近日“風(fēng)靡全球”的WannaCry（我們姑且稱之為香菇病毒）短短兩天之內(nèi)就感染了全球99個(gè)國(guó)家超過(guò)20萬(wàn)臺(tái)電腦，WannaCry基于NSA泄露的WindowsSMB零日漏洞（代號(hào)EternalBlue）的代碼開發(fā)，而EternalBlue僅僅是一個(gè)月前黑客組織“影子經(jīng)紀(jì)人”（Shadow Broker）曝光的NSA的黑客武器庫(kù)漏洞中的一個(gè)。

“停止開關(guān)”并不能阻止病毒蔓延

雖然在WannaCry爆發(fā)當(dāng)天，安全研究人員MalwareTech無(wú)意中發(fā)現(xiàn)了WannaCry代碼中的“停止開關(guān)”——一個(gè)域名，通過(guò)注冊(cè)這個(gè)域名成功激活了病毒的傳播中止機(jī)制，但這并不意味著這場(chǎng)全球性安全災(zāi)難的終結(jié)。

卡巴斯基全球分析團(tuán)隊(duì)總監(jiān)Costin Raiu目前已經(jīng)確認(rèn)WannCry2.0變種已經(jīng)現(xiàn)身，不再受“停止開關(guān)”控制。在接受Motherboard采訪時(shí)，Raiu明確表示從昨日起已經(jīng)檢測(cè)到可以繞過(guò)域名停止開關(guān)的多個(gè)變種。

另外一位安全專家Mattew Hickey表示：

下一波WannaCry攻擊不可避免，目前的補(bǔ)丁只是權(quán)宜之計(jì)，病毒擴(kuò)散還將持續(xù)，而且未來(lái)數(shù)周、數(shù)月內(nèi)，還將出現(xiàn)大量變種，因此最根本的辦法就是給計(jì)算機(jī)及時(shí)更新補(bǔ)丁。

除了變種之外，WannaCry的攻擊和傳播方式也有可能發(fā)生變化，目前WannaCry利用SMB協(xié)議漏洞掃描互聯(lián)網(wǎng)IP遠(yuǎn)程劫持漏洞電腦，但是未來(lái)WannaCry很有可能會(huì)借鑒傳統(tǒng)勒索軟件傳播途徑：大規(guī)模釣魚郵件。（編者按：根據(jù)最新報(bào)告，40%的惡意軟件都通過(guò)釣魚郵件傳播）

根據(jù)Redsocks對(duì)Wannacry代碼中比特幣支付地址的跟蹤分析，目前WannaCry攻擊者只收獲了不到3萬(wàn)美元贖金，我們很難想象攻擊者會(huì)善罷甘休。

做好打持久戰(zhàn)準(zhǔn)備

發(fā)現(xiàn)“停止開關(guān)”的MalwareTech在博客中警告用戶：

攻擊者只需要更改少量代碼就可再次發(fā)起攻擊，因此當(dāng)務(wù)之急就是更新系統(tǒng)補(bǔ)丁。

對(duì)于用戶來(lái)說(shuō)，病急亂投醫(yī)反而有可能給其他攻擊者留下機(jī)會(huì)，例如下載的檢測(cè)工具或補(bǔ)丁本身存在問(wèn)題，因此目前到微軟官網(wǎng)更新補(bǔ)丁依然是我們建議的最為穩(wěn)妥的渠道。

目前企業(yè)級(jí)用戶的防范主要包括以下三件事：

一、更新微軟官方補(bǔ)丁。目前微軟已經(jīng)已經(jīng)在官網(wǎng)發(fā)布了winxp_sp3 至 win10、win2003 至 win2016 的全系列補(bǔ)丁。點(diǎn)此前往。

二、停用SMBv1。為了防范未來(lái)可能的攻擊，我們還建議企業(yè)和用戶立刻停用SMBv1（微軟官方建議方法）。

三、保持“開關(guān)域名”訪問(wèn)通暢。 此外，目前全球頂尖安全專家已經(jīng)在Wannacry及其變種中發(fā)現(xiàn)了兩個(gè)“開關(guān)域名”，企業(yè)系統(tǒng)管理員們需要確保這兩個(gè)域名可以在80端口被訪問(wèn)（wannacry并不會(huì)監(jiān)測(cè)是否使用了代理）。

www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com

www[.]ifferfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com

其他病毒監(jiān)測(cè)、檢測(cè)、抑制和處置工具：

關(guān)于Wannacry變種目前比較及時(shí)和權(quán)威的博客報(bào)道

本文最后更新于2017年5月15日