专家发现勒索病毒真面目：针对Win7量身定做

　　据安全评级公司BitSight为路透社进行的一项调查显示，在过去一周时间里遭遇了勒索病毒攻击的全球电脑中，有三分之二是基于微软Windows 7操作系统运行、且并未进行最新的安全更新的电脑。

　　研究人员正努力试图找出WannaCry勒索病毒的早期痕迹，该软件在受创最深的中国和俄罗斯市场上仍是一种很活跃的威胁。他们认为，找出“零号病人”有助于抓到这个软件的始作俑者。

　　在找到缺陷以限制WannaCry勒索病毒传播的问题上，研究人员的运气则要更好一些。

　　进一步攻击

　　安全专家发出警告称，虽然到目前为止WannaCry软件已经感染了使用30多万个互联网地址的电脑，但预计未来这种软件将修复自身弱点并进一步发动攻击，从而导致数量更多的电脑用户受损，并将造成破坏性更大的后果。

　　以色列安全公司SpiderLabs Trustwave的安全研究副总裁基夫·马多尔（Ziv Mador）b对此表示：“有些组织还不知道这种风险，而有些组织则不希望冒险中断重要的业务流程。另外，有些情况下则是它们缺少人手。”

　　马多尔曾长期在微软担任安全研究员，他还说道：“等着打补丁的人有很多理由这样去做，但没有哪个理由是很好的。”

　　针对Windows 7系统

　　英国咨询公司MWR InfoSecurity的调查和事件响应负责人保罗·普拉特利（Paul Pratley）则表示，WannaCry软件拥有类似于“蠕虫病毒”的能力，可在没有人为干预的情况下感染同一个网络上的电脑，这看起来像是针对Windows 7操作系统量身定做的。

　　来自BitSight的数据覆盖了16万台受到WannaCry攻击的联网电脑，这些数据显示被感染的电脑有67%都是基于Windows 7操作系统运行的，但在Windows PC用户的全球分布中所占比例则不到一半。

　　与此同时，基于更早版本的Windows操作系统运行的电脑——比如说英国NHS医疗系统使用的基于Windows XP系统的电脑——虽然从个体上来说也很容易遭到攻击，但其似乎缺乏传播感染的能力，因此在全球攻击活动中所扮演的角色要比此前的初步报道小得多。

　　MWR InfoSecurity和安全威胁情报公司Kryptos Logic的研究人员表示，他们在实验室测试中发现，在基于Windows XP运行的电脑在遭到攻击后，不等病毒传播出去系统就已崩溃。

　　根据BitSight的估测，在遭到攻击的所有电脑中，基于Windows 10系统运行的电脑所占比例为15%，而Windows 8.1、Windows 8、Windows XP和Windows Vista则占据了剩余的比例。

　　微软安全补丁

　　安全专家还一致表示，微软在3月14日发布了一个标记为“紧急”的安全补丁，并措辞强烈地敦促Windows PC用户安装这个补丁，而任何在其网络上的所有电脑都安装了这个补丁的组织都并未受到攻击。

　　另外，遭受了WannaCry攻击的组织还没能留意到去年微软发出的警告，当时该公司敦促用户停用Windows系统中一种名为SMB的文件共享功能。

　　一个自称为“Shadow Brokers”的秘密黑客组织宣称，美国国家安全局情报处的操作人员曾利用这种功能渗透Windows PC。

　　马多尔称：“很明显，那些运行了受支持的Windows版本并迅速打了补丁的人并未受到影响。”

　　微软自2014年以来一直都面临批评，原因是该公司撤回了对较早版本的Windows系统的支持——如已有16年历史的Windows XP等——代之以要求用户支付很高的年费。

　　一年之后，英国政府取消了与微软之间的NHS全国支持合同。

　　在WannaCry病毒爆发之后，出于免遭进一步批评的考虑，微软在上周末针对Windows XP及其他较早版本的Windows系统发布了一个免费补丁，此前该公司仅面向付费用户提供这个补丁。

　　微软拒绝就此置评。该公司在上周日呼吁，情报机构应该设法达成一种更好的平衡，一方面保持其对软件缺陷保密以从事间谍活动和网络战的意愿，而另一方面则应与科技公司分享这些缺陷，从而更好地保证互联网安全。

　　中俄两国受损严重

　　在全球范围内受到WannaCry病毒感染的所有互联网地址中，有一半在中国和俄罗斯，其占比分别为30%和20%。

　　据Kryptos Logic向路透社提供的数据显示，本周中俄两国受感染的程度再度上升，直到周四都保持在很高水平。

　　相比之下，美国受到攻击的互联网地址的占比则仅为7%，英国、法国和德国则均为2%。

　　云存储服务提供商CTERA Networks的CEO利兰·埃舍尔（Liran Eshel）称：“此次攻击表明勒索病毒已经变得多么复杂了，这就迫使那些并未受到影响的组织也开始重新考虑防护战略了。”

　　来自诸多安全公司的研究人员都表示，到目前为止他们还没能找到一种办法来解锁被WannaCry锁定的文件，并表示不管是谁来做这件事情，成功的机会都是很低的。

　　但赛门铁克的安全研究人员本周发现，WannaCry代码中存在的一个漏洞意味着，攻击者无法利用独特的比特币地址来追踪付款，其结果是“用户不太可能恢复文件”。

　　在此次攻击事件发生6天以后，到周四为止已有不到300笔付款进入了WannaCry勒索账户，总价值约为8.3万美元。