勒索病毒的彻底终结 主动式防御的剑与魔法

如果没有WannaCry的忽然爆发，很多用户对勒索病毒还是会一无所知。在我看来，世界上最可怕的病毒并不是蠕虫，而是对网络威胁的毫无感知。

所以，从这个逻辑上，我们也许有必要感谢WannaCry有些“仓促”的爆发，让我们有机会用最小的代价来拨乱反正。

事实上，和那些著名的勒索病毒相比，WannaCry的杀伤力并不算强，但它带来的辐射面却是最大的，它的最大价值在于“唤醒”我们薄弱的安全意识。这就是：面对安全风险，不仅要被动的防御，更主动的防御。

被勒索病毒唤醒的安全意识

我们知道，勒索病毒的概念本身还比较新。它是2013年才开始出现的一种新型病毒模式。2016年起，这种病毒进入爆发期，到现在，已经有超过100种勒索病毒通过这一行为模式获利。2015年，臭名昭著的CryptoWall病毒家族一个变种就收到23亿赎金，成为了这个领域最著名的负面案例。

与我们日常的理解不同的是，勒索病毒并不仅针对校园网这样的“小白”。在2016年，美国国会众议院议员开始受到敲诈者病毒的攻击，为了阻止该病毒的扩散，美国国会先后封杀了Google的Appspot.com域名和雅虎电邮服务Yahoo Mail。而在印度，三家银行因为感染了勒索病毒，为此支付了接近上百万美元的赎金。

由此可见，勒索病毒的无孔不入，因为回报巨大，近年来一些游离于专业黑客领域之外的不法分子也开始利用勒索病毒进行传播，导致了勒索病毒一时间成了业界的毒瘤。

以WannaCry为例，截至5月16日，全球有150多个国家遭受到了它的攻击。我国作为一个网络大国，也未能幸免。

瑞星副总裁唐威坦诚说，“实际上，勒索病毒之所以如此威胁巨大，最大的原因还是用户的防御意识过于薄弱，比如勒索病毒主要针对的就是重要的文件数据，及时的备份就是对这种病毒最有力的防御”。

安全风险就像是蝴蝶效应，它虽然不会像多米诺骨牌一样推到现有的网络世界，但却会持续的散发影响力。如果要让勒索病毒彻底终结，一方面需要安全意识的提高，从根本上将网络安全作为重点工作，另一方面则要化被动为主动，将被动的防御转化为主动式的防御。

互联网时代，我们不断的谈云，谈人工智能，事实上这些技术的发展已经为主动式的防御埋下了伏笔。

主动式防御要如何亮剑？

过去我们将防病毒的软件比作盾牌，几乎每一个杀毒软件的LOGO也都是以盾牌的形象示人。这本身是很形象的比喻，但在互联网时代的今天，一把利剑也许才更符合这个时代的特征。

在5月19日，瑞星独家发布了拥有世界首创技术的勒索病毒防御软件“瑞星之剑”。用户只要安装“瑞星之剑”，即可有效阻止已知勒索病毒，还能防御未知勒索病毒破坏文件。这把“剑”最大的创新就在于利用人工智能技术，对未知的勒索病毒做到了主动出击。

正如唐威所说，“瑞星之剑作为一款利用了机器学习和人工智能技术的一款安全防御类的产品，它可以起到防御的作用，防御未知的勒索病毒去破坏用户电脑，这个是和传统的杀毒软件的技术原理和实现的效果是不一样的。”

到底哪里不一样呢？我们可以这么来进行对比。一般传统安全软件应对勒索病毒主要采取“截获样本”——“分析处理”——“升级更新”的方式，而这种模式会给勒索病毒的传播和破坏带来一个“空窗期”，所以，既不能及时有效，也无法做到主动出击。

换句话说，就是因为传统软件处理病毒的时候主要采用的是特征码技术，这个特征码技术是杀毒软件厂商在得到了样本之后，通过分析以后产生的杀毒的特征，所以存在一定的滞后性。

唐威表示，瑞星之剑采用了3个主要技人工智能技术，第一个是智能诱饵技术，第二个是基于机器学习的规则判定，第三个是智能的勒索代码行为监测技术。通过这三个技术组合在一起就可以无限制地实现对未知病毒的防御。

当然，很多人会有疑问机器学习的样本量到底够不够，据我了解，瑞星之剑已经对70多个家族，所包含的数万个病毒样本进行了数据分析之后，才得出了智能化的算法，并且从中抽离出这些病毒的行为点，再进行交叉分析，最终抓到了勒索病毒存在的共性，“基于这些抽离出来的共性的一些点，我们针对这些点做为了一个规则的集合库，用这些规则来判断是否是可疑病毒，如果判断是，就把它的破坏行为阻断，就可以实现防御效果。”唐威说。

而从实际的案例实践来看，瑞星第一时间拿到了WannaCry病毒的变种样本，利用瑞星之剑进行了测试，结果显示这些变种的病毒在瑞星之剑下无所遁形。

我们不难发现，瑞星之剑提出了主动式防御，或者说预先防御的理念是值得网络安全世界借鉴的。尤其在人工智能技术与安全技术的结合之后，这会在很大的程度上缓解网络世界的安全难题。

自有知识产权的中国魔法

我特别想表达的是，面对WannaCry的疯狂肆虐，全球各地不同成都的遭受了影响。但能够如此迅速的展开应急机制，并拿出高价值产品的还是中国安全公司。

例如，在WannaCry蠕虫勒索病毒被发现后，瑞星于第一时间启动最高级应急响应机制，进行病毒分析、防御方案研究，只用短短几天时间推出的防御勒索病毒利器：瑞星之剑。

实际上， “事后补漏”不如“提前防御”正是瑞星一直以来遵循的理念，瑞星也用100%自主知识产权，施展了一次中国魔法。据我了解，瑞星已经在国内成立了监控中心、研发中心和病毒响应中心，为所有用户提供最完整最领先的安全服务。得益于瑞星公司的努力，目前中国在应对勒索病毒技术方面已走在了世界的前列。

正如唐威所说，“瑞星所有的产品都是自主研发，都是我们中国工程师自己开发的，这是瑞星与其它国内安全厂商最根本的区别之一。其次，瑞星一直专注于信息安全，我们最强的是基于反病毒技术，根据IDC的报告也能看出，瑞星在国内终端安全软件领域市场份额占比第一”。

我们知道，如今网络安全已经提到了国家安全的高度。拥有完全自主安全可控的安全技术，这是国家对安全公司的要求。在6月1日即将颁布的《网络安全法》中也严格规定：安全产品必须有国内公司研制，产品核心技术有我国自主知识产权。这对于瑞星这样的公司来说，是最大的福音。

目前瑞星的安全产品重点在企业级方面，包括了终端安全、云安全和网关安全三个大的方向。客观地说，这三部分组合在一起既可以覆盖到终端、服务器端，云端，这套解决方案可以满足国内大多数企业的大多数安全需求。

总的来说，网络安全必然是一场硬仗，WannaCry给我们敲响了警钟，好在代价并不大。网络安全世界，也没有无缘无故的成功，瑞星靠的是多年沉淀的技术，演绎成了中国魔法，并最终，亮剑。