360公司称勒索病毒高峰期已过 但仍无法追溯始作俑者

5月12日，全球超过99个国家和地区的大量机构、个人电脑被一种新的蠕虫病毒“想哭（Wanna Cry）”所攻击，受到攻击的机构大量数据被锁定，袭击者要求支付比特币赎金才能解锁。

互联网安全公司360公司5月15日下午表示，基于病毒网络活动特征监测统计（覆盖非360用户）：从5月12日至5月13日，国内出现了29000多个感染了该勒索病毒的IP，涉及教育科研单位、商业中心、医疗单位等等。

360安全产品负责人孙晓骏表示：“在此次勒索病毒攻击过程中，360迅速采取一系列措施，保障了用户的安全。目前勒索病毒已经得到控制，其高峰期可以说已经过去了。”

中央网信办网络安全协调局负责人5月15日接受媒体采访时也表示，目前，该勒索软件还在传播，但传播速度已经明显放缓。

360安全技术负责人郑文彬介绍，勒索病毒“想哭”是利用公开的“永恒之蓝”武器制作的蠕虫型勒索病毒，后者是美国国家安全局（NSA）研发的一种网络武器，但在2013年6月左右遭窃。今年4月14日，黑客组织“影子经纪人”公开放出“永恒之蓝”攻击程序。

勒索病毒利用了Windows系统445端口进行传播，微软于今年3月份发布了该漏洞的补丁。

“在360安全卫士5亿用户中，绝大多数用户已在3月修复漏洞，不受影响。这次，约有20万没有打补丁的用户电脑被病毒攻击，但基本被360安全卫士拦截下来。迄今为止，仅有10余例感染案例发生。”孙晓骏说。

5月14日，北京市委网信办、北京市公安局、北京市经济信息化委联合发出《关于WannaCry 勒索蠕虫出现变种及处置工作建议的通知》。

《通知》指出，有关部门监测发现，WannaCry 勒索蠕虫出现了变种：WannaCry 2.0，与之前版本的不同是，这个变种取消了所谓的Kill Switch，不能通过注册某个域名来关闭变种勒索蠕虫的传播。该变种的传播速度可能会更快，该变种的有关处置方法与之前版本相同，建议立即进行关注和处置。

郑文彬介绍，病毒作者为了防止蠕虫爆发，进行了不可控制设置，即“自杀开关”（Kill Switch），如果检查特定的域名被注册，就不再继续感染。5月12日23时，这个域名被一家网络安全机构MalwareTech的研究员注册打开，但因网络访问等问题，对感染的爆发并没有起到很大影响。

5月14日，“想哭”病毒2.0版本更换了开关域名，很快也被注册。同一天，“想哭”2.0版本发生了第二个变种，即取消了自杀开关，继续传播。

中央网信办网络安全协调局负责人表示，几天来应对该勒索软件的实践表明，对广大用户而言最有效的应对措施是要安装安全防护软件，及时升级安全补丁，即使是与互联网不直接相连的内网计算机也应考虑安装和升级安全补丁。作为单位的系统管理技术人员，还可以采取关闭该勒索软件使用的端口和网络服务等措施。

“勒索病毒溯源一直是比较困难的问题，FBI曾经悬赏300万美元寻找勒索病毒的作者，但没有结果。因为它的整个操作体系非常成熟，勒索也完全是用比特币和匿名网络，目前全球都没有发现作者是哪个国家的，它的目的是什么。”郑文彬介绍。

他说，“关于作者的身份有很多猜测，有人猜测可能是公开放出‘永恒之蓝’攻击程序的黑客组织‘影子经纪人’，但现在没有一个明确的指向。可能后面很多事情还是需要执法部门来做。”

（作者：王峰 编辑：陈洁）

21世纪经济报道及其客户端所刊载内容的知识产权均属广东二十一世纪环球经济报社所有。未经书面授权，任何人不得以任何方式使用。详情或获取授权信息请点击此处。