專家發現勒索病毒真面目：針對Win7量身定做

據安全評級公司BitSight為路透社進行的一項調查顯示，在過去一周時間里遭遇了勒索病毒攻擊的全球電腦中，有三分之二是基于微軟Windows 7操作系統運行、且并未進行最新的安全更新的電腦。

研究人員正努力試圖找出WannaCry勒索病毒的早期痕跡，該軟件在受創最深的中國和俄羅斯市場上仍是一種很活躍的威脅。他們認為，找出“零號病人”有助于抓到這個軟件的始作俑者。

在找到缺陷以限制WannaCry勒索病毒傳播的問題上，研究人員的運氣則要更好一些。

進一步攻擊

安全專家發出警告稱，雖然到目前為止WannaCry軟件已經感染了使用30多萬個互聯網地址的電腦，但預計未來這種軟件將修復自身弱點并進一步發動攻擊，從而導致數量更多的電腦用戶受損，并將造成破壞性更大的后果。

以色列安全公司SpiderLabs Trustwave的安全研究副總裁基夫·馬多爾（Ziv Mador）b對此表示：“有些組織還不知道這種風險，而有些組織則不希望冒險中斷重要的業務流程。另外，有些情況下則是它們缺少人手。”

馬多爾曾長期在微軟擔任安全研究員，他還說道：“等著打補丁的人有很多理由這樣去做，但沒有哪個理由是很好的。”

針對Windows 7系統

英國咨詢公司MWR InfoSecurity的調查和事件響應負責人保羅·普拉特利（Paul Pratley）則表示，WannaCry軟件擁有類似于“蠕蟲病毒”的能力，可在沒有人為干預的情況下感染同一個網絡上的電腦，這看起來像是針對Windows 7操作系統量身定做的。

來自BitSight的數據覆蓋了16萬臺受到WannaCry攻擊的聯網電腦，這些數據顯示被感染的電腦有67%都是基于Windows 7操作系統運行的，但在Windows PC用戶的全球分布中所占比例則不到一半。

與此同時，基于更早版本的Windows操作系統運行的電腦——比如說英國NHS醫療系統使用的基于Windows XP系統的電腦——雖然從個體上來說也很容易遭到攻擊，但其似乎缺乏傳播感染的能力，因此在全球攻擊活動中所扮演的角色要比此前的初步報道小得多。

MWR InfoSecurity和安全威脅情報公司Kryptos Logic的研究人員表示，他們在實驗室測試中發現，在基于Windows XP運行的電腦在遭到攻擊后，不等病毒傳播出去系統就已崩潰。

根據BitSight的估測，在遭到攻擊的所有電腦中，基于Windows 10系統運行的電腦所占比例為15%，而Windows 8.1、Windows 8、Windows XP和Windows Vista則占據了剩余的比例。

微軟安全補丁

安全專家還一致表示，微軟在3月14日發布了一個標記為“緊急”的安全補丁，并措辭強烈地敦促Windows PC用戶安裝這個補丁，而任何在其網絡上的所有電腦都安裝了這個補丁的組織都并未受到攻擊。

另外，遭受了WannaCry攻擊的組織還沒能留意到去年微軟發出的警告，當時該公司敦促用戶停用Windows系統中一種名為SMB的文件共享功能。

一個自稱為“Shadow Brokers”的秘密黑客組織宣稱，美國國家安全局情報處的操作人員曾利用這種功能滲透Windows PC。

馬多爾稱：“很明顯，那些運行了受支持的Windows版本并迅速打了補丁的人并未受到影響。”

微軟自2014年以來一直都面臨批評，原因是該公司撤回了對較早版本的Windows系統的支持——如已有16年歷史的Windows XP等——代之以要求用戶支付很高的年費。

一年之后，英國政府取消了與微軟之間的NHS全國支持合同。

在WannaCry病毒爆發之后，出于免遭進一步批評的考慮，微軟在上周末針對Windows XP及其他較早版本的Windows系統發布了一個免費補丁，此前該公司僅面向付費用戶提供這個補丁。

微軟拒絕就此置評。該公司在上周日呼吁，情報機構應該設法達成一種更好的平衡，一方面保持其對軟件缺陷保密以從事間諜活動和網絡戰的意愿，而另一方面則應與科技公司分享這些缺陷，從而更好地保證互聯網安全。

中俄兩國受損嚴重

在全球范圍內受到WannaCry病毒感染的所有互聯網地址中，有一半在中國和俄羅斯，其占比分別為30%和20%。

據Kryptos Logic向路透社提供的數據顯示，本周中俄兩國受感染的程度再度上升，直到周四都保持在很高水平。

相比之下，美國受到攻擊的互聯網地址的占比則僅為7%，英國、法國和德國則均為2%。

云存儲服務提供商CTERA Networks的CEO利蘭·埃舍爾（Liran Eshel）稱：“此次攻擊表明勒索病毒已經變得多么復雜了，這就迫使那些并未受到影響的組織也開始重新考慮防護戰略了。”

來自諸多安全公司的研究人員都表示，到目前為止他們還沒能找到一種辦法來解鎖被WannaCry鎖定的文件，并表示不管是誰來做這件事情，成功的機會都是很低的。

但賽門鐵克的安全研究人員本周發現，WannaCry代碼中存在的一個漏洞意味著，攻擊者無法利用獨特的比特幣地址來追蹤付款，其結果是“用戶不太可能恢復文件”。

在此次攻擊事件發生6天以后，到周四為止已有不到300筆付款進入了WannaCry勒索賬戶，總價值約為8.3萬美元。