“ 這是第一例蠕蟲型勒索病毒軟件。 ” 左磊是北京神州綠盟信息安全公司安全研究部總監，他先給這次爆發的勒索軟件進行了定義， “ 蠕蟲病毒主要是利用網絡進行復制和傳播，傳染途徑一般是通過電子郵件引導用戶點擊，但這次勒索軟件又多了一步，利用漏洞快速傳播，加密文件以進行勒索 ” 。

左磊介紹，今年 2 月就有人在網上宣稱發現了這一惡意軟件， 3 月也有人宣布發現。當時還是1.0 版本，不具備蠕蟲的性質。微軟曾經在 3 月發布過針對漏洞的 6 個補丁，但一個月之后這一病毒軟件 2.0 版本出現。左磊從技術角度分析了微軟操作系統的漏洞是如何被勒索軟件攻擊的。這一軟件攻擊范圍很廣，許多系統可以傳播。

左磊也看到報道，英國一個年輕的 IT 專家通過分析 “ 想哭 ” 軟件發現，它預設如果訪問某個域名就自我刪除，而這個域名尚未注冊，他通過注冊這個域名并進行相關操作，成功阻止了 “ 想哭 ”軟件蔓延。

“ 這個軟件 5 月 14 日出現變種，目前已經發現兩個變種，第一個變種改動簡單已經失效。 ” 左磊說，勒索軟件影響范圍很大，他們監測到， 截至 5 月 16 日 13 時有 237 筆被勒索的支付，包括 23.5 個 比特幣 ，約 5.9 萬美元，折合 41 萬元人民幣，但目前沒有人領取。

這是大規模 “ 網絡軍火 ”

擴散失控事件

安天科技公司副總裁王小豐則把這款新型蠕蟲式勒索軟件稱為 “ 魔窟 ” ： “ 安全從業人員這幾天一直都很緊張，進行分析、應對，我們認為這是一起全球大規模 ‘ 網絡軍火 ’ 擴散失控事件。 ”

他說，一個月前，安天就曾發布有關提示： “ 網絡軍火 ” 擴散會在全球降低攻擊者成本，會帶來“ 蠕蟲 ” 回潮。此預警不幸言中。好在，此次國內的網絡安全企業反應相對迅速。安天在 5 月 12日晚就拿出了分析報告，并發出相關應對預案。并在隨后針對勒索軟件的防范發布指南，發布了免疫工具。

“‘ 網絡軍火 ’ 攻擊性強、穿透性強，會造成大規模災難；我們的基礎防御水平還很低；要舉一反三，現在不是網絡更安全了，而是隱蔽性增加了，難以被發現了。 ” 針對此次攻擊事件，王小豐有許多思考，他認為今后我們會面臨更多 “ 網絡軍火 ” 攻擊和失控的危險， “ 此次暴露出隔離網內漏洞比較多。過于依賴網絡邊界防護和物理隔離的安全體系，反而內部網絡安全可能疏漏較多，系統安全治理工作也任重道遠。 ”

中標軟件副總經理李震寧在論壇上也代表國產操作系統廠商發表了看法： “ 雖然這次攻擊只是針對 windows 系統而不會影響到 Linux ，但這個漏洞是被美國國家安全局掌控，被黑客泄露后發動攻擊。還有更多沒有被公開的漏洞，這才是這個事件中透射的最可怕問題。我們大量的設備是基于這樣的系統構建，系統還有多少漏洞后門不得而知。我國提出要在實施信息領域核心技術設備攻堅戰略、在操作系統等研發和應用取得重大突破，就是希望能夠構建真正安全、可控的信息技術體系。 ”

此次事件應急處理成功

有運氣成分

360 副總裁、首席安全官譚曉生出示了一張數據監測圖，顯示 5 月 12 日 15 時開始出現大量感染，晚上進入了高發期，有很多機構中招，包括某石油系統和政府某機構網站。 “ 到了 5 月 13 日12 點以后，無論是政府企業還是機構個人都開始進行相關處置，病毒感染開始得到控制。從 5 月14 日早上 7 點到現在，一直平穩，沒有出現大規模的感染。 ”

由于 15 日是病毒出現后的第一個工作日， 11 點到 12 點一個小時中，是過去這些時間段里的最高峰，共有 5389 次攻擊，一共 105 個用戶中招。而在 16 日下午一個小時內則只有幾十個。

“ 現在用戶中病毒會繼續傳播但不會加密文件，損害基本不存在了。 ” 譚曉生說，這是因為那個英國小伙子注冊了域名，把它的危害控制住了。

360 的實時監測數據也證明了教育網不是此次事件的重災區。截至 5 月 16 日零點， 360 安全衛士監測到的數據顯示，教育網只占國內全部受感染的 0.63% 。此前的報道，很大程度是由于媒體的數據誤讀和錯誤解讀。

譚曉生認為這次勒索軟件的傳播得到及時控制，有運氣成分在其中。 “ 首先是安全產品廠家反應迅速，各個部門溝通及時，政府連下 3 個通告，運營商對端口進行封閉，很多企事業單位、機構迅速關閉了 445 端口，也阻礙了傳播。微軟也特例給 XP 和 2003 系統出了補丁，雖然晚了一點點，但是還是解決了不少問題。 ”