安全厂商告诉你：“想哭”勒索蠕虫是一场惊天炒作吗？

发布时间：2017-05-19 20:27:29 所属栏目：安全来源：雷锋网

导读：5月16日，CCFYOCSEF 设置了一场特别研讨会，主题是“勒索病毒：凭什么能绑架我们的系统？”，在该议程上，绿盟科技、奇虎 360、安天三家厂商作特别报告。上午 10 点左右，雷锋网才得到该论坛的消息，在下午 1 点半，也就是该论坛召开的前半小时，雷锋网赶

5月16日，CCFYOCSEF 设置了一场特别研讨会，主题是“勒索病毒：凭什么能绑架我们的系统？”，在该议程上，绿盟科技、奇虎 360、安天三家厂商作特别报告。上午 10 点左右，雷锋网才得到该论坛的消息，在下午 1 点半，也就是该论坛召开的前半小时，雷锋网赶到了现场，发现连一些厂商公关都是中午临时得到的消息，该论坛的横幅在开始前十几分钟才挂上，但现场 60 个座位几乎全部坐满，有嘉宾会前 5 分钟赶过来时，主办方不得不临时加了一些椅子。

由于此前几天漫天消息飞，各方响应十分及时。各个厂商的发布信息对雷锋网而言，已经不算新鲜。但是，今天风势显然已经转变，一些媒体开始发布“反转信息”，质疑这场轰轰烈烈的网络安全大事件究竟是否名过其实。

雷锋网在会议间隙“抓住了”绿盟科技的副总裁李晨与安全研究部总监左磊(今天的三位特别主讲人之一)，抛出了今天大热的一些“质疑”。

以下为采访实录：

1.雷锋网：最近有人说“想哭”勒索病毒是一场炒作，实际上感染没有这么严重，我想知道咱们这边监测到的具体数据。

绿盟科技：根据英国MalwareTech机构发布的数据，目前在该事件中，全球约16万个主机受到蠕虫感染，整个事件还是很严重的。绿盟科技主要服务大型机构，由于保密性，具体用户数据不方便提供，但可以肯定的是，绿盟用户总体受影响不大。

在第一次开关域名被注册后，该事件的态势已经受到了遏制，即使现在有一个病毒变种开关被删除，因为该事件受到重视，感染态势也放缓了。

有一点要说明的是，因为这次“病毒勒索”事件本身技术性很强，可能会造成很多“外行”对于各种渠道传播的各类信息存在解读误区。

2.雷锋网：怎么评价该勒索蠕虫作者的水平？有人说他是朝鲜黑客，因为有段代码与曾经疑似朝鲜黑客组织的代码类似，您怎么看？

绿盟科技：作者水平一般，利用的是公开漏洞和已捕获的勒索软件，没有值得称道的地方。关于作者的身份，现在没有确凿证据支撑他是朝鲜黑客。

3.雷锋网：如何评价 5 月 12 日以来各个厂商的响应？

绿盟科技：业内大部分安全公司都非常严谨和负责，其实，针对每一次安全事件，安全厂商都有这样的流程：预警通告—预警建议—产品升级—为客户提供相应的服务支撑，对这次事件的响应我们采取的也正常工作流程。

比如:

5月12日晚间，绿盟威胁情报中心监测到可疑攻击；

5月13日凌晨，陆续接到来自各地的服务工程师的通报，随后截获恶意样本；

5月13日上午10时，经过梳理验证，预警通告正式发送给各大客户；

5月13日上午10时，绿盟未知威胁分析系统TAC实现WannaCry勒索病毒检测，并随后给出检测报告；

5月13日上午12时，NIPS/NIDS/NF/RSAS产品防护能力已经确认就绪；

5月13日下午1时，安全服务团队经过慎重验证，发布一键加固脚本，当天持续更新3个版本；

5月13日下午1时，各地服务团队开始实施修补加固动作，协助用户升级产品，安装补丁；

5月13日下午5时，NTI威胁情报中心发布WannaCry勒索病毒监测及分析报告；

5月14日，根据威胁情报中心NTI及各地客户反馈的信息，绿盟科技应急指挥中心决定，紧急调配500台入侵防范NIPS和脆弱性评估RSAS设备驰援客户一线为不具备网络边界防范能力的客户免费提供设备，协助客户完成应急处置。

5月16日，根据样本进行深入研究分析，并出具WannaCry勒索软件溯源分析报告；

4.雷锋网：有人说无非就是拔网线、打补丁、关端口之类，业内有人各种方案频出，沦为了公关战，你们怎么看？

绿盟科技：各个安全公司都出方案，都写应急工具是好事。正常情况下，安全厂商都会第一时间发布工具，为更快的服务客户，进行应急响应，但这种紧急开发的工具，很可能不够完善，例如不能适应所有系统，后续会再更新和完善，出另外一些版本。所以每家安全公司都可能出来好几个版本，显得很乱，但对具体客户而言，特别是有固定安全厂商服务的客户，就不会产生坏的影响，也不排除有个别厂商过度宣传。

事实上，对于普通用户而言，拔网线、打补丁、关闭 445 端口基本是足够的，当然，有些领域有其特殊性，有些系统比较老旧，补丁都打不上，要进行另外的设置。

5.雷锋网：目前也有磁盘修复的文件修复思路，但一直也没什么数据可以说明效果，你们怎么看？

绿盟科技：本次事件中的勒索软件采用了文件删除，而非覆盖重写的方式，正常的数据恢复工具，应该可以起到一定的效果。

6.有人认为，根本就没被勒索多少钱，但是助力了中国安全股市的上涨，这种论点会让安全行业很尴尬吗？

绿盟科技：确实没有被勒索多少钱，现在也就折合人民币40多万元。不过，明明3月份微软就发布了相关补丁，许多安全公司也推送了严重漏洞公告，但是全球还有这么多人中招，说明大家不重视基础安全服务。因此，企业用户要重视网络安全，做好基础安全建设，并具备基本的运营能力，个人用户要好好打补丁。