5月12日，“永恒之藍”勒索蠕蟲病毒初現(xiàn)苗頭，5月12日晚間開始大面積爆發(fā)。雷鋒網(wǎng)編輯在5月13日早上8點時發(fā)現(xiàn)，360和安天公司兩家發(fā)布了相關預警及建議措施，5月13日上午，騰訊、知道創(chuàng)宇、阿里云等公司也接連給雷鋒網(wǎng)發(fā)來相關解決方案信息。5月14日，360公司首家發(fā)布了勒索蠕蟲病毒文件恢復工具，不過，并非直接破解了加密算法，而是利用了磁盤文件恢復的思路。5月14日晚上，勒索蠕蟲病毒新變種 WannaCry 2.0 版本出現(xiàn)。

5月15日，在眾所矚目的周一，在此次大規(guī)模勒索蠕蟲爆發(fā)事件中，響應很快的360公司在下午2點40分左右召開了勒索蠕蟲最新情況通報會，并接受了包括雷鋒網(wǎng)在內(nèi)的多家媒體采訪。

以下為雷鋒網(wǎng)編輯從該情況通報會上獲得的最新信息，以及可能此前讀者沒有注意到的知識點：

1.勒索蠕蟲病毒“周一見”，周一有很多用戶中招嗎？

360安全產(chǎn)品負責人孫曉駿：從個人用戶看，勒索蠕蟲病毒的感染速度已經(jīng)放緩。在360安全衛(wèi)士的5億用戶中，絕大多數(shù)用戶在3月修復漏洞，不受影響，約20萬沒有打補丁的用戶電腦被病毒攻擊，基本全部攔截。

360企業(yè)安全的總裁吳云坤：我們很多工程師今天沒有來公司上班，直接去客戶公司上門服務。在這幾天中，接到的相關客服電話2萬多次。

某著名銀行在周六上午六點半就建立了響應群，將免疫工具下發(fā)，八點半部署全國防護策略，從網(wǎng)絡、服務器、終端360度無死角，到今天早晨十點半，全行無一例感染；南寧市網(wǎng)信辦聯(lián)合發(fā)改委信息中心、南寧公安局網(wǎng)安支隊在13日下午召開緊急會議，由網(wǎng)安支隊提供360的第七套解決方案，并由網(wǎng)安支隊刻了600張光盤，由發(fā)改委、網(wǎng)信辦、網(wǎng)安支隊一起發(fā)放全市各政府企事業(yè)單位，整個南寧的病毒感染率極低。

從我們的實際反饋看，證明了之前所有處置和響應工作是有成效的，360威脅情報中心接到的求助信息看，周一只有個別機構和企業(yè)有零星電腦感染。

2.此前，網(wǎng)稱許多高校和政企用戶受到了此次勒索蠕蟲病毒攻擊，到底數(shù)據(jù)是多少？

360安全產(chǎn)品負責人孫曉駿：基于病毒網(wǎng)絡活動特征監(jiān)測統(tǒng)計（覆蓋非360用戶）在5月12日至13日期間，國內(nèi)出現(xiàn) 29000 多個感染W(wǎng)NCRY 1.0 勒索病毒的IP，備受關注的教育科研感染用戶占比 14.7%，4316例，各行業(yè)具體分布情況如下圖：

3.360公司首家發(fā)布了勒索蠕蟲病毒文件恢復工具，到底恢復文件情況如何？

360安全產(chǎn)品負責人孫曉駿：離線版修復軟件目前下載次數(shù)是50萬次左右。

360核心安全技術總負責人鄭文彬：具體文件恢復情況還要看用戶處理的時間及系統(tǒng)情況。

4.關于勒索蠕蟲病毒，你不知道的幾個事實：

360核心安全技術總負責人鄭文彬：

• 美國國家安全局（NSA）曾通過“永恒之藍”武器控制了幾乎整個中東的銀行和金融機構。

• 已經(jīng)有國外研究機構驗證，交付贖金后確實可以解密文件，截至5月15日早晨，136人交了贖金，總價值約3.6萬美元，三天后不交贖金就會漲價到600美元，距離最早一批被感染者的贖金漲價還有數(shù)個小時，目前依然有一些被感染者觀望，希冀有破解工具。

• 其實，“想哭”勒索病毒有三波：0.1版：黑客通過網(wǎng)絡武器傳播，勒索用戶，沒有蠕蟲功能；1.0版：具備蠕蟲功能，大規(guī)模傳播，5月12日到5月14日主力傳播；2.0版：“想哭”勒索病毒，更換及取消了“自殺開關”。所謂“自殺開關”，是病毒作者為了防止蠕蟲爆發(fā)不可控制設置的一個“開關”，如果檢查特定的域名被注冊，就不再繼續(xù)感染，5月14日，“想哭”2.0更換開關域名，很快也被注冊，14日“想哭‘2.0第二個變種，取消了自殺開關，繼續(xù)傳播。

• 這次事件是NSA 的“鍋”嗎？如果NSA不用這個漏洞，別人就會用，但在工具被公開后，NSA 應該及時通知公眾。

360企業(yè)安全的總裁吳云坤：內(nèi)網(wǎng)不是隔離地帶！

此次事件中招的大部分是企業(yè)和機構內(nèi)網(wǎng)以及物理隔離網(wǎng)，事件證明，隔離不是萬能的，不能一隔了之、萬事大吉。內(nèi)網(wǎng)是隔離的，本來應該是安全島，但內(nèi)網(wǎng)如果沒有任何安全措施，一旦被突破，瞬間全部淪陷。所以在隔離網(wǎng)里要采取更加有效的安全措施。內(nèi)網(wǎng)還不能輕易打補丁，有的一打補丁就崩潰，因此360首發(fā)了一個針對內(nèi)網(wǎng)的“熱補丁”，是通用的免疫措施。

其他重要數(shù)據(jù)和信息

1.歐洲今日災情可能更嚴重。

相比于國內(nèi)的災情延緩，中新網(wǎng)5月15日指出，據(jù)外媒報道，歐洲刑警組織指出，至歐洲時間14日早上，多達150個國家的20萬臺電腦遭“想哭”勒索病毒侵害。預料，到15日，人們回返公司上班，這一數(shù)字還會進一步增加。

2.變種樣本分析情況已出。

5月15日上午，綠盟科技給雷鋒網(wǎng)發(fā)送了一份最新改勒索蠕蟲最新樣本分析報告，該報告指出：

5月14日，卡巴斯基的研究人員宣稱他們發(fā)現(xiàn)了WannaCry的變種樣本，此變種沒有包含域名開關，同時修改了樣本執(zhí)行過程中的某個跳轉，取消了開關域名的退出機制，無論開關域名是否可以訪問，都會執(zhí)行后續(xù)惡意操作。我們對此次的變種事件高度關注，以最快速度拿到樣本并進行了分析。

通過初步的分析和與初代WannaCry樣本的對比分析，綠盟科技認為目前搜集到的兩個變種，應該都是在原有蠕蟲樣本上直接進行二進制修改而成的，不是基于源代碼編譯的。不排除有人同樣利用這種方式生成其他變種，以造成更大破壞。

從防護方面來看，變種樣本仍然利用了MS17-010漏洞和DOUBLEPLUSAR后門進行傳播，沒有新的傳播方式。

3.金山安全、騰訊等廠家在5月15日相繼也推出了針對該勒索蠕蟲的文件恢復工具。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權禁止轉載。詳情見轉載須知。