6月27日在歐洲爆發的Petya勒索病毒,在短時間內襲擊包括烏克蘭、俄羅斯、丹麥、英國等在內的9國的主機。中國的用户目前是否受到感染?是否會遭受大規模攻擊?
“截止目前,Petya勒索病毒的中國主機感染率在百萬分之一級別,且在中國缺乏規模化氾濫的土壤。”金山安全大數據中心的專家説:“Petya勒索病毒目前在中國尚為一般網絡安全事件,用户無需為此恐慌。”
感染率在百萬分之一級別
自2016年3月首次發現Petya勒索病毒樣本以來,金山安全一直在嚴密監控此勒索者病毒的樣本及變種。
截止2017年6月28日12時,在中國的包括北京、廣東、江蘇在內的三個區域的主機中發現此樣本及其變種的存在。
按照中央網信辦本年度印發的《國家網絡安全事件應急預案》,網絡安全事件分為:特別重大、重大、較大、一般四個等級的網絡事件。金山安全認為,多次比對並研究病毒爆發後的主機感染率的相關指標,可以將病毒事件分為如下四個級別。
從金山安全普查的存在Petya勒索病毒樣本的主機和受感染的主機數量比例來看,感染率在百萬分之一左右。從存在樣本的主機IP分析來看,北京地區的部分主機疑似為網絡安全企業研發分析所使用的主機,並非企業級用户的業務及辦公用主機。基於以上因素,金山安全建議將此次事件定義為一般網絡安全事件。此次事件是否會升級,需要依託主機感染率的數據增大予以提升。
“WannaCry勒索病毒在中國的主機感染率達到了十萬分之一的級別,我們將此定義為重大網絡安全事件。”金山安全的專家説:“Petya勒索病毒只有百萬分之一的感染率,中國用户無需恐慌。”
中國缺乏大規模氾濫的土壤
來自外媒的報道,本次烏克蘭在內的歐洲國家遭受Petya勒索病毒侵害比較嚴重,主要原因為此病毒針對歐洲安裝使用率比較高的一款專用會計軟件me-doc的用户發起釣魚攻擊,並結合MS17-010中的SMB漏洞進行內網傳播。
“中國用户使用的會計軟件、記賬軟件或報税軟件的品牌,主要是用友、金蝶等國產軟件。”金山安全的專家指出:“me-doc在中國的用户非常有限。因此不存在與歐洲類似的釣魚攻擊的源頭。”
除此之外,Petya勒索病毒還存在利用CVE-2017-0199漏洞,以郵件的方式進行釣魚投毒,建立初始擴散節點的可能。
金山安全大數據中心的專家表示:5月份WannaCry勒索病毒爆發後,中國的主機上,已經規模化安裝了上述漏洞的補丁。Petya勒索病毒的可乘之機並不多。
金山安全的產品中,早已具有對Petya勒索病毒的查殺能力
金山安全的產品中,早已具有對Petya勒索病毒的查殺能力
對於勒索病毒Petya,最早出現時間可以追溯到16年3月份,據金山安全調查顯示, 本次Petya勒索病毒利用了與WannaCry相同的MS17-010中的代號為“永恆之藍”漏洞進行傳播, 原理上確實會對內網用户造成一定影響。“經過今年5月份爆發的Wannacry勒索病毒的洗禮後,中國領先的網絡安全企業在產品中已經增加了主動防禦模塊,大家的應急響應速度大大加快。”金山安全網絡安全事業部副總經理李元指出:“在羣防羣治的態勢下,Petya勒索病毒在中國已經沒有大規模感染的可能性。”
“我們站在用户的身邊!”李元説:“金山安全的用户完全不必為Petya勒索病毒過分恐慌。”