卡巴斯基發(fā)布WannaCry的最新進(jìn)展

近日勒索病毒W(wǎng)annaCry的爆發(fā)，使得全球大量的企業(yè)和組織遭受到大規(guī)模攻擊。5月22日下午，卡巴斯基媒體見面會在北京召開，卡巴斯基實驗室大中華區(qū)總經(jīng)理鄭啟良與卡巴斯基實驗室亞太區(qū)病毒中心負(fù)責(zé)人董巖就當(dāng)下熱議的Wannacry目前的發(fā)展情況給出了指導(dǎo)性建議。

“卡巴斯基一直都在關(guān)注著安全領(lǐng)域，我們很低調(diào)。”董巖黑色幽默的開場令人忍俊不禁，“目前卡巴斯基被Gartner評選為終端安全保護(hù)的‘領(lǐng)導(dǎo)者，同時穩(wěn)居全球四大端點安全解決案供應(yīng)商之一。”卡巴斯基實驗室安全研究人員持續(xù)追蹤Wannacry威脅的最新演化情況：截止到5月15日，該惡意軟件的變種總數(shù)量仍然不明，但周末期間，出現(xiàn)了兩種值得注意的最新變種。董巖并不認(rèn)為這些變種是Wannacry的原作者編寫的，這些變種很可能是其他網(wǎng)絡(luò)罪犯在此基礎(chǔ)上進(jìn)行的修改，利用這次攻擊達(dá)到自己的目的。

第一種變種從14日凌晨約2點開始傳播，該變種經(jīng)過修改后，會連接與原版不同的域名。截止到目前，卡巴斯基實驗室已經(jīng)發(fā)現(xiàn)了三個受害者，位于俄羅斯和巴西。第二種變種也是在周末出現(xiàn)的，而且似乎被移除了Kill Switch. 這個變種似乎無法進(jìn)行傳播，原因可能是它本身包含bug。

卡巴斯基通過深入分析后認(rèn)為，WannaCry勒索軟件可能是從5月11日開始傳播的，然而目前很難預(yù)估全部的感染數(shù)量。鄭啟良表示，卡巴斯基遙測的數(shù)據(jù)顯示為超過45000名卡巴斯基實驗室客戶攔截了攻擊，但這僅代表了全部攻擊數(shù)量中的一部分。

大多數(shù)WannaCry版本中都包含KillSwitch，而MalwareTech利用其創(chuàng)建了一個sinkhole，幫助重定向受害者的流量。通過sinkhole數(shù)據(jù)可以更精確地了解全球的感染情況。目前MalwareTech的sinkhole已經(jīng)收集到約200000次來自“KillSwitch”代碼的重定向。需要指出的是，以上數(shù)據(jù)還不包括企業(yè)網(wǎng)絡(luò)內(nèi)的感染，因為這些計算機需要利用代理服務(wù)器才能夠連接互聯(lián)網(wǎng)，這意味著真正的受害者數(shù)量可能會更多。

卡巴斯基實驗室在5月15日檢測到的WannaCry攻擊數(shù)量同5月12日相比，下降了6倍。這表明這次的攻擊好像逐漸得到了控制。

卡巴斯基實驗室建議采取如下措施降低感染風(fēng)險：

安裝微軟發(fā)布的官方補丁，關(guān)閉攻擊所使用的漏洞（Windows XP，Windows 81和Windows Server 2003同樣有可用的補丁）。

確保網(wǎng)絡(luò)中的所有節(jié)點都啟用安全解決方案。

對于沒有使用卡巴斯基實驗室產(chǎn)品的用戶，建議安裝企業(yè)級免費的卡巴斯基反勒索軟件工具（KART）。

如果正在使用卡巴斯基實驗室解決方案，請確保解決方案包含系統(tǒng)監(jiān)控組件（一種行為主動檢測模塊），并啟用該功能。

盡快地執(zhí)行卡巴斯基實驗室解決方案的關(guān)鍵區(qū)域掃描任務(wù)，以檢測可能存在的感染（如果該功能沒有被關(guān)閉，則會在24小時內(nèi)自動檢測到感染）。

如果檢測到MEM：Trojan.win64.EquationDrug.gen，請重啟系統(tǒng)。

使用專門定制的威脅情報報告服務(wù)，了解有關(guān)最新攻擊的情報。

Wannacry還能夠攻擊嵌入系統(tǒng)。卡巴斯基建議為嵌入系統(tǒng)安裝專用的安全解決方案，這些解決方案應(yīng)當(dāng)同時啟用反惡意軟件保護(hù)和默認(rèn)拒絕功能。