新变种风险持续：360官方最全面永恒之蓝勒索蠕虫攻击预防措施

　　5月12日开始在全球肆虐的WannaCrypt（永恒之蓝）勒索蠕虫攻击，在周末两天已发展成为史上最大规模的勒索软件攻击事件。5月15日首个工作日，360企业安全在周日紧急发布用户开机完整指南，指导政企用户规避这一安全风险。电脑一开机，可能所有的文件将被加密无法读取，不得不损失300美元！

　　全球多个国家的网络遭遇名为“想哭”的勒索软件攻击，据统计，涉及中国、英国、西班牙、俄罗斯等近百个国家和地区。电脑被勒索软件感染后文件会被加密锁定，支付黑客所要赎金后才能解密恢复，受攻击对象甚至包括医院、高校等公益性机构。欧盟刑警组织说，这次网络攻击“达到史无前例的级别”。

　　数据显示，5月12日至5月13日，国内出现29000多个IP感染该病毒，涉及教育科研单位、商业中心、医疗单位等。目前，该勒索软件还在传播，但传播速度已经明显放缓。

　　据了解，这款勒索蠕虫病毒是针对微软的永恒之蓝的漏洞进行传播和攻击的。一旦电脑感染该病毒，被感染电脑会主动对局域网内的其他电脑进行随机攻击，局域网内没有修补漏洞的电脑，理论上将无一幸免感染该病毒。

　　听说病毒传播者只获得了10万块，但是却有另外一批人大赚了一笔，因为以网络安全概念为代表的计算机应用板块出现全面大爆发，很多涨停了，这次全球爆发的勒索病毒事件刺激网络安全概念多只个股“一”字涨停，真的是东方不亮西方亮，想必病毒传播者想死的心的都有。

　　360安全应急手册发布

　　这一安全事件的风险已被包括360在内的多家安全机构定级为“危急”。

　　“ 英雄拯救世界”？在近两天全球性的勒索软件网络攻击事件中，传出了一名英国网络工程师通过注册某个域名而遏制这场灾难的消息。但网络安全专家指出，目前事态只是由于多种原因而稍显缓和，许多网络用户特别是中国用户仍面临风险关口。

　　网络攻击级别“史无前例”

　　这一勒索软件利用的是微软“视窗”操作系统中的一个漏洞。尽管此前微软已发布安全补丁，但仍有许多没有更新的电脑被感染。鉴于事态严重，微软很快宣布采取非同寻常的安防措施，为一些它已不再支持的老“视窗”平台提供补丁。多家网络安全厂商也紧急推出了应对勒索软件的安全工具。

　　13日，媒体报道一个英国小伙“拯救世界”的消息，称他通过注册某个域名遏制了这场网络攻击。记者调查发现，这位迄今没有透露姓名等信息的英国网络工程师运营一家分析恶意软件的网站。他在网站上称，通过分析“想哭”软件发现，它预设如果访问某个域名就自我删除，而这个域名尚未注册，他通过注册这个域名并进行相关操作，成功阻止了“想哭”软件蔓延。

　　“ 这个说法并不全对，域名的作用其实有限，”安天公司安全研究与应急处理中心主任李柏松告诉新华社记者，“一部分已被感染的电脑，确实可以访问这个域名而使勒索软件停止破坏，但当前最大的问题是大量内网节点已被感染，而有些节点无法访问这个域名，并且勒索软件很容易修改出不带有这一特性的新变种。所以，不能指望就靠这个域名拯救世界。”

　　而根据360威胁情报中心的统计，在短短一天多的时间，全球近百个国家的超过10万家组织和机构被攻陷，其中包括1600家美国组织，11200家俄罗斯组织。包括西班牙电信巨头Telefonica，电力公司Iberdrola，能源供应商Gas Natural在内的西班牙公司的网络系统也都瘫痪。葡萄牙电信、美国运输巨头FedEx、瑞典某当地政府、俄罗斯第二大移动通信运营商Megafon都已曝出相关的攻击事件。

　　国内已经有29372家机构组织的数十万台机器感染WannaCrypt（永恒之蓝），被感染的组织和机构已经覆盖了几乎所有地区，影响范围遍布高校、火车站、自助终端、邮政、加油站、医院、政府办事终端等多个领域。目前被感染的电脑数字还在不断增长中。

　　周一（5月15日）工作日首日，是电脑开机的高峰，也是勒索蠕虫传播的高峰，360安全监测与响应中心向与勒索蠕虫病毒关系密切的服务器管理员、桌面终端管理员、普通用户分别提供了完整的安全开机操作指南。

　　在安全开机操作指南中，360企业安全向用户提供了详细的攻击预警通告，以及专业的工具软件包。用户可以选择通过安全U盘或在未被感染的电脑从网络上下载，并按照指南中的流程进行安全操作，就可以最大程度避免勒索蠕虫的侵害。

　　“ 我们监测到的攻击量和感染量并没有明显回落，只是一个缓慢的持平和下降，”360公司首席安全工程师郑文彬说，“随着媒体推动和用户意识到问题，公众和机构的电脑逐渐打上补丁，这才是事态目前稍显缓和的主要原因。”

　　最全面永恒之蓝勒索蠕虫攻击预防措施

　　用户仍然面临风险 “勒索”未来可能持续

　　“ 这个缓和很大程度上还因为是周末，15日会是重要的考验关口，”郑文彬强调。由于时区关系，中国将是较早面临这个风险的国家。

　　李柏松同样判断：“勒索软件网络攻击大规模爆发于北京时间12日晚8点左右，当时国内有大量机构和企业的网络节点已关机，因此15日开机将面临安全考验。”他还说，许多重要的计算机系统处于内网环境，无法访问前述域名，并且也可能无法及时更新安全补丁，因此仍可能面临较大风险。

　　网络安全专家建议，用户要断网开机，即先拔掉网线再开机，这样基本可以避免被勒索软件感染。开机后应尽快想办法打上安全补丁，或安装各家网络安全公司针对此事推出的防御工具，才可以联网。

　　“ 针对勒索软件威胁，用户必须提前做好防御工作，”李柏松强调，“因为这个勒索软件采用了RSA、AES等加密算法，没有密钥无法解密。”也就是说，对已被感染且发作的电脑，其中被锁定的文件暂时没有办法打开。他表示，网上有传闻说勒索软件作者已经公开了密钥，但已经证实这是假消息。

　　李柏松指出，不建议文件已被锁定的受害者按黑客要求支付赎金，“妥协就是对犯罪的纵容，而且目前无法确定传播者的真实意图，支付了赎金也不一定会收到解锁所需的密钥，我们不建议受害用户支付赎金。”

　　郑文彬说，文件被锁定的用户可以尝试使用一些恢复工具，根据被锁定文件的性质，有一定概率可以恢复数据。

　　网络安全专家都在严阵以待15日这个关口。那么，假如过了这个关口，今后又会怎么样？郑文彬认为：“这个勒索软件的攻击未来应该还会持续一段时间。”

　　“ 一些不法黑客还可能受到此次勒索软件攻击的启发，将更多技术手段与勒索软件相结合，”李柏松说，“勒索模式带动蠕虫病毒的回潮不可避免，黑客可能利用僵尸网络分发病毒，还可能针对物联网设备的漏洞制造和传播病毒软件，这些问题都会出现。”