5月12日，“永恒之藍(lán)”勒索蠕蟲(chóng)病毒初現(xiàn)苗頭，5月12日晚間開(kāi)始大面積爆發(fā)。雷鋒網(wǎng)編輯在5月13日早上8點(diǎn)時(shí)發(fā)現(xiàn)，360和安天公司兩家發(fā)布了相關(guān)預(yù)警及建議措施，5月13日上午，騰訊、知道創(chuàng)宇、阿里云等公司也接連給雷鋒網(wǎng)發(fā)來(lái)相關(guān)解決方案信息。5月14日，360公司首家發(fā)布了勒索蠕蟲(chóng)病毒文件恢復(fù)工具，不過(guò)，并非直接破解了加密算法，而是利用了磁盤(pán)文件恢復(fù)的思路。5月14日晚上，勒索蠕蟲(chóng)病毒新變種 WannaCry 2.0 版本出現(xiàn)。

5月15日，在眾所矚目的周一，在此次大規(guī)模勒索蠕蟲(chóng)爆發(fā)事件中，響應(yīng)很快的360公司在下午2點(diǎn)40分左右召開(kāi)了勒索蠕蟲(chóng)最新情況通報(bào)會(huì)，并接受了包括雷鋒網(wǎng)在內(nèi)的多家媒體采訪。

以下為雷鋒網(wǎng)編輯從該情況通報(bào)會(huì)上獲得的最新信息，以及可能此前讀者沒(méi)有注意到的知識(shí)點(diǎn)：

1.勒索蠕蟲(chóng)病毒“周一見(jiàn)”，周一有很多用戶(hù)中招嗎？

360安全產(chǎn)品負(fù)責(zé)人孫曉駿：從個(gè)人用戶(hù)看，勒索蠕蟲(chóng)病毒的感染速度已經(jīng)放緩。在360安全衛(wèi)士的5億用戶(hù)中，絕大多數(shù)用戶(hù)在3月修復(fù)漏洞，不受影響，約20萬(wàn)沒(méi)有打補(bǔ)丁的用戶(hù)電腦被病毒攻擊，基本全部攔截。

360企業(yè)安全的總裁吳云坤：我們很多工程師今天沒(méi)有來(lái)公司上班，直接去客戶(hù)公司上門(mén)服務(wù)。在這幾天中，接到的相關(guān)客服電話(huà)2萬(wàn)多次。

某著名銀行在周六上午六點(diǎn)半就建立了響應(yīng)群，將免疫工具下發(fā)，八點(diǎn)半部署全國(guó)防護(hù)策略，從網(wǎng)絡(luò)、服務(wù)器、終端360度無(wú)死角，到今天早晨十點(diǎn)半，全行無(wú)一例感染；南寧市網(wǎng)信辦聯(lián)合發(fā)改委信息中心、南寧公安局網(wǎng)安支隊(duì)在13日下午召開(kāi)緊急會(huì)議，由網(wǎng)安支隊(duì)提供360的第七套解決方案，并由網(wǎng)安支隊(duì)刻了600張光盤(pán)，由發(fā)改委、網(wǎng)信辦、網(wǎng)安支隊(duì)一起發(fā)放全市各政府企事業(yè)單位，整個(gè)南寧的病毒感染率極低。

從我們的實(shí)際反饋看，證明了之前所有處置和響應(yīng)工作是有成效的，360威脅情報(bào)中心接到的求助信息看，周一只有個(gè)別機(jī)構(gòu)和企業(yè)有零星電腦感染。

2.此前，網(wǎng)稱(chēng)許多高校和政企用戶(hù)受到了此次勒索蠕蟲(chóng)病毒攻擊，到底數(shù)據(jù)是多少？

360安全產(chǎn)品負(fù)責(zé)人孫曉駿：基于病毒網(wǎng)絡(luò)活動(dòng)特征監(jiān)測(cè)統(tǒng)計(jì)（覆蓋非360用戶(hù)）在5月12日至13日期間，國(guó)內(nèi)出現(xiàn) 29000 多個(gè)感染W(wǎng)NCRY 1.0 勒索病毒的IP，備受關(guān)注的教育科研感染用戶(hù)占比 14.7%，4316例，各行業(yè)具體分布情況如下圖：

3.360公司首家發(fā)布了勒索蠕蟲(chóng)病毒文件恢復(fù)工具，到底恢復(fù)文件情況如何？

360安全產(chǎn)品負(fù)責(zé)人孫曉駿：離線版修復(fù)軟件目前下載次數(shù)是50萬(wàn)次左右。

360核心安全技術(shù)總負(fù)責(zé)人鄭文彬：具體文件恢復(fù)情況還要看用戶(hù)處理的時(shí)間及系統(tǒng)情況。

4.關(guān)于勒索蠕蟲(chóng)病毒，你不知道的幾個(gè)事實(shí)：

360核心安全技術(shù)總負(fù)責(zé)人鄭文彬：

• 美國(guó)國(guó)家安全局（NSA）曾通過(guò)“永恒之藍(lán)”武器控制了幾乎整個(gè)中東的銀行和金融機(jī)構(gòu)。

• 已經(jīng)有國(guó)外研究機(jī)構(gòu)驗(yàn)證，交付贖金后確實(shí)可以解密文件，截至5月15日早晨，136人交了贖金，總價(jià)值約3.6萬(wàn)美元，三天后不交贖金就會(huì)漲價(jià)到600美元，距離最早一批被感染者的贖金漲價(jià)還有數(shù)個(gè)小時(shí)，目前依然有一些被感染者觀望，希冀有破解工具。

• 其實(shí)，“想哭”勒索病毒有三波：0.1版：黑客通過(guò)網(wǎng)絡(luò)武器傳播，勒索用戶(hù)，沒(méi)有蠕蟲(chóng)功能；1.0版：具備蠕蟲(chóng)功能，大規(guī)模傳播，5月12日到5月14日主力傳播；2.0版：“想哭”勒索病毒，更換及取消了“自殺開(kāi)關(guān)”。所謂“自殺開(kāi)關(guān)”，是病毒作者為了防止蠕蟲(chóng)爆發(fā)不可控制設(shè)置的一個(gè)“開(kāi)關(guān)”，如果檢查特定的域名被注冊(cè)，就不再繼續(xù)感染，5月14日，“想哭”2.0更換開(kāi)關(guān)域名，很快也被注冊(cè)，14日“想哭‘2.0第二個(gè)變種，取消了自殺開(kāi)關(guān)，繼續(xù)傳播。

• 這次事件是NSA 的“鍋”嗎？如果NSA不用這個(gè)漏洞，別人就會(huì)用，但在工具被公開(kāi)后，NSA 應(yīng)該及時(shí)通知公眾。

360企業(yè)安全的總裁吳云坤：內(nèi)網(wǎng)不是隔離地帶！

此次事件中招的大部分是企業(yè)和機(jī)構(gòu)內(nèi)網(wǎng)以及物理隔離網(wǎng)，事件證明，隔離不是萬(wàn)能的，不能一隔了之、萬(wàn)事大吉。內(nèi)網(wǎng)是隔離的，本來(lái)應(yīng)該是安全島，但內(nèi)網(wǎng)如果沒(méi)有任何安全措施，一旦被突破，瞬間全部淪陷。所以在隔離網(wǎng)里要采取更加有效的安全措施。內(nèi)網(wǎng)還不能輕易打補(bǔ)丁，有的一打補(bǔ)丁就崩潰，因此360首發(fā)了一個(gè)針對(duì)內(nèi)網(wǎng)的“熱補(bǔ)丁”，是通用的免疫措施。

其他重要數(shù)據(jù)和信息

1.歐洲今日災(zāi)情可能更嚴(yán)重。

相比于國(guó)內(nèi)的災(zāi)情延緩，中新網(wǎng)5月15日指出，據(jù)外媒報(bào)道，歐洲刑警組織指出，至歐洲時(shí)間14日早上，多達(dá)150個(gè)國(guó)家的20萬(wàn)臺(tái)電腦遭“想哭”勒索病毒侵害。預(yù)料，到15日，人們回返公司上班，這一數(shù)字還會(huì)進(jìn)一步增加。

2.變種樣本分析情況已出。

5月15日上午，綠盟科技給雷鋒網(wǎng)發(fā)送了一份最新改勒索蠕蟲(chóng)最新樣本分析報(bào)告，該報(bào)告指出：

5月14日，卡巴斯基的研究人員宣稱(chēng)他們發(fā)現(xiàn)了WannaCry的變種樣本，此變種沒(méi)有包含域名開(kāi)關(guān)，同時(shí)修改了樣本執(zhí)行過(guò)程中的某個(gè)跳轉(zhuǎn)，取消了開(kāi)關(guān)域名的退出機(jī)制，無(wú)論開(kāi)關(guān)域名是否可以訪問(wèn)，都會(huì)執(zhí)行后續(xù)惡意操作。我們對(duì)此次的變種事件高度關(guān)注，以最快速度拿到樣本并進(jìn)行了分析。

通過(guò)初步的分析和與初代WannaCry樣本的對(duì)比分析，綠盟科技認(rèn)為目前搜集到的兩個(gè)變種，應(yīng)該都是在原有蠕蟲(chóng)樣本上直接進(jìn)行二進(jìn)制修改而成的，不是基于源代碼編譯的。不排除有人同樣利用這種方式生成其他變種，以造成更大破壞。

從防護(hù)方面來(lái)看，變種樣本仍然利用了MS17-010漏洞和DOUBLEPLUSAR后門(mén)進(jìn)行傳播，沒(méi)有新的傳播方式。

3.金山安全、騰訊等廠家在5月15日相繼也推出了針對(duì)該勒索蠕蟲(chóng)的文件恢復(fù)工具。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。