“ 這是第一例蠕蟲型勒索病毒軟件。 ” 左磊是北京神州綠盟信息安全公司安全研究部總監(jiān)，他先給這次爆發(fā)的勒索軟件進(jìn)行了定義， “ 蠕蟲病毒主要是利用網(wǎng)絡(luò)進(jìn)行復(fù)制和傳播，傳染途徑一般是通過電子郵件引導(dǎo)用戶點(diǎn)擊，但這次勒索軟件又多了一步，利用漏洞快速傳播，加密文件以進(jìn)行勒索 ” 。

左磊介紹，今年 2 月就有人在網(wǎng)上宣稱發(fā)現(xiàn)了這一惡意軟件， 3 月也有人宣布發(fā)現(xiàn)。當(dāng)時(shí)還是1.0 版本，不具備蠕蟲的性質(zhì)。微軟曾經(jīng)在 3 月發(fā)布過針對(duì)漏洞的 6 個(gè)補(bǔ)丁，但一個(gè)月之后這一病毒軟件 2.0 版本出現(xiàn)。左磊從技術(shù)角度分析了微軟操作系統(tǒng)的漏洞是如何被勒索軟件攻擊的。這一軟件攻擊范圍很廣，許多系統(tǒng)可以傳播。

左磊也看到報(bào)道，英國一個(gè)年輕的 IT 專家通過分析 “ 想哭 ” 軟件發(fā)現(xiàn)，它預(yù)設(shè)如果訪問某個(gè)域名就自我刪除，而這個(gè)域名尚未注冊(cè)，他通過注冊(cè)這個(gè)域名并進(jìn)行相關(guān)操作，成功阻止了 “ 想哭 ”軟件蔓延。

“ 這個(gè)軟件 5 月 14 日出現(xiàn)變種，目前已經(jīng)發(fā)現(xiàn)兩個(gè)變種，第一個(gè)變種改動(dòng)簡(jiǎn)單已經(jīng)失效。 ” 左磊說，勒索軟件影響范圍很大，他們監(jiān)測(cè)到， 截至 5 月 16 日 13 時(shí)有 237 筆被勒索的支付，包括 23.5 個(gè) 比特幣 ，約 5.9 萬美元，折合 41 萬元人民幣，但目前沒有人領(lǐng)取。

這是大規(guī)模 “ 網(wǎng)絡(luò)軍火 ”

擴(kuò)散失控事件

安天科技公司副總裁王小豐則把這款新型蠕蟲式勒索軟件稱為 “ 魔窟 ” ： “ 安全從業(yè)人員這幾天一直都很緊張，進(jìn)行分析、應(yīng)對(duì)，我們認(rèn)為這是一起全球大規(guī)模 ‘ 網(wǎng)絡(luò)軍火 ’ 擴(kuò)散失控事件。 ”

他說，一個(gè)月前，安天就曾發(fā)布有關(guān)提示： “ 網(wǎng)絡(luò)軍火 ” 擴(kuò)散會(huì)在全球降低攻擊者成本，會(huì)帶來“ 蠕蟲 ” 回潮。此預(yù)警不幸言中。好在，此次國內(nèi)的網(wǎng)絡(luò)安全企業(yè)反應(yīng)相對(duì)迅速。安天在 5 月 12日晚就拿出了分析報(bào)告，并發(fā)出相關(guān)應(yīng)對(duì)預(yù)案。并在隨后針對(duì)勒索軟件的防范發(fā)布指南，發(fā)布了免疫工具。

“‘ 網(wǎng)絡(luò)軍火 ’ 攻擊性強(qiáng)、穿透性強(qiáng)，會(huì)造成大規(guī)模災(zāi)難；我們的基礎(chǔ)防御水平還很低；要舉一反三，現(xiàn)在不是網(wǎng)絡(luò)更安全了，而是隱蔽性增加了，難以被發(fā)現(xiàn)了。 ” 針對(duì)此次攻擊事件，王小豐有許多思考，他認(rèn)為今后我們會(huì)面臨更多 “ 網(wǎng)絡(luò)軍火 ” 攻擊和失控的危險(xiǎn)， “ 此次暴露出隔離網(wǎng)內(nèi)漏洞比較多。過于依賴網(wǎng)絡(luò)邊界防護(hù)和物理隔離的安全體系，反而內(nèi)部網(wǎng)絡(luò)安全可能疏漏較多，系統(tǒng)安全治理工作也任重道遠(yuǎn)。 ”

中標(biāo)軟件副總經(jīng)理李震寧在論壇上也代表國產(chǎn)操作系統(tǒng)廠商發(fā)表了看法： “ 雖然這次攻擊只是針對(duì) windows 系統(tǒng)而不會(huì)影響到 Linux ，但這個(gè)漏洞是被美國國家安全局掌控，被黑客泄露后發(fā)動(dòng)攻擊。還有更多沒有被公開的漏洞，這才是這個(gè)事件中透射的最可怕問題。我們大量的設(shè)備是基于這樣的系統(tǒng)構(gòu)建，系統(tǒng)還有多少漏洞后門不得而知。我國提出要在實(shí)施信息領(lǐng)域核心技術(shù)設(shè)備攻堅(jiān)戰(zhàn)略、在操作系統(tǒng)等研發(fā)和應(yīng)用取得重大突破，就是希望能夠構(gòu)建真正安全、可控的信息技術(shù)體系。 ”

此次事件應(yīng)急處理成功

有運(yùn)氣成分

360 副總裁、首席安全官譚曉生出示了一張數(shù)據(jù)監(jiān)測(cè)圖，顯示 5 月 12 日 15 時(shí)開始出現(xiàn)大量感染，晚上進(jìn)入了高發(fā)期，有很多機(jī)構(gòu)中招，包括某石油系統(tǒng)和政府某機(jī)構(gòu)網(wǎng)站。 “ 到了 5 月 13 日12 點(diǎn)以后，無論是政府企業(yè)還是機(jī)構(gòu)個(gè)人都開始進(jìn)行相關(guān)處置，病毒感染開始得到控制。從 5 月14 日早上 7 點(diǎn)到現(xiàn)在，一直平穩(wěn)，沒有出現(xiàn)大規(guī)模的感染。 ”

由于 15 日是病毒出現(xiàn)后的第一個(gè)工作日， 11 點(diǎn)到 12 點(diǎn)一個(gè)小時(shí)中，是過去這些時(shí)間段里的最高峰，共有 5389 次攻擊，一共 105 個(gè)用戶中招。而在 16 日下午一個(gè)小時(shí)內(nèi)則只有幾十個(gè)。

“ 現(xiàn)在用戶中病毒會(huì)繼續(xù)傳播但不會(huì)加密文件，損害基本不存在了。 ” 譚曉生說，這是因?yàn)槟莻�(gè)英國小伙子注冊(cè)了域名，把它的危害控制住了。

360 的實(shí)時(shí)監(jiān)測(cè)數(shù)據(jù)也證明了教育網(wǎng)不是此次事件的重災(zāi)區(qū)。截至 5 月 16 日零點(diǎn)， 360 安全衛(wèi)士監(jiān)測(cè)到的數(shù)據(jù)顯示，教育網(wǎng)只占國內(nèi)全部受感染的 0.63% 。此前的報(bào)道，很大程度是由于媒體的數(shù)據(jù)誤讀和錯(cuò)誤解讀。

譚曉生認(rèn)為這次勒索軟件的傳播得到及時(shí)控制，有運(yùn)氣成分在其中。 “ 首先是安全產(chǎn)品廠家反應(yīng)迅速，各個(gè)部門溝通及時(shí)，政府連下 3 個(gè)通告，運(yùn)營(yíng)商對(duì)端口進(jìn)行封閉，很多企事業(yè)單位、機(jī)構(gòu)迅速關(guān)閉了 445 端口，也阻礙了傳播。微軟也特例給 XP 和 2003 系統(tǒng)出了補(bǔ)丁，雖然晚了一點(diǎn)點(diǎn)，但是還是解決了不少問題。 ”