资讯 政企安全
此为临时链接,仅用于文章预览,将在时失效

勒索蠕虫病毒周一见:最新数据以及你不知道的几个事实

作者:李勤
2017/05/15 17:38

5月12日,“永恒之蓝”勒索蠕虫病毒初现苗头,5月12日晚间开始大面积爆发。雷锋网编辑在5月13日早上8点时发现,360和安天公司两家发布了相关预警及建议措施,5月13日上午,腾讯、知道创宇、阿里云等公司也接连给雷锋网发来相关解决方案信息。5月14日,360公司首家发布了勒索蠕虫病毒文件恢复工具,不过,并非直接破解了加密算法,而是利用了磁盘文件恢复的思路。5月14日晚上,勒索蠕虫病毒新变种 WannaCry 2.0 版本出现。

5月15日,在众所瞩目的周一,在此次大规模勒索蠕虫爆发事件中,响应很快的360公司在下午2点40分左右召开了勒索蠕虫最新情况通报会,并接受了包括雷锋网在内的多家媒体采访。

以下为雷锋网编辑从该情况通报会上获得的最新信息,以及可能此前读者没有注意到的知识点:

1.勒索蠕虫病毒“周一见”,周一有很多用户中招吗?

360安全产品负责人孙晓骏:从个人用户看,勒索蠕虫病毒的感染速度已经放缓。在360安全卫士的5亿用户中,绝大多数用户在3月修复漏洞,不受影响,约20万没有打补丁的用户电脑被病毒攻击,基本全部拦截。

360企业安全的总裁吴云坤:我们很多工程师今天没有来公司上班,直接去客户公司上门服务。在这几天中,接到的相关客服电话2万多次。

某著名银行在周六上午六点半就建立了响应群,将免疫工具下发,八点半部署全国防护策略,从网络、服务器、终端360度无死角,到今天早晨十点半,全行无一例感染;南宁市网信办联合发改委信息中心、南宁公安局网安支队在13日下午召开紧急会议,由网安支队提供360的第七套解决方案,并由网安支队刻了600张光盘,由发改委、网信办、网安支队一起发放全市各政府企事业单位,整个南宁的病毒感染率极低。

从我们的实际反馈看,证明了之前所有处置和响应工作是有成效的,360威胁情报中心接到的求助信息看,周一只有个别机构和企业有零星电脑感染。

2.此前,网称许多高校和政企用户受到了此次勒索蠕虫病毒攻击,到底数据是多少?

360安全产品负责人孙晓骏:基于病毒网络活动特征监测统计(覆盖非360用户)在5月12日至13日期间,国内出现 29000 多个感染WNCRY 1.0 勒索病毒的IP,备受关注的教育科研感染用户占比 14.7%,4316例,各行业具体分布情况如下图:

勒索蠕虫病毒周一见:最新数据以及你不知道的几个事实

3.360公司首家发布了勒索蠕虫病毒文件恢复工具,到底恢复文件情况如何?

360安全产品负责人孙晓骏:离线版修复软件目前下载次数是50万次左右。

360核心安全技术总负责人郑文彬:具体文件恢复情况还要看用户处理的时间及系统情况。

4.关于勒索蠕虫病毒,你不知道的几个事实:

360核心安全技术总负责人郑文彬:

360企业安全的总裁吴云坤:内网不是隔离地带!

此次事件中招的大部分是企业和机构内网以及物理隔离网,事件证明,隔离不是万能的,不能一隔了之、万事大吉。内网是隔离的,本来应该是安全岛,但内网如果没有任何安全措施,一旦被突破,瞬间全部沦陷。所以在隔离网里要采取更加有效的安全措施。内网还不能轻易打补丁,有的一打补丁就崩溃,因此360首发了一个针对内网的“热补丁”,是通用的免疫措施。

其他重要数据和信息

1.欧洲今日灾情可能更严重。

相比于国内的灾情延缓,中新网5月15日指出,据外媒报道,欧洲刑警组织指出,至欧洲时间14日早上,多达150个国家的20万台电脑遭“想哭”勒索病毒侵害。预料,到15日,人们回返公司上班,这一数字还会进一步增加。

2.变种样本分析情况已出。

5月15日上午,绿盟科技给雷锋网发送了一份最新改勒索蠕虫最新样本分析报告,该报告指出:

5月14日,卡巴斯基的研究人员宣称他们发现了WannaCry的变种样本,此变种没有包含域名开关,同时修改了样本执行过程中的某个跳转,取消了开关域名的退出机制,无论开关域名是否可以访问,都会执行后续恶意操作。我们对此次的变种事件高度关注,以最快速度拿到样本并进行了分析。

通过初步的分析和与初代WannaCry样本的对比分析,绿盟科技认为目前搜集到的两个变种,应该都是在原有蠕虫样本上直接进行二进制修改而成的,不是基于源代码编译的。不排除有人同样利用这种方式生成其他变种,以造成更大破坏。

从防护方面来看,变种样本仍然利用了MS17-010漏洞和DOUBLEPLUSAR后门进行传播,没有新的传播方式。

3.金山安全、腾讯等厂家在5月15日相继也推出了针对该勒索蠕虫的文件恢复工具。

长按图片保存图片,分享给好友或朋友圈

勒索蠕虫病毒周一见:最新数据以及你不知道的几个事实

扫码查看文章

正在生成分享图...

取消
相关文章