5月16日，CCFYOCSEF 設(shè)置了一場特別研討會，主題是“勒索病毒：憑什么能綁架我們的系統(tǒng)？”，在該議程上，綠盟科技、奇虎 360、安天三家廠商作特別報(bào)告。上午 10 點(diǎn)左右，雷鋒網(wǎng)才得到該論壇的消息，在下午 1 點(diǎn)半，也就是該論壇召開的前半小時(shí)，雷鋒網(wǎng)趕到了現(xiàn)場，發(fā)現(xiàn)連一些廠商公關(guān)都是中午臨時(shí)得到的消息，該論壇的橫幅在開始前十幾分鐘才掛上，但現(xiàn)場 60 個(gè)座位幾乎全部坐滿，有嘉賓會前 5 分鐘趕過來時(shí)，主辦方不得不臨時(shí)加了一些椅子。

由于此前幾天漫天消息飛，各方響應(yīng)十分及時(shí)。各個(gè)廠商的發(fā)布信息對雷鋒網(wǎng)而言，已經(jīng)不算新鮮。但是，今天風(fēng)勢顯然已經(jīng)轉(zhuǎn)變，一些媒體開始發(fā)布“反轉(zhuǎn)信息”，質(zhì)疑這場轟轟烈烈的網(wǎng)絡(luò)安全大事件究竟是否名過其實(shí)。

雷鋒網(wǎng)在會議間隙“抓住了”綠盟科技的副總裁李晨與安全研究部總監(jiān)左磊(今天的三位特別主講人之一)，拋出了今天大熱的一些“質(zhì)疑”。

以下為采訪實(shí)錄：

1.雷鋒網(wǎng)：最近有人說“想哭”勒索病毒是一場炒作，實(shí)際上感染沒有這么嚴(yán)重，我想知道咱們這邊監(jiān)測到的具體數(shù)據(jù)。

綠盟科技：根據(jù)英國MalwareTech機(jī)構(gòu)發(fā)布的數(shù)據(jù)，目前在該事件中，全球約16萬個(gè)主機(jī)受到蠕蟲感染，整個(gè)事件還是很嚴(yán)重的。綠盟科技主要服務(wù)大型機(jī)構(gòu)，由于保密性，具體用戶數(shù)據(jù)不方便提供，但可以肯定的是，綠盟用戶總體受影響不大。

在第一次開關(guān)域名被注冊后，該事件的態(tài)勢已經(jīng)受到了遏制，即使現(xiàn)在有一個(gè)病毒變種開關(guān)被刪除，因?yàn)樵撌录艿街匾?，感染態(tài)勢也放緩了。

有一點(diǎn)要說明的是，因?yàn)檫@次“病毒勒索”事件本身技術(shù)性很強(qiáng)，可能會造成很多“外行”對于各種渠道傳播的各類信息存在解讀誤區(qū)。

2.雷鋒網(wǎng)：怎么評價(jià)該勒索蠕蟲作者的水平？有人說他是朝鮮黑客，因?yàn)橛卸未a與曾經(jīng)疑似朝鮮黑客組織的代碼類似，您怎么看？

綠盟科技：作者水平一般，利用的是公開漏洞和已捕獲的勒索軟件，沒有值得稱道的地方。關(guān)于作者的身份，現(xiàn)在沒有確鑿證據(jù)支撐他是朝鮮黑客。

3.雷鋒網(wǎng)：如何評價(jià) 5 月 12 日以來各個(gè)廠商的響應(yīng)？

綠盟科技：業(yè)內(nèi)大部分安全公司都非常嚴(yán)謹(jǐn)和負(fù)責(zé)，其實(shí)，針對每一次安全事件，安全廠商都有這樣的流程：預(yù)警通告—預(yù)警建議—產(chǎn)品升級—為客戶提供相應(yīng)的服務(wù)支撐，對這次事件的響應(yīng)我們采取的也正常工作流程。

比如:

5月12日晚間，綠盟威脅情報(bào)中心監(jiān)測到可疑攻擊；

5月13日凌晨，陸續(xù)接到來自各地的服務(wù)工程師的通報(bào)，隨后截獲惡意樣本；

5月13日上午10時(shí)，經(jīng)過梳理驗(yàn)證，預(yù)警通告正式發(fā)送給各大客戶；

5月13日上午10時(shí)，綠盟未知威脅分析系統(tǒng)TAC實(shí)現(xiàn)WannaCry勒索病毒檢測，并隨后給出檢測報(bào)告；

5月13日上午12時(shí)，NIPS/NIDS/NF/RSAS產(chǎn)品防護(hù)能力已經(jīng)確認(rèn)就緒；

5月13日下午1時(shí)，安全服務(wù)團(tuán)隊(duì)經(jīng)過慎重驗(yàn)證，發(fā)布一鍵加固腳本，當(dāng)天持續(xù)更新3個(gè)版本；

5月13日下午1時(shí)，各地服務(wù)團(tuán)隊(duì)開始實(shí)施修補(bǔ)加固動作，協(xié)助用戶升級產(chǎn)品，安裝補(bǔ)??；

5月13日下午5時(shí)，NTI威脅情報(bào)中心發(fā)布WannaCry勒索病毒監(jiān)測及分析報(bào)告；

5月14日，根據(jù)威脅情報(bào)中心NTI及各地客戶反饋的信息，綠盟科技應(yīng)急指揮中心決定，緊急調(diào)配500臺入侵防范NIPS和脆弱性評估RSAS設(shè)備馳援客戶一線為不具備網(wǎng)絡(luò)邊界防范能力的客戶免費(fèi)提供設(shè)備，協(xié)助客戶完成應(yīng)急處置。

5月16日，根據(jù)樣本進(jìn)行深入研究分析，并出具WannaCry勒索軟件溯源分析報(bào)告；

4.雷鋒網(wǎng)：有人說無非就是拔網(wǎng)線、打補(bǔ)丁、關(guān)端口之類，業(yè)內(nèi)有人各種方案頻出，淪為了公關(guān)戰(zhàn)，你們怎么看？

綠盟科技：各個(gè)安全公司都出方案，都寫應(yīng)急工具是好事。正常情況下，安全廠商都會第一時(shí)間發(fā)布工具，為更快的服務(wù)客戶，進(jìn)行應(yīng)急響應(yīng)，但這種緊急開發(fā)的工具，很可能不夠完善，例如不能適應(yīng)所有系統(tǒng)，后續(xù)會再更新和完善，出另外一些版本。所以每家安全公司都可能出來好幾個(gè)版本，顯得很亂，但對具體客戶而言，特別是有固定安全廠商服務(wù)的客戶，就不會產(chǎn)生壞的影響，也不排除有個(gè)別廠商過度宣傳。

事實(shí)上，對于普通用戶而言，拔網(wǎng)線、打補(bǔ)丁、關(guān)閉 445 端口基本是足夠的，當(dāng)然，有些領(lǐng)域有其特殊性，有些系統(tǒng)比較老舊，補(bǔ)丁都打不上，要進(jìn)行另外的設(shè)置。

5.雷鋒網(wǎng)：目前也有磁盤修復(fù)的文件修復(fù)思路，但一直也沒什么數(shù)據(jù)可以說明效果，你們怎么看？

綠盟科技：本次事件中的勒索軟件采用了文件刪除，而非覆蓋重寫的方式，正常的數(shù)據(jù)恢復(fù)工具，應(yīng)該可以起到一定的效果。

6.有人認(rèn)為，根本就沒被勒索多少錢，但是助力了中國安全股市的上漲，這種論點(diǎn)會讓安全行業(yè)很尷尬嗎？

綠盟科技：確實(shí)沒有被勒索多少錢，現(xiàn)在也就折合人民幣40多萬元。不過，明明3月份微軟就發(fā)布了相關(guān)補(bǔ)丁，許多安全公司也推送了嚴(yán)重漏洞公告，但是全球還有這么多人中招，說明大家不重視基礎(chǔ)安全服務(wù)。因此，企業(yè)用戶要重視網(wǎng)絡(luò)安全，做好基礎(chǔ)安全建設(shè)，并具備基本的運(yùn)營能力，個(gè)人用戶要好好打補(bǔ)丁。

［李晨］

［左磊］

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。