自5月12日起，在全球大范围内爆发的勒索病毒“WannaCry”对我国互联网络也构成了严重安全威胁。中央网信办网络安全协调局负责人15日表示，该勒索病毒仍在传播，但速度已明显放缓，对广大用户而言最有效的应对措施是要安装安全防护软件，及时升级操作系统和各种应用的安全补丁。

　　爆发

　　12日晚，由于受到勒索病毒波及，中石油部分加油站出现了加油卡、银行卡、第三方支付等网络支付无法使用的状况。

　　国家互联网应急中心指出，这种名为“WannaCry”的病毒属于蠕虫式勒索软件，通过利用编号为MS17－010的Windows漏洞（被称为“永恒之蓝”）主动传播感染受害者。

　　截至14日10时30分，国家互联网应急中心已监测到约242.3万个IP地址遭受“永恒之蓝”漏洞攻击；被该勒索软件感染的IP地址数量近3.5万个，其中中国境内IP约1.8万个。

　　国家互联网应急中心专家说，被该勒索软件入侵后，用户主机系统内的文件会被恶意加密，并会在桌面弹出勒索对话框，要求受害者支付价值数百美元的比特币到攻击者的比特币钱包，且赎金金额还会随着时间的推移而增加。

　　“一旦中招，用户主机系统内的照片、图片、文档、压缩包、音频、视频、可执行程序等几乎所有类型的文件都将被加密，加密文件的后缀名被统一修改为‘.WNCRY’。”猎豹移动安全专家说，由于该病毒使用RSA非对称算法，没有私钥就无法解密文件。

　　目前网络安全业界暂未能有效破除该勒索软件的恶意加密行为，用户主机一旦被勒索软件渗透，只能通过重装操作系统或使用专杀工具的方式来清除勒索软件，但若用户重要数据文件没有备份，则很难完全直接恢复。

　　监测发现，国内大量行业企业内网遭到感染，包括教育、企业、医疗、电力、能源、银行、交通等多个行业受到不同程度的影响。

　　国家互联网应急中心专家表示，该勒索软件对于企业局域网或内网的主机系统破坏性尤其严重。“由于大量内网主机没有及时更新补丁或使用XP系统，因此一旦有一台主机被感染，将造成网内大规模扩散。”

　　相关部门已部署防范工作

　　中央网信办网络安全协调局负责人介绍，事件发生后，公安、工信、教育、银行、网信等有关部门立即做了部署，对防范工作提出了要求。奇虎360、腾讯、安天、金山安全、安恒、远望等相关企业迅速开展研究，主动提供安全服务和防范工具。目前，该勒索软件还在传播，但传播速度已经明显放缓。

　　该负责人表示，最有效应对措施是安装安全防护软件，及时升级安全补丁，即使是与互联网不直接相连的内网计算机也应考虑安装和升级安全补丁。作为单位的系统管理技术人员，可采取关闭该勒索软件使用的端口和网络服务等措施。

　　网络安全专家郑文彬表示，非专业人士无法判断电脑是否开放445等端口，可先拔网线阻碍病毒入侵，然后安装补丁，将文件备份后再重新联网。最关键的是尽快将系统升级或使用光盘安装补丁修复漏洞。

　　大量行业企业内网感染

　　跟踪

　　追问1：如何防范升级版勒索病毒？

　　百度网络安全专家谢鑫解释，未更新漏洞补丁的win10以下系统都存在被攻击的风险。病毒还会持续扩散，随着其他黑客了解了原理，勒索病毒种类会变得更多。最保险的方法是关闭445端口，但也会导致一些依赖445端口的软件或功能无法正常运作。

　　阿里云网络安全专家王子凌认为，出现变种的可能性很大，但只要正确安装补丁，按安全机构提醒关闭高危端口，其传播性是可控的。

　　追问2：病毒蔓延速度为何如此快？

　　王子凌解释，这次病毒入侵首当其冲的是高校教育网中暴露445高危端口的电脑，然后进一步扩散到某些机构内网。受攻击机构内网电脑必然是未安装补丁或没关闭445端口，而内网电脑相互之间无安全防护，所以沦陷特别快。

　　谢鑫补充分析道，病毒是上周五下午开始传播，那个时间段基本处于下班状态，上周六开始大范围传播，受到攻击的这些高校、机构等大多数周末都在联网办公。

　　追问3：被加密文件有可能恢复吗？

　　目前加油站系统已恢复，高校被锁文件是否也能解锁？谢鑫说，加油站计算机是展示用的客户端，数据和操作储存在服务器，前端中毒只需重装系统，安装新客户端软件连接服务器就可以重新工作。而高校计算机基本都安装了很多实验程序，硬件里也存储有重要内容，加密后短时间内没法恢复。

　　对于是否可以支付比特币解锁文件，王子凌表示，大部分安全机构都不建议支付赎金，这次入侵不是点对点攻击，黑客也无法完全掌握受感染电脑的情况，交付赎金也可能拿不到解密密钥。

　　回应

　　“相当于美国战斧导弹失窃”

　　美国微软公司总裁兼首席法务官布拉德·史密斯14日指出，12日全球爆发的勒索软件网络攻击凸显了政府大量储存安全漏洞这一问题的严重性。他呼吁各国政府应向信息产品供应商报告安全漏洞，而不是加以储备和利用。

　　在这次网络攻击中，不法分子利用美国国家安全局网络武器库泄漏的一个黑客工具制作了恶意勒索软件。虽然微软在该黑客工具被曝光之前一个月就发布了安全补丁，但仍有大量用户未安装补丁。

　　史密斯说，政府大量储存安全漏洞的问题在2017年显现出来。政府掌握的安全漏洞屡屡被泄漏，造成大规模损害。这就相当于常规武器里美国军方的一些“战斧”巡航导弹失窃。

　　他认为，各国政府在网络空间中也同样遵守物理空间中适用于武器监管的规则。政府应考虑储藏并利用安全漏洞可能对平民造成的损害。政府应向信息产品供应商报告所发现的安全漏洞，而不是储存、售卖和利用这些漏洞。

　　一些信息安全专家指出，如果美国国安局在发现“视窗”的安全漏洞时就向微软披露，而不是据此开发黑客工具，那么这次大规模网络攻击可能就不会发生。

　　工程师小哥拯救了世界？

　　“英雄拯救世界”？在近两天全球性的勒索软件网络攻击事件中，传出了一名英国网络工程师通过注册某个域名而遏制这场灾难的消息，但网络安全专家指出，目前事态只是由于多种原因而稍显缓和，许多网络用户特别是中国用户仍面临风险关口。

　　媒体调查发现，这位迄今没有透露姓名等信息的英国网络工程师运营一家分析恶意软件的网站。他在网站上称，通过分析“想哭”软件发现，它预设如果访问某个域名就自我删除，而这个域名尚未注册，他通过注册这个域名并进行相关操作，成功阻止了“WannaCry”软件蔓延。

　　“这个说法并不全对，域名的作用其实有限，”安天公司安全研究与应急处理中心主任李柏松表示，“一部分已被感染的电脑，确实可以访问这个域名而使勒索软件停止破坏，但当前最大的问题是大量内网节点已被感染，而有些节点无法访问这个域名，并且勒索软件很容易修改出不带有这一特性的新变种。所以，不能指望就靠这个域名拯救世界。”

　　“我们监测到的攻击量和感染量并没有明显回落，只是一个缓慢的持平和下降，”360公司首席安全工程师郑文彬也认为，“随着媒体推动和用户意识到问题，公众和机构的电脑逐渐打上补丁，这才是事态目前稍显缓和的主要原因。”