安全廠商告訴你：「想哭」勒索蠕蟲是一場驚天炒作嗎？

本文作者：李勤

導語：今天關於勒索蠕蟲的幾個最反轉的疑問，這裡都有解答。

5月16日，CCFYOCSEF 設置了一場特別研討會，主題是「勒索病毒：憑什麼能綁架我們的系統？」，在該議程上，綠盟科技、奇虎 360、安天三家廠商作特別報告。上午 10 點左右，雷鋒網才得到該論壇的消息，在下午 1 點半，也就是該論壇召開的前半小時，雷鋒網趕到了現場，發現連一些廠商公關都是中午臨時得到的消息，該論壇的橫幅在開始前十幾分鐘才掛上，但現場 60 個座位幾乎全部坐滿，有嘉賓會前 5 分鐘趕過來時，主辦方不得不臨時加了一些椅子。

由於此前幾天漫天消息飛，各方響應十分及時。各個廠商的發布信息對雷鋒網而言，已經不算新鮮。但是，今天風勢顯然已經轉變，一些媒體開始發布「反轉信息」，質疑這場轟轟烈烈的網路安全大事件究竟是否名過其實。

雷鋒網在會議間隙「抓住了」綠盟科技的副總裁李晨與安全研究部總監左磊(今天的三位特別主講人之一)，拋出了今天大熱的一些「質疑」。

以下為採訪實錄：

1.雷鋒網：最近有人說「想哭」勒索病毒是一場炒作，實際上感染沒有這麼嚴重，我想知道咱們這邊監測到的具體數據。

綠盟科技：根據英國MalwareTech機構發布的數據，目前在該事件中，全球約16萬個主機受到蠕蟲感染，整個事件還是很嚴重的。綠盟科技主要服務大型機構，由於保密性，具體用戶數據不方便提供，但可以肯定的是，綠盟用戶總體受影響不大。

在第一次開關域名被註冊後，該事件的態勢已經受到了遏制，即使現在有一個病毒變種開關被刪除，因為該事件受到重視，感染態勢也放緩了。

有一點要說明的是，因為這次「病毒勒索」事件本身技術性很強，可能會造成很多「外行」對於各種渠道傳播的各類信息存在解讀誤區。

2.雷鋒網：怎麼評價該勒索蠕蟲作者的水平？有人說他是朝鮮黑客，因為有段代碼與曾經疑似朝鮮黑客組織的代碼類似，您怎麼看？

綠盟科技：作者水平一般，利用的是公開漏洞和已捕獲的勒索軟體，沒有值得稱道的地方。關於作者的身份，現在沒有確鑿證據支撐他是朝鮮黑客。

3.雷鋒網(公眾號：雷鋒網)：如何評價 5 月 12 日以來各個廠商的響應？

綠盟科技：業內大部分安全公司都非常嚴謹和負責，其實，針對每一次安全事件，安全廠商都有這樣的流程：預警通告—預警建議—產品升級—為客戶提供相應的服務支撐，對這次事件的響應我們採取的也正常工作流程。

比如:

5月12日晚間，綠盟威脅情報中心監測到可疑攻擊；

5月13日凌晨，陸續接到來自各地的服務工程師的通報，隨後截獲惡意樣本；

5月13日上午10時，經過梳理驗證，預警通告正式發送給各大客戶；

5月13日上午10時，綠盟未知威脅分析系統TAC實現WannaCry勒索病毒檢測，並隨後給出檢測報告；

5月13日上午12時，NIPS/NIDS/NF/RSAS產品防護能力已經確認就緒；

5月13日下午1時，安全服務團隊經過慎重驗證，發布一鍵加固腳本，當天持續更新3個版本；

5月13日下午1時，各地服務團隊開始實施修補加固動作，協助用戶升級產品，安裝補丁；

5月13日下午5時，NTI威脅情報中心發布WannaCry勒索病毒監測及分析報告；

5月14日，根據威脅情報中心NTI及各地客戶反饋的信息，綠盟科技應急指揮中心決定，緊急調配500台入侵防範NIPS和脆弱性評估RSAS設備馳援客戶一線為不具備網路邊界防範能力的客戶免費提供設備，協助客戶完成應急處置。

5月16日，根據樣本進行深入研究分析，並出具WannaCry勒索軟體溯源分析報告；

4.雷鋒網：有人說無非就是拔網線、打補丁、關埠之類，業內有人各種方案頻出，淪為了公關戰，你們怎麼看？

綠盟科技：各個安全公司都出方案，都寫應急工具是好事。正常情況下，安全廠商都會第一時間發布工具，為更快的服務客戶，進行應急響應，但這種緊急開發的工具，很可能不夠完善，例如不能適應所有系統，後續會再更新和完善，出另外一些版本。所以每家安全公司都可能出來好幾個版本，顯得很亂，但對具體客戶而言，特別是有固定安全廠商服務的客戶，就不會產生壞的影響，也不排除有個別廠商過度宣傳。

事實上，對於普通用戶而言，拔網線、打補丁、關閉 445 埠基本是足夠的，當然，有些領域有其特殊性，有些系統比較老舊，補丁都打不上，要進行另外的設置。

5.雷鋒網：目前也有磁碟修復的文件修復思路，但一直也沒什麼數據可以說明效果，你們怎麼看？

綠盟科技：本次事件中的勒索軟體採用了文件刪除，而非覆蓋重寫的方式，正常的數據恢復工具，應該可以起到一定的效果。

6.有人認為，根本就沒被勒索多少錢，但是助力了中國安全股市的上漲，這種論點會讓安全行業很尷尬嗎？

綠盟科技：確實沒有被勒索多少錢，現在也就摺合人民幣40多萬元。不過，明明3月份微軟就發布了相關補丁，許多安全公司也推送了嚴重漏洞公告，但是全球還有這麼多人中招，說明大家不重視基礎安全服務。因此，企業用戶要重視網路安全，做好基礎安全建設，並具備基本的運營能力，個人用戶要好好打補丁。

［李晨］

［左磊］

雷鋒網原創文章，網站轉載請至雷鋒網官網申請授權。但，歡迎轉發分享~

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！