勒索病毒“永恒之蓝”肆虐，远为软件紧急应对

勒索病毒WannaCry肆虐全球，利用Windows操作系统漏洞，因链式反应迅猛自动传播，校园电脑、个人电脑、企业电脑、政府机关都是重灾区。中毒电脑所有文档被加密，只有支付高额赎金才能解密恢复文件，对重要数据造成严重损失。根据网络安全机构通报，这是不法分子利用NSA黑客武器库泄漏的“永恒之蓝”发起的蠕虫病毒攻击传播勒索恶意事件。恶意代码会扫描开放445文件共享端口的Windows机器，无需用户任何操作，只要开机上网，不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序。

事件背景

勒索病毒是什么？

    WannaCry病毒与其他同类勒索病毒不同，它是一种可自动感染其他电脑进行传播的蠕虫病毒，因链式反应而迅猛爆发。这种勒索病毒主要感染Windows系统，它会利用加密技术锁死文件，禁止用户访问，并以此勒索用户。袭击者声称，索要价值300美元以上的比特币后方能解锁文件。实际上，即使支付赎金，也未必能解锁文件。

    为什么会被感染？

    该勒索蠕虫一旦攻击进入能连接公网的用户机器，则会扫描内网和公网的ip，若被扫描到的ip打开了445端口，则会使用“EternalBlue”（蓝之永恒）漏洞安装后门。一旦执行后门，则会释放一个名为Wana Crypt0r敲诈者病毒，从而加密用户机器上所有的文档文件，进行勒索。

     病毒勒索软件不同于以往的蠕虫病毒，其目标直指各类文档，通过对文档强制加密而是被攻击者无法正常使用该文档。对于任何组织、单位、个人而言，各类文档是我们保存信息、数据的主要方式，如果文档不能使用，轻的会给组织、单位、个人的正常运营、工作、学习、生活带来不便；重的甚至会使保存有重要信息、敏感信息、关键信息的文件造成永久损毁，给组织、单位、个人带来巨大的损失和伤害。

    远为软件防御勒索病毒的原理与功能

    北京远为软件有限公司专注于企业商业秘密和个人信息安全保护及防泄漏。针对冰毒勒索软件，远为公司快速响应，借助公司自有的核心产品“远为多网安全隔离系统”，为企业、政府、各类组织、单位以及个人提供安全解决方案。

    远为防病毒勒索软件安全解决方案主要从“事前阻断、事中控制以及事后恢复”三个方面，提供纵深的安全解决解决方案。

    1.重要信息安全隔离，免遭病毒攻击

    远为多网安全隔离系统，通过先进、自有的终端虚拟化技术，在计算机终端上创建多个虚拟机。不同于其他的终端虚拟化产品，远为多网安全隔离系统运行在操作系统之下。安装了远为多网安全隔离系统之后，系统首先创建虚拟机管理器。计算机在启动引导时，会先启动远为虚拟机管理器，虚拟机管理器会接管计算机所有的硬件资源，再通过对原操作系统的安全封装技术和复用技术，构建虚拟机。由于远为虚拟机管理器接管了计算机的所有I/O、资源等，因此，通过远为多网安全隔离系统在一台计算机上创建的多个虚拟机之间能够做到完全的独立、隔离，这种隔离是包括网络隔离、计算隔离、存储隔离三个方面，能够做到彻底的隔离；而且各个虚拟机之间是相互独立的，任何一个虚拟机受损，不会对别的虚拟机造成任何影响。

    比如，我们利用多网安全隔离系统在办公用、个人用计算机上创建两个完全独立、隔离的虚拟机（或多个虚拟机，根据业务需要），假设这两个虚拟机分别为“工作虚拟机”和“互联网虚拟机”。分别针对这两个虚拟机设置不同的安全策略和网络访问策略。工作虚拟机主要用来处理重要、敏感或关键性的工作，存储或保存所有的工作文档、信息、数据等，通过策略设置，可以限制工作虚拟机只能访问内部的办公资源、服务器等，禁止任何的外部连接或数据传输，采用严格的安全管控策略。而互联网虚拟机则主要用于处理与互联网相关的业务或个人娱乐使用，可以保存或处理敏感性、重要性等相对不重要的文档、信息、数据等，互联网虚拟机不允许访问任何内部的办公资源、服务器等。工作虚拟机和互联网虚拟机相互独立，两个虚拟机之间设置严格的数据交换策略，禁止一切非授权的数据交换或访问行为。

    这样，通过远为多网安全隔离系统，我们可以做到完全阻止病毒勒索软件的侵害，按照上面的设置，我们的工作或重要业务均通过工作虚拟机处理，所有的文档也都保存在工作虚拟机或内部的服务器中，阻断一切未授权的互联网连接行为。而互联网虚拟机同时又能够满足我们业务的多样性，满足我们所有与互联网相关的业务访问需要。工作虚拟机和互联网虚拟机内置的软件防火墙，能够对虚拟机自身的完整性、可用性进行保护，如果真的因为各种原因中招病毒勒索软件，其侵害行为也仅限于互联网虚拟机中，而不会对我们正常工作、办公使用的工作虚拟机以及内部的各种办公资源、服务器等造成任何影响，对组织、单位、个人而言最重要的各种工作文档、商业秘密、敏感信息、重要信息、个人信息等，不会受到任何破坏或侵害。实际上，利用远为多网安全隔离系统，我们不仅可以做到对冰毒勒索软件的预防和阻断，对于其他任何病毒软件，无论是针对数据本身还是针对系统可用性进行侵害的攻击行为，我们都可以做到完全的“事前阻断、事中控制”。同时，利用多网安全隔离系统，还可以帮助企业或个人构建严格的“数据隔离边界”，除非使用系统提供的专门的数据安全传输通道，任何数据无法在未授权的情况下擅自外发、外泄，无论是操作人员有意无意，还是木马病毒等，都无法将文档、数据带离工作虚拟机，这也为组织、单位、个人提供了一个非常好的数据防泄漏解决方案。

    2.秒级无损恢复，快速修复中毒的文件资料

    另外，远为多网安全隔离系统，采用远为自主开发、特有的磁盘快捷备份和快速恢复技术，能够在秒级的时间内，完成系统以及用户数据的快速备份和恢复。这个备份恢复较之其他虚拟化技术的“镜像还原”或“数据备份”，其最大优点是能够做到“数据无损恢复”，且备份文件占用空间小（500G硬盘其备份空间仅需几M），备份和恢复速度快（备份仅需秒级时间，恢复过程就是系统重启的过程）。

    通过远为多网安全隔离系统，我们可以设置自动方式、手动方式以及系统智能等方式创建备份点，对操作系统以及用户数据进行完整备份。自动方式，系统可周期性的按照策略设置，定期创建备份点；手动方式，可以随时指定创建备份点。由于采用独有的备份技术，所有创建备份点的过程完全可以用户无感知的情况下，在后台自动完成。系统智能创建备份点则是远为独有的技术，当因为某个原因导致系统及数据被损坏，比如文档被病毒勒索软件强制加密，在这一刻，系统会自动创建备份点，然后通过还原功能，将系统还原至之前正常、尚未感染病毒或尚未被攻击之前的状态。这样，通过这种“事后恢复”机制，就能够为组织、单位、个人的文档、数据建立第二道安全防线。