卡巴斯基发布WannaCry的最新进展

近日勒索病毒WannaCry的爆发，使得全球大量的企业和组织遭受到大规模攻击。5月22日下午，卡巴斯基媒体见面会在北京召开，卡巴斯基实验室大中华区总经理郑启良与卡巴斯基实验室亚太区病毒中心负责人董岩就当下热议的Wannacry目前的发展情况给出了指导性建议。

“卡巴斯基一直都在关注着安全领域，我们很低调。”董岩黑色幽默的开场令人忍俊不禁，“目前卡巴斯基被Gartner评选为终端安全保护的‘领导者，同时稳居全球四大端点安全解决案供应商之一。”卡巴斯基实验室安全研究人员持续追踪Wannacry威胁的最新演化情况：截止到5月15日，该恶意软件的变种总数量仍然不明，但周末期间，出现了两种值得注意的最新变种。董岩并不认为这些变种是Wannacry的原作者编写的，这些变种很可能是其他网络罪犯在此基础上进行的修改，利用这次攻击达到自己的目的。

第一种变种从14日凌晨约2点开始传播，该变種经过修改后，会连接与原版不同的域名。截止到目前，卡巴斯基实验室已经发现了三个受害者，位于俄罗斯和巴西。第二种变种也是在周末出现的，而且似乎被移除了Kill Switch. 这个变种似乎无法进行传播，原因可能是它本身包含bug。

卡巴斯基通过深入分析后认为，WannaCry勒索软件可能是从5月11日开始传播的，然而目前很难预估全部的感染数量。郑启良表示，卡巴斯基遥测的数据显示为超过45000名卡巴斯基实验室客户拦截了攻击，但这仅代表了全部攻击数量中的一部分。

大多数WannaCry版本中都包含KillSwitch，而MalwareTech利用其创建了一个sinkhole，帮助重定向受害者的流量。通过sinkhole数据可以更精确地了解全球的感染情况。目前MalwareTech的sinkhole已经收集到约200000次来自“KillSwitch”代码的重定向。需要指出的是，以上数据还不包括企业网络内的感染，因为这些计算机需要利用代理服务器才能够连接互联网，这意味着真正的受害者数量可能会更多。

卡巴斯基实验室在5月15日检测到的WannaCry攻击数量同5月12日相比，下降了6倍。这表明这次的攻击好像逐渐得到了控制。

卡巴斯基实验室建议采取如下措施降低感染风险：

安装微软发布的官方补丁，关闭攻击所使用的漏洞（Windows XP，Windows 81和Windows Server 2003同样有可用的补丁）。

确保网络中的所有节点都启用安全解决方案。

对于没有使用卡巴斯基实验室产品的用户，建议安装企业级免费的卡巴斯基反勒索软件工具（KART）。

如果正在使用卡巴斯基实验室解决方案，请确保解决方案包含系统监控组件（一种行为主动检测模块），并启用该功能。

尽快地执行卡巴斯基实验室解决方案的关键区域扫描任务，以检测可能存在的感染（如果该功能没有被关闭，则会在24小时内自动检测到感染）。

如果检测到MEM：Trojan.win64.EquationDrug.gen，请重启系统。

使用专门定制的威胁情报报告服务，了解有关最新攻击的情报。

Wannacry还能够攻击嵌入系统。卡巴斯基建议为嵌入系统安装专用的安全解决方案，这些解决方案应当同时启用反恶意软件保护和默认拒绝功能。