勒索蠕虫病毒周一见：最新数据以及你不知道的几个事实

本文作者：李勤

2017-05-15 17:38

导语：关于勒索蠕虫病毒的最新数据和你不知道的几个事实。

5月12日，“永恒之蓝”勒索蠕虫病毒初现苗头，5月12日晚间开始大面积爆发。雷锋网编辑在5月13日早上8点时发现，360和安天公司两家发布了相关预警及建议措施，5月13日上午，腾讯、知道创宇、阿里云等公司也接连给雷锋网发来相关解决方案信息。5月14日，360公司首家发布了勒索蠕虫病毒文件恢复工具，不过，并非直接破解了加密算法，而是利用了磁盘文件恢复的思路。5月14日晚上，勒索蠕虫病毒新变种 WannaCry 2.0 版本出现。

5月15日，在众所瞩目的周一，在此次大规模勒索蠕虫爆发事件中，响应很快的360公司在下午2点40分左右召开了勒索蠕虫最新情况通报会，并接受了包括雷锋网在内的多家媒体采访。

以下为雷锋网编辑从该情况通报会上获得的最新信息，以及可能此前读者没有注意到的知识点：

1.勒索蠕虫病毒“周一见”，周一有很多用户中招吗？

360安全产品负责人孙晓骏：从个人用户看，勒索蠕虫病毒的感染速度已经放缓。在360安全卫士的5亿用户中，绝大多数用户在3月修复漏洞，不受影响，约20万没有打补丁的用户电脑被病毒攻击，基本全部拦截。

360企业安全的总裁吴云坤：我们很多工程师今天没有来公司上班，直接去客户公司上门服务。在这几天中，接到的相关客服电话2万多次。

某著名银行在周六上午六点半就建立了响应群，将免疫工具下发，八点半部署全国防护策略，从网络、服务器、终端360度无死角，到今天早晨十点半，全行无一例感染；南宁市网信办联合发改委信息中心、南宁公安局网安支队在13日下午召开紧急会议，由网安支队提供360的第七套解决方案，并由网安支队刻了600张光盘，由发改委、网信办、网安支队一起发放全市各政府企事业单位，整个南宁的病毒感染率极低。

从我们的实际反馈看，证明了之前所有处置和响应工作是有成效的，360威胁情报中心接到的求助信息看，周一只有个别机构和企业有零星电脑感染。

2.此前，网称许多高校和政企用户受到了此次勒索蠕虫病毒攻击，到底数据是多少？

360安全产品负责人孙晓骏：基于病毒网络活动特征监测统计（覆盖非360用户）在5月12日至13日期间，国内出现 29000 多个感染WNCRY 1.0 勒索病毒的IP，备受关注的教育科研感染用户占比 14.7%，4316例，各行业具体分布情况如下图：

勒索蠕虫病毒周一见：最新数据以及你不知道的几个事实

3.360公司首家发布了勒索蠕虫病毒文件恢复工具，到底恢复文件情况如何？

360安全产品负责人孙晓骏：离线版修复软件目前下载次数是50万次左右。

360核心安全技术总负责人郑文彬：具体文件恢复情况还要看用户处理的时间及系统情况。

4.关于勒索蠕虫病毒，你不知道的几个事实：

360核心安全技术总负责人郑文彬：

美国国家安全局（NSA）曾通过“永恒之蓝”武器控制了几乎整个中东的银行和金融机构。
已经有国外研究机构验证，交付赎金后确实可以解密文件，截至5月15日早晨，136人交了赎金，总价值约3.6万美元，三天后不交赎金就会涨价到600美元，距离最早一批被感染者的赎金涨价还有数个小时，目前依然有一些被感染者观望，希冀有破解工具。
其实，“想哭”勒索病毒有三波：0.1版：黑客通过网络武器传播，勒索用户，没有蠕虫功能；1.0版：具备蠕虫功能，大规模传播，5月12日到5月14日主力传播；2.0版：“想哭”勒索病毒，更换及取消了“自杀开关”。所谓“自杀开关”，是病毒作者为了防止蠕虫爆发不可控制设置的一个“开关”，如果检查特定的域名被注册，就不再继续感染，5月14日，“想哭”2.0更换开关域名，很快也被注册，14日“想哭‘2.0第二个变种，取消了自杀开关，继续传播。
这次事件是NSA 的“锅”吗？如果NSA不用这个漏洞，别人就会用，但在工具被公开后，NSA 应该及时通知公众。

360企业安全的总裁吴云坤：内网不是隔离地带！

此次事件中招的大部分是企业和机构内网以及物理隔离网，事件证明，隔离不是万能的，不能一隔了之、万事大吉。内网是隔离的，本来应该是安全岛，但内网如果没有任何安全措施，一旦被突破，瞬间全部沦陷。所以在隔离网里要采取更加有效的安全措施。内网还不能轻易打补丁，有的一打补丁就崩溃，因此360首发了一个针对内网的“热补丁”，是通用的免疫措施。