李铁军：这几年来其实一直在进化过程当中，我们观察特点刚才讨论得比较多的是WannaCry，这个产业从它开始的，但是在它之前都小打小闹，规模不大勒索金额也不多，这之后黑产就知道这是一个生财之道，进入产业化发展，被感染的量直接上来了，攻击的方式和手段都花样百出。

我们观察到的情况都有一些不同的变化，从2017年开始的，之后到2018年我们发现产业已经规模化了。用搜索引擎到网上去搜勒索病毒，因为有人中招了，一搜上面下面右边都是广告都是解密的广告，已经成了这样的产业，非常多的人参与进来然后就有人发病毒，有人传播病毒，有人专门帮你做解密。到2019年的时候做病毒的人已经把产业不断扩大化，到了什么地步呢？我们现在叫SaaS化运营，有人把制造病毒和解密病毒的整个过程分工很细，参与者只需要有渠道和自己网站和投放勒索病毒的渠道，只需要参与进来花的成本代价很低就能从中间分到钱，不用管这个病毒怎么写的，只需要用自己的流量渠道把这个病毒传播出去到时候就等着在家里收钱了。

我们看到今年的情况，各种各样病毒渠道，他们之间有一些融合和互相利用，我们看到这个病毒是搞挖矿的，突然挖矿的渠道开始往外分放勒索病毒，这几个渠道是相互利用的过程，黑色产业之间的分工和协作变得更多了，现在看到就是这样的。

陆麟：从目前掌握的情况是这样，主体上来讲还是以Windows系统为主，也不是说其他系统就没有。Windows因为历史发展得比较悠久，门槛相对其他的系统而言相对比较低的，开发者众多，有万分之一是“坏人”，产生的“坏”结果也会多一点，因为Windows本身的防护机制也是越来越多的。但是勒索加密的核心把文件内容破坏掉，而且又是可逆，所要的技能点相对比较少一点，从这个角度来讲门槛不高、Windows的用户基数大、开发群体大，几个点导致Windows更容易遭遇勒索病毒攻击。

陆麟：真的称得上定点的反而比较少，除非是APT（高级持续攻击），但是我更宁愿相信，那些大企业虽然造成了非常恶劣的后果，工业系统被控制了、产线被搞掉了，有可能有APT的成分在里面，但也有可能有误打误撞的成分在里面。因为黑客有可能无差别地扫，我们每次看到新的漏洞出来以后扫一圈，掌握一大堆“肉机”，至于这些机器到底是谁的，其实黑客不见得真的掌握。但是到了里面一点点进去以后，误打误撞可能被人家黑了以后，而且黑客再发到清单里面正好进来掌握你的内网，这个时候你如果真的是一个比较有价值的大企业反过来来讲黑客是赚到了。误打误撞的成分我个人感觉可能会更大一点。

李铁军：误打误撞的这种可能更多一些，黑客也不知道是谁，也不知道这个人有没有价值，随便拿邮件乱发就有人中了。一般来讲中了之后，有可能后面还有一些远程控制的东西进去抓数据，看你这家公司价值高不高，但是还有一些真的跟刚才想得不太一样的，是针对特定目标专门搞的。早期是广撒网，慢慢到后来针对特别有钱的企业，先挑选好目标再搞，这样的也有。

毕磊：而且它的赎金都是根据企业本身的商业价值来定的。

李铁军：这个就是安全专家给普通大众作为一个比较简单的解释，这个文件解开它的成本极高，你就放弃的意思。

陆麟：我觉得可信度不是特别高，它有可能在计算速度上解特定的问题会比较快，但是如果说算法本身对于量子计算领域的计算强度的对抗有针对性设计的话，可能不见得真的能够通过量子计算就能够解决掉的。但是现在的密码都是以数学基础为保障，哪个品类、哪个算法能够对抗得住量子计算特性的，现在也不太好说。但是我相信对量子计算而言也不是万能的，这个结论我是有把握的。

李铁军：到那个时候出现的话，量子计算真正实用化和商业化，到时候整个加密系统各方面也都会升级。要用将来的高超工具解决现在的问题可能非常简单。

毕磊：它是一个攻防对抗的过程，勒索病毒现在采用这种加密算法是因为现在解不开或者成本比较高，到时候如果算法被解密或者能解开，要么加强强度要么换成另一个加密算法，对于攻方来讲会更容易。

李铁军：一般来讲万一真遭遇勒索病毒，首先要恢复业务，如果有备份要赶紧上。病毒处理比较简单，发现哪个机器中了病毒让那个机器下线，然后把数据恢复过来。再找安全专家去找诊断一下网络哪些地方有问题，然后修补整体的漏洞，一般的处理流程就是这样。

但是对付勒索病毒总体原则还是预防为主，不能等到业务崩溃了再想怎么处理，那个时候往往来不及。

陆麟：应急一般是“头痛医头，脚痛医脚”的事情。企业真正需要考虑的是如何能够根除缺陷，但是很少有企业单独为勒索病毒考虑。导致勒索病毒爆发的原因可能是补网的过程比较复杂，而不是单纯去解决勒索病毒。

毕磊：勒索病毒和计算机病毒防护上差别不大，唯一区别就是勒索病毒针对的是数据，需要对重要数据进行分类、备份，这和普通的计算机病毒区别。其他和计算机病毒预防是类似的，不要去点击邮件、下载小程序等等以及各种账户、密码要设置一个复杂的。

普通的个人用户、个人电脑是最容易解决的，其他像设备找可靠的品牌买，安装一些安全软件，保障系统的更新，及时更新病毒库，保证良好的习惯基本上能够免除常见的计算机病毒的攻击。

企业预防考虑的更多，总体措施包括完整的安全方案，从终端到网络都需要考虑到，还有管理上需要制定一些相关的管理制度，还要对重要数据进行分类、备份，培训员工的安全意识。之前发生过的事件也有可能直接是从内部入手，通过员工攻破企业。

陆麟：企业里曝出来比较大的缺陷，后果要控制住特别难。企业的所谓数据最终还是生命周期，正常保存的历史数据三个月或者六个月以后失去了存在价值就该删掉。另外数据也会有非正常的，勒索软件这个环节是属于非正常损毁的特殊案例，因此如果在对抗数据损毁方面去考虑，如果能够把数据恢复周期缩得特别短，损失的内容就会特别少；如果做到实时无损恢复，甚至单纯考虑到硬盘坏掉，数据中心会不会坏，接下来以什么手段在可预期的灾害下有预期地救活，用更高的水平恢复。

因此，对抗数据摧毁这一环节，本身要配套相当多的技术手段，在做数据保护的过程中，如果做得好的话就已经把勒索软件对造成的伤害消灭于无形之中，反过来也不会特别需要专门做更大的关注。

李铁军：没有什么一劳永逸的方法预防勒索病毒。病毒入侵所有的可能性都需要考虑到，公司内上万个节点、每个员工的行为管住，最好还是有一些工具代替你执行管理任务，直接通过策略要求你每台计算机登录的时候必须使用复杂密码，弱密码问题就解决了；内部当中哪些机器经常开一些危险端口、危险服务，管理员直接在服务器上把它停掉。每台终端或者服务器定期进行漏洞扫描和修复，把这些风险逐一解决后，入侵风险就降低了。然后做好数据备份，基本上就能很好地防范勒索病毒。