卡巴斯基發布WannaCry的最新進展

近日勒索病毒WannaCry的爆發，使得全球大量的企業和組織遭受到大規模攻擊。5月22日下午，卡巴斯基媒體見面會在北京召開，卡巴斯基實驗室大中華區總經理鄭啟良與卡巴斯基實驗室亞太區病毒中心負責人董巖就當下熱議的Wannacry目前的發展情況給出了指導性建議。

“卡巴斯基一直都在關注著安全領域，我們很低調。”董巖黑色幽默的開場令人忍俊不禁，“目前卡巴斯基被Gartner評選為終端安全保護的‘領導者，同時穩居全球四大端點安全解決案供應商之一。”卡巴斯基實驗室安全研究人員持續追蹤Wannacry威脅的最新演化情況：截止到5月15日，該惡意軟件的變種總數量仍然不明，但周末期間，出現了兩種值得注意的最新變種。董巖并不認為這些變種是Wannacry的原作者編寫的，這些變種很可能是其他網絡罪犯在此基礎上進行的修改，利用這次攻擊達到自己的目的。

第一種變種從14日凌晨約2點開始傳播，該變種經過修改后，會連接與原版不同的域名。截止到目前，卡巴斯基實驗室已經發現了三個受害者，位于俄羅斯和巴西。第二種變種也是在周末出現的，而且似乎被移除了Kill Switch. 這個變種似乎無法進行傳播，原因可能是它本身包含bug。

卡巴斯基通過深入分析后認為，WannaCry勒索軟件可能是從5月11日開始傳播的，然而目前很難預估全部的感染數量。鄭啟良表示，卡巴斯基遙測的數據顯示為超過45000名卡巴斯基實驗室客戶攔截了攻擊，但這僅代表了全部攻擊數量中的一部分。

大多數WannaCry版本中都包含KillSwitch，而MalwareTech利用其創建了一個sinkhole，幫助重定向受害者的流量。通過sinkhole數據可以更精確地了解全球的感染情況。目前MalwareTech的sinkhole已經收集到約200000次來自“KillSwitch”代碼的重定向。需要指出的是，以上數據還不包括企業網絡內的感染，因為這些計算機需要利用代理服務器才能夠連接互聯網，這意味著真正的受害者數量可能會更多。

卡巴斯基實驗室在5月15日檢測到的WannaCry攻擊數量同5月12日相比，下降了6倍。這表明這次的攻擊好像逐漸得到了控制。

卡巴斯基實驗室建議采取如下措施降低感染風險：

安裝微軟發布的官方補丁，關閉攻擊所使用的漏洞（Windows XP，Windows 81和Windows Server 2003同樣有可用的補丁）。

確保網絡中的所有節點都啟用安全解決方案。

對于沒有使用卡巴斯基實驗室產品的用戶，建議安裝企業級免費的卡巴斯基反勒索軟件工具（KART）。

如果正在使用卡巴斯基實驗室解決方案，請確保解決方案包含系統監控組件（一種行為主動檢測模塊），并啟用該功能。

盡快地執行卡巴斯基實驗室解決方案的關鍵區域掃描任務，以檢測可能存在的感染（如果該功能沒有被關閉，則會在24小時內自動檢測到感染）。

如果檢測到MEM：Trojan.win64.EquationDrug.gen，請重啟系統。

使用專門定制的威脅情報報告服務，了解有關最新攻擊的情報。

Wannacry還能夠攻擊嵌入系統。卡巴斯基建議為嵌入系統安裝專用的安全解決方案，這些解決方案應當同時啟用反惡意軟件保護和默認拒絕功能。