5月12日以来，一款攻陷了全球100多个国家的勒索病毒，让网友真切感到“黑客就在身边”。

同“Wannacry”勒索病毒赛跑的，是另一拨白帽黑客。

他们从5月12日下午监控到“Wannacry”踪迹时，立即投入“战斗”，迅速发布漏洞预警，推出免疫工具、系统修复补丁，发布“自救教程”、被锁定文件的“恢复工具”等。

昨天，360公司首席安全工程师郑文彬接受南都专访，揭秘在“Wannacry”爆发之后，白帽黑客们狙击勒索病毒的48小时。

郑文彬是中国顶尖黑客，今年他带领的安全团队在一场漏洞攻防的世界级“奥林匹克”比赛中拿下总冠军。

发现“Wannacry”时“并不吃惊”

“警报通知……”5月12日下午15：00刚过，郑文彬看到监测系统报警的一串异常数据：系统监测发现，在过去1个小时内，有一款病毒被360拦截了几千次，传播速度异常快。

仔细分析来看，跟以往小规模、点对点的病毒感染完全不同，它是一款能够自动传播的蠕虫病毒。

但经过一番分析，郑文彬“并不吃惊”，并称“这其实是意料之中的事”。

早在一个月前，美国国安局的十多款网络攻击工具被公布在网上时，白帽黑客们便担心这些工具是否会被“黑手”所利用。

其后，包括360公司在内的多家网络安全企业专门就此事发布提醒，“严重建议”用户采取针对性的一系列安全防范措施。

“但当时关注的人好像并不多。”对“Wannacry”的“家底”郑文彬关注已久，它是基于美国国安局所开发的网络攻击工具“永恒之蓝”制作而成。他介绍，“永恒之蓝”的开发团队，是美国国安局内一支高精尖的黑客小组，策划了2010年的震网攻击，通过对伊朗核工厂发起网络攻击直接摧毁了核工厂计划。而早年美国借助“永恒之蓝”控制了几乎中东所有的银行、金融机构。

像“打了鸡血”般接力奋战

作为白帽黑客，在网络安全事件发生的第一刻起，就要开始与幕后黑手“赛跑”。

当天下午，郑文彬带着他的团队迅速投入“战斗”。2个小时内，多支专业的响应团队成立，40名左右核心技术人员聚在360大楼6层的应急响应中心，集中应对“Wannacry”。

“就像打了鸡血一样，48小时大家轮换着睡觉，几乎都没睡几个小时。”郑文彬介绍说，即便是凌晨4、5点，应急响应中心也还有10多位技术人员在熬夜“奋战”。

应对勒索软件，安全团队除了发布预警提醒，更重要的是要抢着时间，向公众推出免疫工具、系统修复补丁等一系列“自救教程”。如此才能堵住勒索软件入侵的路径，尽量将损失降到最低。

“Wannacry”的特殊之处在于，它搭载了高难度的密码，短期内几乎无法破解，只有勒索者才掌握秘钥。

“全球勒索软件有100多个家族，勒索软件作者水平不同，有的很完美、也有的存有漏洞和瑕疵。我们从5月12日晚开始对‘Wannacry’进行分析，到第二天傍晚终于发现，它设计得也不是特别完美，也存在设计上的漏洞。”郑文彬告诉南都，这才有了14日凌晨2点对外发布的文件恢复工具。

据了解，这也是全球首款针对“Wannacry”勒索病毒的被加密文件恢复工具。

有单位连停车场、食堂都贴满了警告

让郑文彬印象深刻的是，这项“技术性”的事件，引发了全社会的关注。就在安全团队不断更新补丁、狙击勒索病毒的同时，全国各地的媒体都找上了门询问有关勒索病毒的情况，“这两天集中认识的媒体，比我前30年认识的还要多。”

直接为政府部门、企业单位提供安全服务的吴云坤，对勒索软件造成的震动，有着更直观的认知。

“13号凌晨一点被中招的企业电话叫醒，之后一直到现在只睡了7个小时。”昨天下午，吴云坤用“惊心动魄”形容过去的2天多时间。

政府机构、企业单位的网络系统，一方面搭载了大量重要的资料数据，一方面又承载了业务系统，一旦被感染勒索病毒，必将损失惨重。

“他们的系统做防护也更复杂，需要有专业安全人员在场。”吴云坤介绍，过去2天多时间，他所带领的企业安全团队1000多名工作人员提供了1万多次上门服务。比如在一家国有银行，为了避免“中招”，，周六、日全员值班，在每个楼道、食堂、电梯都张贴出警告和通知，要求所有到行的人员首先联系数据管理部门工作人员，完成漏洞修复，与此同时，还制作了大量的U盘光盘，让员工带回家，给家里的电脑打补丁，这样才实现了无一例感染。

南都记者 程姝雯