“ 这是第一例蠕虫型勒索病毒软件。 ” 左磊是北京神州绿盟信息安全公司安全研究部总监，他先给这次爆发的勒索软件进行了定义， “ 蠕虫病毒主要是利用网络进行复制和传播，传染途径一般是通过电子邮件引导用户点击，但这次勒索软件又多了一步，利用漏洞快速传播，加密文件以进行勒索 ” 。

左磊介绍，今年 2 月就有人在网上宣称发现了这一恶意软件， 3 月也有人宣布发现。当时还是1.0 版本，不具备蠕虫的性质。微软曾经在 3 月发布过针对漏洞的 6 个补丁，但一个月之后这一病毒软件 2.0 版本出现。左磊从技术角度分析了微软操作系统的漏洞是如何被勒索软件攻击的。这一软件攻击范围很广，许多系统可以传播。

左磊也看到报道，英国一个年轻的 IT 专家通过分析 “ 想哭 ” 软件发现，它预设如果访问某个域名就自我删除，而这个域名尚未注册，他通过注册这个域名并进行相关操作，成功阻止了 “ 想哭 ”软件蔓延。

“ 这个软件 5 月 14 日出现变种，目前已经发现两个变种，第一个变种改动简单已经失效。 ” 左磊说，勒索软件影响范围很大，他们监测到， 截至 5 月 16 日 13 时有 237 笔被勒索的支付，包括 23.5 个 比特币 ，约 5.9 万美元，折合 41 万元人民币，但目前没有人领取。

这是大规模 “ 网络军火 ”

扩散失控事件

安天科技公司副总裁王小丰则把这款新型蠕虫式勒索软件称为 “ 魔窟 ” ： “ 安全从业人员这几天一直都很紧张，进行分析、应对，我们认为这是一起全球大规模 ‘ 网络军火 ’ 扩散失控事件。 ”

他说，一个月前，安天就曾发布有关提示： “ 网络军火 ” 扩散会在全球降低攻击者成本，会带来“ 蠕虫 ” 回潮。此预警不幸言中。好在，此次国内的网络安全企业反应相对迅速。安天在 5 月 12日晚就拿出了分析报告，并发出相关应对预案。并在随后针对勒索软件的防范发布指南，发布了免疫工具。

“‘ 网络军火 ’ 攻击性强、穿透性强，会造成大规模灾难；我们的基础防御水平还很低；要举一反三，现在不是网络更安全了，而是隐蔽性增加了，难以被发现了。 ” 针对此次攻击事件，王小丰有许多思考，他认为今后我们会面临更多 “ 网络军火 ” 攻击和失控的危险， “ 此次暴露出隔离网内漏洞比较多。过于依赖网络边界防护和物理隔离的安全体系，反而内部网络安全可能疏漏较多，系统安全治理工作也任重道远。 ”

中标软件副总经理李震宁在论坛上也代表国产操作系统厂商发表了看法： “ 虽然这次攻击只是针对 windows 系统而不会影响到 Linux ，但这个漏洞是被美国国家安全局掌控，被黑客泄露后发动攻击。还有更多没有被公开的漏洞，这才是这个事件中透射的最可怕问题。我们大量的设备是基于这样的系统构建，系统还有多少漏洞后门不得而知。我国提出要在实施信息领域核心技术设备攻坚战略、在操作系统等研发和应用取得重大突破，就是希望能够构建真正安全、可控的信息技术体系。 ”

此次事件应急处理成功

有运气成分

360 副总裁、首席安全官谭晓生出示了一张数据监测图，显示 5 月 12 日 15 时开始出现大量感染，晚上进入了高发期，有很多机构中招，包括某石油系统和政府某机构网站。 “ 到了 5 月 13 日12 点以后，无论是政府企业还是机构个人都开始进行相关处置，病毒感染开始得到控制。从 5 月14 日早上 7 点到现在，一直平稳，没有出现大规模的感染。 ”

由于 15 日是病毒出现后的第一个工作日， 11 点到 12 点一个小时中，是过去这些时间段里的最高峰，共有 5389 次攻击，一共 105 个用户中招。而在 16 日下午一个小时内则只有几十个。

“ 现在用户中病毒会继续传播但不会加密文件，损害基本不存在了。 ” 谭晓生说，这是因为那个英国小伙子注册了域名，把它的危害控制住了。

360 的实时监测数据也证明了教育网不是此次事件的重灾区。截至 5 月 16 日零点， 360 安全卫士监测到的数据显示，教育网只占国内全部受感染的 0.63% 。此前的报道，很大程度是由于媒体的数据误读和错误解读。

谭晓生认为这次勒索软件的传播得到及时控制，有运气成分在其中。 “ 首先是安全产品厂家反应迅速，各个部门沟通及时，政府连下 3 个通告，运营商对端口进行封闭，很多企事业单位、机构迅速关闭了 445 端口，也阻碍了传播。微软也特例给 XP 和 2003 系统出了补丁，虽然晚了一点点，但是还是解决了不少问题。 ”