5月16日，CCFYOCSEF 設(shè)置了一場(chǎng)特別研討會(huì)，主題是“勒索病毒：憑什么能綁架我們的系統(tǒng)？”，在該議程上，綠盟科技、奇虎 360、安天三家廠商作特別報(bào)告。上午 10 點(diǎn)左右，雷鋒網(wǎng)才得到該論壇的消息，在下午 1 點(diǎn)半，也就是該論壇召開(kāi)的前半小時(shí)，雷鋒網(wǎng)趕到了現(xiàn)場(chǎng)，發(fā)現(xiàn)連一些廠商公關(guān)都是中午臨時(shí)得到的消息，該論壇的橫幅在開(kāi)始前十幾分鐘才掛上，但現(xiàn)場(chǎng) 60 個(gè)座位幾乎全部坐滿，有嘉賓會(huì)前 5 分鐘趕過(guò)來(lái)時(shí)，主辦方不得不臨時(shí)加了一些椅子。

由于此前幾天漫天消息飛，各方響應(yīng)十分及時(shí)。各個(gè)廠商的發(fā)布信息對(duì)雷鋒網(wǎng)而言，已經(jīng)不算新鮮。但是，今天風(fēng)勢(shì)顯然已經(jīng)轉(zhuǎn)變，一些媒體開(kāi)始發(fā)布“反轉(zhuǎn)信息”，質(zhì)疑這場(chǎng)轟轟烈烈的網(wǎng)絡(luò)安全大事件究竟是否名過(guò)其實(shí)。

雷鋒網(wǎng)在會(huì)議間隙“抓住了”綠盟科技的副總裁李晨與安全研究部總監(jiān)左磊(今天的三位特別主講人之一)，拋出了今天大熱的一些“質(zhì)疑”。

以下為采訪實(shí)錄：

1.雷鋒網(wǎng)：最近有人說(shuō)“想哭”勒索病毒是一場(chǎng)炒作，實(shí)際上感染沒(méi)有這么嚴(yán)重，我想知道咱們這邊監(jiān)測(cè)到的具體數(shù)據(jù)。

綠盟科技：根據(jù)英國(guó)MalwareTech機(jī)構(gòu)發(fā)布的數(shù)據(jù)，目前在該事件中，全球約16萬(wàn)個(gè)主機(jī)受到蠕蟲(chóng)感染，整個(gè)事件還是很嚴(yán)重的。綠盟科技主要服務(wù)大型機(jī)構(gòu)，由于保密性，具體用戶數(shù)據(jù)不方便提供，但可以肯定的是，綠盟用戶總體受影響不大。

在第一次開(kāi)關(guān)域名被注冊(cè)后，該事件的態(tài)勢(shì)已經(jīng)受到了遏制，即使現(xiàn)在有一個(gè)病毒變種開(kāi)關(guān)被刪除，因?yàn)樵撌录艿街匾?，感染態(tài)勢(shì)也放緩了。

有一點(diǎn)要說(shuō)明的是，因?yàn)檫@次“病毒勒索”事件本身技術(shù)性很強(qiáng)，可能會(huì)造成很多“外行”對(duì)于各種渠道傳播的各類信息存在解讀誤區(qū)。

2.雷鋒網(wǎng)：怎么評(píng)價(jià)該勒索蠕蟲(chóng)作者的水平？有人說(shuō)他是朝鮮黑客，因?yàn)橛卸未a與曾經(jīng)疑似朝鮮黑客組織的代碼類似，您怎么看？

綠盟科技：作者水平一般，利用的是公開(kāi)漏洞和已捕獲的勒索軟件，沒(méi)有值得稱道的地方。關(guān)于作者的身份，現(xiàn)在沒(méi)有確鑿證據(jù)支撐他是朝鮮黑客。

3.雷鋒網(wǎng)：如何評(píng)價(jià) 5 月 12 日以來(lái)各個(gè)廠商的響應(yīng)？

綠盟科技：業(yè)內(nèi)大部分安全公司都非常嚴(yán)謹(jǐn)和負(fù)責(zé)，其實(shí)，針對(duì)每一次安全事件，安全廠商都有這樣的流程：預(yù)警通告—預(yù)警建議—產(chǎn)品升級(jí)—為客戶提供相應(yīng)的服務(wù)支撐，對(duì)這次事件的響應(yīng)我們采取的也正常工作流程。

比如:

5月12日晚間，綠盟威脅情報(bào)中心監(jiān)測(cè)到可疑攻擊；

5月13日凌晨，陸續(xù)接到來(lái)自各地的服務(wù)工程師的通報(bào)，隨后截獲惡意樣本；

5月13日上午10時(shí)，經(jīng)過(guò)梳理驗(yàn)證，預(yù)警通告正式發(fā)送給各大客戶；

5月13日上午10時(shí)，綠盟未知威脅分析系統(tǒng)TAC實(shí)現(xiàn)WannaCry勒索病毒檢測(cè)，并隨后給出檢測(cè)報(bào)告；

5月13日上午12時(shí)，NIPS/NIDS/NF/RSAS產(chǎn)品防護(hù)能力已經(jīng)確認(rèn)就緒；

5月13日下午1時(shí)，安全服務(wù)團(tuán)隊(duì)經(jīng)過(guò)慎重驗(yàn)證，發(fā)布一鍵加固腳本，當(dāng)天持續(xù)更新3個(gè)版本；

5月13日下午1時(shí)，各地服務(wù)團(tuán)隊(duì)開(kāi)始實(shí)施修補(bǔ)加固動(dòng)作，協(xié)助用戶升級(jí)產(chǎn)品，安裝補(bǔ)?。?/p>

5月13日下午5時(shí)，NTI威脅情報(bào)中心發(fā)布WannaCry勒索病毒監(jiān)測(cè)及分析報(bào)告；

5月14日，根據(jù)威脅情報(bào)中心NTI及各地客戶反饋的信息，綠盟科技應(yīng)急指揮中心決定，緊急調(diào)配500臺(tái)入侵防范NIPS和脆弱性評(píng)估RSAS設(shè)備馳援客戶一線為不具備網(wǎng)絡(luò)邊界防范能力的客戶免費(fèi)提供設(shè)備，協(xié)助客戶完成應(yīng)急處置。

5月16日，根據(jù)樣本進(jìn)行深入研究分析，并出具WannaCry勒索軟件溯源分析報(bào)告；

4.雷鋒網(wǎng)：有人說(shuō)無(wú)非就是拔網(wǎng)線、打補(bǔ)丁、關(guān)端口之類，業(yè)內(nèi)有人各種方案頻出，淪為了公關(guān)戰(zhàn)，你們?cè)趺纯矗?/h3>

綠盟科技：各個(gè)安全公司都出方案，都寫應(yīng)急工具是好事。正常情況下，安全廠商都會(huì)第一時(shí)間發(fā)布工具，為更快的服務(wù)客戶，進(jìn)行應(yīng)急響應(yīng)，但這種緊急開(kāi)發(fā)的工具，很可能不夠完善，例如不能適應(yīng)所有系統(tǒng)，后續(xù)會(huì)再更新和完善，出另外一些版本。所以每家安全公司都可能出來(lái)好幾個(gè)版本，顯得很亂，但對(duì)具體客戶而言，特別是有固定安全廠商服務(wù)的客戶，就不會(huì)產(chǎn)生壞的影響，也不排除有個(gè)別廠商過(guò)度宣傳。

事實(shí)上，對(duì)于普通用戶而言，拔網(wǎng)線、打補(bǔ)丁、關(guān)閉 445 端口基本是足夠的，當(dāng)然，有些領(lǐng)域有其特殊性，有些系統(tǒng)比較老舊，補(bǔ)丁都打不上，要進(jìn)行另外的設(shè)置。

5.雷鋒網(wǎng)：目前也有磁盤修復(fù)的文件修復(fù)思路，但一直也沒(méi)什么數(shù)據(jù)可以說(shuō)明效果，你們?cè)趺纯矗?/h3>

綠盟科技：本次事件中的勒索軟件采用了文件刪除，而非覆蓋重寫的方式，正常的數(shù)據(jù)恢復(fù)工具，應(yīng)該可以起到一定的效果。

6.有人認(rèn)為，根本就沒(méi)被勒索多少錢，但是助力了中國(guó)安全股市的上漲，這種論點(diǎn)會(huì)讓安全行業(yè)很尷尬嗎？

綠盟科技：確實(shí)沒(méi)有被勒索多少錢，現(xiàn)在也就折合人民幣40多萬(wàn)元。不過(guò)，明明3月份微軟就發(fā)布了相關(guān)補(bǔ)丁，許多安全公司也推送了嚴(yán)重漏洞公告，但是全球還有這么多人中招，說(shuō)明大家不重視基礎(chǔ)安全服務(wù)。因此，企業(yè)用戶要重視網(wǎng)絡(luò)安全，做好基礎(chǔ)安全建設(shè)，并具備基本的運(yùn)營(yíng)能力，個(gè)人用戶要好好打補(bǔ)丁。

［李晨］

［左磊］

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。