勒索蠕虫病毒周一见：最新数据以及你不知道的几个事实

本篇文章2405字，读完约6分钟

5月12日，“永恒的蓝色”讹诈蠕虫开始显现迹象，并于5月12日晚开始大规模爆发。5月13日上午8点，《雷锋》的编辑发现360和安田公司已经发布了相关预警和建议措施。5月13日上午，腾讯、智超于闯、阿里巴巴云等公司也向雷锋发送了相关解决方案信息。5月14日，360公司首次发布了针对ransomware蠕虫的文件恢复工具，但它没有直接破解加密算法，而是使用了磁盘文件恢复的思想。5月14日晚，一种新的勒索蠕虫变体wannacry 2.0出现了。

5月15日，在引人注目的周一，反应迅速的360公司在下午2点40分左右举行了一次关于软件蠕虫最新情况的吹风会，并接受了包括雷锋在内的众多媒体的采访。

以下是雷锋获得的最新消息。(公开号码:雷锋。com)的编辑，以及读者之前可能没有注意到的知识点:

1.勒索蠕虫“周一见”，很多用户在周一被抓了吗？360安全产品负责人孙晓军:从个人用户的角度来看，勒索蠕虫的感染率已经放缓。在360名保安的5亿用户中，绝大多数用户在3月份修复了漏洞，但未受影响。大约200，000个未打补丁的用户的计算机受到了病毒的攻击，几乎所有的计算机都被截获了。

360企业安全总裁吴云坤:今天我们很多工程师都没有来公司工作，而是直接去客户公司进行现场服务。在过去的几天里，我已经接到了20，000多个相关的客户服务电话。

一家著名的银行在周六早上6: 30成立了一个反应小组，分发了免疫工具，并在早上8: 30部署了国家保护战略。从网络、服务器和终端到今天上午10: 30没有死角，整个银行也没有感染；13日下午，南宁网络办公室与国家发改委信息中心、南宁市公安局网络安全支队召开紧急会议。网络安全支队提供了第七套360套解决方案，网络安全支队刻制了600张光盘，由国家发改委、网络办和网络安全支队分发给全市所有政府企事业单位。南宁市病毒感染率极低。

从我们的实际反馈来看，已经证明所有以前的处置和响应工作都是有效的。根据360威胁情报中心收到的帮助信息，周一只有个别机构和企业发生了零星的计算机感染。

2.此前，互联网称许多大学、政府和企业用户都受到了这种勒索蠕虫的攻击。数据是什么？360安全产品负责人孙晓军:根据病毒网络活动特征监测统计(覆盖非360用户)，5月12日至13日期间，我国有2.9万多名入侵者感染了wncry 1.0 ransomware，其中受重视的教育科研用户占14.7%，4316例。各行业的具体分布如下:

3.360公司是第一个发布ransomware蠕虫文件恢复工具的公司。文件恢复的情况如何？360安全产品负责人孙晓军:离线修复软件的下载次数约为50万次。

360核心安全技术总经理郑:具体文件的恢复取决于用户的处理时间和系统条件。

4.关于敲诈蠕虫，有几个事实你不知道:郑，360核心安全技术总经理；

国家安全局曾经通过“永恒的蓝色”武器控制了中东几乎所有的银行和金融机构。

外国研究机构已经证实，这些文件在支付赎金后可以解密。截至5月15日上午，已有136人支付了赎金，总价值约为3.6万美元。如果三天后赎金仍未支付，价格将升至600美元。离最早感染者的赎金上升还有几个小时。目前，仍有一些感染者等着看，希望有破解工具。

事实上，有三波“想哭”的软件:版本0.1:黑客通过网络武器传播，敲诈用户，没有蠕虫功能；1.0版:带蠕虫功能，大规模传播，主要从5月12日到5月14日传播；版本2.0:“想哭”软件取代并取消了“自杀开关”。所谓的“自杀开关”是病毒作者为了防止蠕虫爆发而不受控制地设置的“开关”。如果一个特定的域名被检查注册，它将不会继续被感染。5月14日，“想哭”2.0更名，并很快注册。5月14日，“想哭”2.0，第二个变种，取消了自杀开关，并继续传播。

这个事件是国安局的“大麻”吗？如果国家安全局不利用这个漏洞，其他人也会利用它，但是在这个工具被公开后，国家安全局应该及时通知公众。

360企业安全总裁吴云坤:内部网不是一个孤立的区域！

这一事件中的大多数新成员都是企业和机构内部网以及物理隔离网络。这一事件证明，孤立不是万灵药，任何事情都可以在没有孤立的情况下完成。内部网是孤立的，应该是一个安全的孤岛。然而，如果没有安全措施，一旦它被打破，它将立即下降。因此，在隔离网络中应该采取更有效的安全措施。内部网不容易打补丁，有些一旦打了补丁就会崩溃，所以360推出了内部网的“热补丁”，这是一种通用的免疫措施。

其他重要数据和信息1。今天，欧洲的灾难形势可能更加严重。

与国内灾难的延迟相比，Chinanews.com 5月15日指出，据国外媒体报道，欧洲刑警组织指出，截至欧洲时间14日上午，多达150个国家的20万台计算机遭到了“想哭”软件的攻击。预计到15日，人们将回到公司工作，这一数字还会进一步增加。

2.对不同样品进行了分析。

5月15日上午，NSFOCUS送来了雷锋。com一份关于ransomware蠕虫最新样本的分析报告。报告指出:

5月14日，卡巴斯基研究人员声称，他们发现了wannacry的变体样本，其中不包括域名切换，同时修改了样本执行过程中的跳转，取消了切换域名的退出机制，并执行了后续的恶意操作，而不管切换域名是否可访问。我们密切关注这一变异事件，并尽快获取样本并进行分析。

通过与原始蠕虫样本的初步分析和对比分析，NSFOCUS认为目前收集的两个变种应该直接在原始蠕虫样本上进行二进制修改，而不是基于源代码进行编译。不排除有些人也用这种方法产生其他品种来造成更大的损害。

在保护方面，变种样本仍然通过ms17-010漏洞和doubleplusar后门传播，没有新的传播方式。

3.5月15日，金山安全、腾讯等厂商相继推出针对ransomware蠕虫的文件恢复工具。

雷锋原创文章。严禁擅自转载。详情请参考转载说明。

来源：搜狐微门户