圍繞近日備受關(guān)注的勒索者蠕蟲病毒W(wǎng)annaCry，記者就大家關(guān)心的問題采訪了專注于威脅檢測防御技術(shù)的互聯(lián)網(wǎng)安全廠商安天，希望為廣大互聯(lián)網(wǎng)用戶破解部分的疑團(tuán)。

資料圖：被勒索病毒攻擊后電腦彈出的窗口。騰訊反病毒實(shí)驗(yàn)室供圖

1.單純關(guān)閉電腦是否能避免被感染?

可以避免被感染，但電腦早晚是要用的，建議還是盡快更新補(bǔ)丁，開啟防火墻和關(guān)閉445端口。

2.銀行系統(tǒng)是否有感染的情況?

目前已經(jīng)發(fā)現(xiàn)了ATM機(jī)被感染的案例，銀行內(nèi)部也有很多使用Windows系統(tǒng)的設(shè)備，如果沒有做好相關(guān)防護(hù)工作，就有被“WannaCry”勒索軟件感染的風(fēng)險(xiǎn)。

3.用無線路由上網(wǎng)是否會中毒?

不能確保無線網(wǎng)絡(luò)運(yùn)營商一定屏蔽了相關(guān)端口，也不能保證使用統(tǒng)一無線路由的其他節(jié)點(diǎn)此前未曾被感染。因此無論使用何種上網(wǎng)方式都應(yīng)該做好安全漏洞修補(bǔ)和安全策略加固工作。

4.手機(jī)為電腦開熱點(diǎn)會安全點(diǎn)嗎?

手機(jī)開熱點(diǎn)的話，由于手機(jī)是一個外部網(wǎng)關(guān)，使電腦獲得一個內(nèi)部IP，不會直接被外部感染節(jié)點(diǎn)掃描到。但這也可能導(dǎo)致手機(jī)設(shè)備暴露后，帶來其他的安全風(fēng)險(xiǎn)。

5.家庭網(wǎng)絡(luò)有風(fēng)險(xiǎn)嗎?是否只針對企業(yè)和教育網(wǎng)等?

從目前所分析出的該病毒的傳播策略上看，并沒有明確的定向性，也就是說，只要你的終端可能被病毒感染的節(jié)點(diǎn)掃描到就會被感染。

6.有用戶反映手機(jī)被感染了?

截止到5月13日下午3點(diǎn)，安天未監(jiān)控到該家族病毒有移動端的版本。

7.勒索者蠕蟲病毒是否能U盤傳播?

根據(jù)目前的分析，我們認(rèn)為準(zhǔn)確的表達(dá)是：由于勒索者蠕蟲病毒運(yùn)行后，可能會將一個顯示敲詐信息的程序模塊“@WanaDecryptor@.exe”拷貝到當(dāng)時(shí)插入電腦的U盤上，但這個程序不會導(dǎo)致二次傳播。

360、安天、金山等有網(wǎng)絡(luò)安全公司今天都在加班。

一款名為“WannaCry”的病毒開始在全球范圍內(nèi)爆發(fā)。全球99個國家遭遇攻擊，24小時(shí)內(nèi)監(jiān)測到的攻擊次數(shù)超過10W+。國內(nèi)的重災(zāi)區(qū)是校園系統(tǒng)、醫(yī)療系統(tǒng)、能源行業(yè)，以及公安辦事系統(tǒng)。

國內(nèi)有一部分吃瓜群眾已經(jīng)切身感受到了WannaCry的影響。

有人在北京的派出所辦業(yè)務(wù)排了一個多小時(shí)隊(duì)，結(jié)果被告知系統(tǒng)被攻擊癱瘓了;有人在加油站發(fā)現(xiàn)自助繳費(fèi)系統(tǒng)斷網(wǎng)，支付寶、微信支付等聯(lián)網(wǎng)支付都無法使用，他身上卻沒有帶現(xiàn)金。浙江傳媒大學(xué)、中國計(jì)量學(xué)院等多所國內(nèi)大學(xué)的校園網(wǎng)也遭受攻擊。

多位安全公司都表示，這個病毒可防不可解。目前只有360公布了一個急救解密方案，可以部分解密被加密的文件，不過存在概率。

大約是基于這個原因，病毒發(fā)布者表現(xiàn)得非常猖狂。他給中招用戶留下了一封洋洋得意的勒索信，要求3天之內(nèi)付款，超過3天費(fèi)用翻倍，超過1周則被加密的資料將永遠(yuǎn)無法恢復(fù)。

大多數(shù)公司似乎還沒有按照他的意愿行事。在黑客留下的其中一個比特幣收款賬戶里，目前共完成30次交易，4.62枚比特幣。按照現(xiàn)在的比特幣價(jià)格，總價(jià)大約4.75萬元人民幣。不過，用戶付款頻率有明顯加快的趨勢，從5月13日晚間9點(diǎn)半后一個小時(shí)內(nèi)新增8次交易。有行業(yè)人士認(rèn)為，贖金支付的高峰期還沒有到來，14日起贖金規(guī)模將有大幅增長。

根據(jù)流出的黑客與被攻擊公司的還價(jià)郵件，這位黑客還十分清楚中國目前的政治大事，并且頗有“政治覺悟”。

對于這次WannaCry的攻擊，目前有兩個群體是比較安全的。一是Mac用戶，這次的攻擊是針對windows系統(tǒng)而進(jìn)行的。二是大多數(shù)windows個人用戶，其中不包括通過校園網(wǎng)等局域網(wǎng)接入網(wǎng)絡(luò)的用戶。

對于內(nèi)網(wǎng)成為重災(zāi)區(qū)的原因，大多數(shù)安全公司將其歸咎為445端口。國內(nèi)的情況是，個人用戶的445網(wǎng)絡(luò)端口大多數(shù)已經(jīng)被網(wǎng)絡(luò)運(yùn)營商屏蔽掉，但大局域網(wǎng)和企業(yè)內(nèi)網(wǎng)中仍有很多開放端口。

那么，445是什么呢?445端口的主要特點(diǎn)是，支持文件共享。你在企業(yè)內(nèi)網(wǎng)、校園網(wǎng)中看到的訪問共享文件夾和共享打印機(jī)，就是445端口在起作用。但它暴露給黑客的危機(jī)也是很大的，他們?nèi)肭殖晒螅梢怨蚕?、加密、格式化你的硬盤。

在此基礎(chǔ)上，安全大數(shù)據(jù)公司微步在線給出了更詳細(xì)的解釋。他們對樣本進(jìn)行分析后，發(fā)現(xiàn)當(dāng)前樣本中存在一個秘密開關(guān)，是攻擊行為的第一步。

WannaCry樣本在用戶電腦中啟動后，第一步會首先請求如下域名：www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com。

如果請求失敗，則執(zhí)行文件加密;如果請求成功，則放棄加密并直接退出。他們也提醒用戶，不要在防火墻、IPS等設(shè)備攔截上述域名的訪問。

5月12日，這個開關(guān)域名被安全機(jī)構(gòu)接管。但在此之后，仍有大量電腦被執(zhí)行加密。微步在線給出的原因，是這些機(jī)器沒有外網(wǎng)訪問權(quán)限，因此WannaCry請求開關(guān)域名失敗，引發(fā)加密行為。

再加上，WannaCry還具備蠕蟲功能，很容易在內(nèi)網(wǎng)中引起連鎖效應(yīng)。如果內(nèi)網(wǎng)沒有互聯(lián)網(wǎng)訪問權(quán)限，一臺機(jī)器的失守，就很可能引起全部機(jī)器被攻陷。

一位來自360云安全團(tuán)隊(duì)Marvel Team的工程師解釋稱，這個秘密開關(guān)可以理解為黑客所設(shè)置的控制閥，或者是他的一把鎖。如果該域名未被接管，一旦他關(guān)閉該域名，造成用戶全部請求失敗，將引發(fā)一場更大的腥風(fēng)血雨。

他透露，360安全部門昨晚集體通宵。首發(fā)了目前全網(wǎng)第一款勒索蠕蟲病毒文件恢復(fù)工具，鏈接為https://dl.360safe.com/recovery/RansomRecovery.exe 。有可能恢復(fù)一定比例文件的急救方案，成功概率會受到文件數(shù)量等多重因素影響。

巴菲特一周前在伯克希爾哈撒韋股東大會上剛說過，“我對大規(guī)模殺傷武器是很悲觀的，但我認(rèn)為發(fā)生核戰(zhàn)爭的可能性要低于生化武器與網(wǎng)絡(luò)攻擊。”

不幸，他言中了?；蛟S有一天，速度與激情8里自動駕駛車輛被集中攻擊的場景，也會成為現(xiàn)實(shí)。