XP 系統(tǒng)解鎖的研究，此前已有安適同行頒發(fā)了進展，Adrien Guinet首先發(fā)現(xiàn)了在XP環(huán)境某些條件下，使用CryptDestroyKey和CryptReleaseContext時不會將生成的RSA密鑰從內存中銷毀，通過搜索目標進程內存的方式，可以搜索到RSA密鑰的某些痕跡，但其沒有對解密結果進行廣泛驗證。

馬勁松進一步體現(xiàn)，在Adrien Guinet提供的代碼基礎上，騰訊安適反病毒實驗室按照病毒發(fā)作之后對樣本的分析結果以及以前的技術積累，修改了其中一些關鍵的問題，使得從搜索到的結果可以提取到文件解密所需的RSA私鑰，進而解密XP系統(tǒng)下的受害文件。

經過驗證，騰訊安適反病毒實驗室針對受感染的XP系統(tǒng)用戶開發(fā)的解密工具，在沒有重啟電腦的前提下，可以大概率成功解密被鎖文件，解密恢復成功率是其他文件恢復工具的幾倍。與此同時，騰訊安適反病毒實驗室也及時將解密工具的技術細節(jié)和源代碼，開放給行業(yè)同仁，共同抵御安適威脅，以期建立更高效的協(xié)同機制。

行業(yè)協(xié)同狙擊“暗云Ⅲ”病毒 拯救 40 萬被感染用戶

雖然在以騰訊電腦管家和騰訊安適反病毒實驗室為代表的安適廠商合力圍剿之下，WannaCry勒索病毒的攻擊已經被及時遏制，但其帶給安適行業(yè)甚至整個互聯(lián)網用戶的反思卻沒有停止。馬勁松體現(xiàn)，WannaCry勒索病毒或許是新時期網絡威脅的一個序曲，隨著互聯(lián)網+時代的來臨，應對“WannaCry”式攻擊或將成為常態(tài)。

而就在WannaCry剛剛過去不到一個月的時間內，互聯(lián)網安適就又迎來了一次嚴峻的考驗——史上最復雜的病毒“暗云Ⅲ”悄然來襲。 6 月 9 日，據騰訊電腦管家監(jiān)測發(fā)現(xiàn)，“暗云Ⅲ”病毒正在通過下載站大規(guī)模傳播，傳播量級逾百萬。感染“暗云Ⅲ”病毒的用戶不但將面臨個人信息遭竊的風險，還將在黑客的控制下釀成“肉雞”，發(fā)起DDoS大規(guī)模網絡攻擊，嚴重影響互聯(lián)網安適。

對比一個月之內的這兩場網絡安適危機，馬勁松體現(xiàn)，在應對WannaCry病毒過程中，全球各大安適廠商均有所行動，也相繼推出了防御方案，但并沒有產生協(xié)同效應，甚至其中部分誤判結論會加劇社會的恐慌情緒。在吸取了對抗勒索病毒經驗之后，此次全行業(yè)協(xié)同對抗暗云病毒明顯快速且有效。

據中央電視臺報道，截止 6 月 13 日，騰訊安適反病毒實驗室及騰訊電腦管家協(xié)同國內其他安適廠商和云辦事商已修復了約 40 萬臺“暗云Ⅲ”中毒電腦，，極大程度的掩護了廣大用戶的網絡安適。

雖然在一個月之內連克兩場大型的病毒攻擊，但馬勁松仍然不敢樂不雅觀，他體現(xiàn)，面對復雜的網絡環(huán)境，我們永遠是如履薄冰，不敢放松警惕。應對下一個WannaCry勒索病毒的攻擊，需要進一步提升全社會的安適意識，我們的任務還很重。