6月27日在欧洲爆发的Petya勒索病毒,在短时间内袭击包括乌克兰、俄罗斯、丹麦、英国等在内的9国的主机。中国的用户目前是否受到感染?是否会遭受大规模攻击?
“截止目前,Petya勒索病毒的中国主机感染率在百万分之一级别,且在中国缺乏规模化泛滥的土壤。”金山安全大数据中心的专家说:“Petya勒索病毒目前在中国尚为一般网络安全事件,用户无需为此恐慌。”
感染率在百万分之一级别
自2016年3月首次发现Petya勒索病毒样本以来,金山安全一直在严密监控此勒索者病毒的样本及变种。
截止2017年6月28日12时,在中国的包括北京、广东、江苏在内的三个区域的主机中发现此样本及其变种的存在。
按照中央网信办本年度印发的《国家网络安全事件应急预案》,网络安全事件分为:特别重大、重大、较大、一般四个等级的网络事件。金山安全认为,多次比对并研究病毒爆发后的主机感染率的相关指标,可以将病毒事件分为如下四个级别。
从金山安全普查的存在Petya勒索病毒样本的主机和受感染的主机数量比例来看,感染率在百万分之一左右。从存在样本的主机IP分析来看,北京地区的部分主机疑似为网络安全企业研发分析所使用的主机,并非企业级用户的业务及办公用主机。基于以上因素,金山安全建议将此次事件定义为一般网络安全事件。此次事件是否会升级,需要依托主机感染率的数据增大予以提升。
“WannaCry勒索病毒在中国的主机感染率达到了十万分之一的级别,我们将此定义为重大网络安全事件。”金山安全的专家说:“Petya勒索病毒只有百万分之一的感染率,中国用户无需恐慌。”
中国缺乏大规模泛滥的土壤
来自外媒的报道,本次乌克兰在内的欧洲国家遭受Petya勒索病毒侵害比较严重,主要原因为此病毒针对欧洲安装使用率比较高的一款专用会计软件me-doc的用户发起钓鱼攻击,并结合MS17-010中的SMB漏洞进行内网传播。
“中国用户使用的会计软件、记账软件或报税软件的品牌,主要是用友、金蝶等国产软件。”金山安全的专家指出:“me-doc在中国的用户非常有限。因此不存在与欧洲类似的钓鱼攻击的源头。”
除此之外,Petya勒索病毒还存在利用CVE-2017-0199漏洞,以邮件的方式进行钓鱼投毒,建立初始扩散节点的可能。
金山安全大数据中心的专家说:5月份WannaCry勒索病毒爆发后,中国的主机上,已经规模化安装了上述漏洞的补丁。Petya勒索病毒的可乘之机并不多。
金山安全的产品中,早已具有对Petya勒索病毒的查杀能力
对于勒索病毒Petya,最早出现时间可以追溯到16年3月份,据金山安全调查显示, 本次Petya勒索病毒利用了与WannaCry相同的MS17-010中的代号为“永恒之蓝”漏洞进行传播, 原理上确实会对内网用户造成一定影响。“经过今年5月份爆发的Wannacry勒索病毒的洗礼后,中国领先的网络安全企业在产品中已经增加了主动防御模块,大家的应急响应速度大大加快。”金山安全网络安全事业部副总经理李元指出:“在群防群治的态势下,Petya勒索病毒在中国已经没有大规模感染的可能性。”
“我们站在用户的身边!”李元说:“金山安全的用户完全不必为Petya勒索病毒过分恐慌。”