騰訊云：Petrwrap勒索病毒席卷全球，為何說云端才是安全高地？

昨天，一種名為“Petya”(也有稱Petrwrap，exPetr)的新型超強勒索病毒再次席卷俄羅斯、英國、烏克蘭等歐洲多個國家，包括烏克蘭首都國際機場、烏克蘭國家儲蓄銀行、船舶公司、俄羅斯石油公司和烏克蘭一些商業(yè)銀行以及部分私人公司、零售企業(yè)和政府系統(tǒng)都遭到了攻擊。這是繼上個月 “WannaCry”(想哭)的網(wǎng)絡(luò)病毒肆掠全球100多個國家后，再次出現(xiàn)世界級的網(wǎng)絡(luò)病毒。

27號18點左右，騰訊云聯(lián)合騰訊電腦管家發(fā)現(xiàn)相關(guān)樣本在國內(nèi)出現(xiàn)，騰訊云已實時啟動用戶防護引導(dǎo)。到目前為止，云上用戶尚無感染案例。騰訊云主機防護產(chǎn)品云鏡已實時監(jiān)測該蠕蟲，同時騰訊云云鼎實驗室將持續(xù)關(guān)注該事件和病毒動態(tài)，第一時間更新相關(guān)信息，并提醒用戶及時關(guān)注，修復(fù)相關(guān)漏洞，避免感染風險。

Wannacry、Petya輪番來襲，世界級網(wǎng)絡(luò)病毒將成常態(tài)

經(jīng)騰訊云云鼎實驗室確認，Petya是一種類似于“WannaCry”的勒索病毒新變種，傳播方式與“WannaCry”類似，其利用EternalBlue(永恒之藍)和OFFICE OLE機制漏洞(CVE-2017-0199)進行傳播，同時還具備局域網(wǎng)傳播手法。通過分析，發(fā)現(xiàn)病毒采用多種感染方式，其中通過郵件投毒的方式有定向攻擊的特性，在目標中毒后會在內(nèi)網(wǎng)橫向滲透，通過下載更多載體進行內(nèi)網(wǎng)探測。與Wannacry相比，Petya勒索病毒變種的傳播速度更快。

截至目前，在一些歐洲國家的重災(zāi)區(qū)，Petya已經(jīng)達到了每十分鐘感染5000臺電腦的速度。而運營商、機場、ATM更是成為了此次新病毒的聚集地。來自莫斯科的消息稱，至今已有高達80多家的公司被這種新病毒攻擊并且淪陷。

分析顯示，病毒樣本運行之后，會枚舉內(nèi)網(wǎng)中的電腦，并嘗試在135、139、445等端口使用SMB協(xié)議進行連接。同時，病毒會修改系統(tǒng)的MBR引導(dǎo)扇區(qū)，當電腦重啟時，病毒代碼會在Windows操作系統(tǒng)之前接管電腦，執(zhí)行加密等惡意操作。電腦重啟后，會顯示一個偽裝的界面，假稱正在進行磁盤掃描，實際上正在對磁盤數(shù)據(jù)進行加密操作。加密完成后，病毒才露出真正的嘴臉，要求受害者支付價值300美金的比特幣贖金。

這是在Wannacry之后，再一次出現(xiàn)全球性的網(wǎng)絡(luò)安全危機。業(yè)內(nèi)專家表示，隨著技術(shù)的不斷發(fā)展以及全球信息一體化程度的不斷提升，對技術(shù)同樣具有天然敏感性的犯罪份子，將充分利用可能出現(xiàn)的網(wǎng)絡(luò)安全漏洞制造新的網(wǎng)絡(luò)病毒，并充分利用云、人工智能等技術(shù)讓病毒蔓延范圍更廣，危害更大。未來這也將成為一種新常態(tài)。

云-端部署具有御敵優(yōu)勢，云-端協(xié)同才是真安全

一直以來，很多人慣性認為數(shù)據(jù)在放在自己手中(自建IDC或采用私有云部署)才是最安全，而采用第三方云服務(wù)商所提供的應(yīng)用環(huán)境，或是將數(shù)據(jù)托管在云上，總不是那么讓人放心。但是近兩次病毒的肆掠卻出現(xiàn)了完全不同于既有思維的結(jié)果：采用私有云的企業(yè)反而比采用公有云的企業(yè)受到攻擊更廣，損失更嚴重，甚至連號稱最安全的內(nèi)外網(wǎng)隔離也沒能逃過一劫。

“過去安全界的法寶，無論是‘修長城’(找到邊界和要塞隔離、審計、控制)，還是‘搭迷宮’(制定成千上萬的策略限制黑客)，都已經(jīng)無法應(yīng)對嚴峻的安全形勢。而云和端統(tǒng)一部署應(yīng)對措施，從時間上就更容易防御病毒侵襲。”騰訊云副總裁、騰訊社交網(wǎng)絡(luò)與騰訊云安全負責人黎巍認為。

以Petya病毒攻擊為例。在Petya勒索病毒已經(jīng)確認感染全球數(shù)十家跨國企業(yè)和政府機構(gòu)后，騰訊電腦管家安全團隊通過溯源追蹤的方式，率先響應(yīng)預(yù)警并確認該病毒利用EternalBlue進行傳播，并聯(lián)合騰訊云為用戶提供了全面防御方案，用戶更新windows系統(tǒng)補丁、開啟騰訊電腦管家防護、騰訊云用戶請確保安裝和開啟云鏡主機保護系統(tǒng)，均可防御病毒攻擊。

“云上用戶能獲得的實時情報預(yù)警，聯(lián)防聯(lián)控和風險應(yīng)對指引是云端御敵的優(yōu)勢，騰訊云和電腦管家覆蓋云到端的全終端覆蓋是騰訊安全威脅情報和實時態(tài)勢感知的保證。” 騰訊云云鼎實驗室負責人董志強表示。

AI賦能安全，更優(yōu)技術(shù)加持可持續(xù)對抗病毒升級

AI即服務(wù)的時代，騰訊云以AI和大數(shù)據(jù)為驅(qū)動力，以云為平臺和管道構(gòu)建新一代智能安全防御體系。

在剛剛過去的2017“云+未來”峰會上，騰訊云隆重介紹了三款重磅云安全新品，分別為主機安全、反詐騙云、網(wǎng)站安全，同時發(fā)布騰訊云在車聯(lián)網(wǎng)、移動、直播三大領(lǐng)域的安全行業(yè)解決方案。

其中，在此次Peyta防御中派上用場的云鏡產(chǎn)品，正是基于騰訊安全積累的海量威脅數(shù)據(jù)，利用機器學習為用戶提供黑客入侵檢測和漏洞風險預(yù)警等安全防護服務(wù)，不僅有密碼破解攔截、異常登錄提醒、木馬文件查殺、高危漏洞檢測等安全功能，通過AI的加持，云鏡還具有學習的強大能力，進一步幫助提升主機安全防護、防止數(shù)據(jù)泄露。

而反詐騙云，騰訊從計算力、算法、數(shù)據(jù)等三方面能力，為反詐騙的AI創(chuàng)新提供了堅實基礎(chǔ)。面向政府與金融企業(yè)，實時為防止詐騙、反騙貸、反洗錢、反騙保等一系列犯罪活動提供監(jiān)測。包含云智能防火墻、AI業(yè)務(wù)防控、高級威脅檢測、多地容災(zāi)保障四大防御體系的網(wǎng)站管家，通過立體協(xié)同的防御策略，全面保護網(wǎng)站的系統(tǒng)安全和業(yè)務(wù)穩(wěn)定，為合法內(nèi)容的有效傳播保駕護航。

馬化騰在云+未來峰會上曾表示，企業(yè)用好云這個武器，將更好對抗對技術(shù)越發(fā)敏感的電信詐騙、網(wǎng)絡(luò)犯罪、黑產(chǎn)等犯罪分子。

而這句話更加通俗的解釋，則可表述為，云端更安全。