安全专家找到了WannaCry勒索软件蠕虫挥之不去的风险的线索

安全评级公司BitSight对路透社进行的一项调查发现，在过去一周的全球勒索软件攻击中，三分之二的人运行的是微软的Windows 7操作系统，而没有最新的安全更新。

研究人员正在努力寻找WannaCry的早期痕迹，WannaCry在受灾最严重的中国和俄罗斯仍然是一个积极的威胁，他们认为识别 “零患者” 可以帮助抓住其犯罪作者。他们有更多的运气来剖析限制其传播的缺陷。

安全专家警告说，尽管勒索软件对超过300,000个internet地址的计算机造成了打击，但修复WannaCry弱点的进一步攻击将打击更多的用户，并带来更具破坏性的后果。

以色列SpiderLabs Trustwave负责安全研究的副总裁Ziv Mador说: “有些组织只是没有意识到风险; 有些组织不想冒险中断重要的业务流程; 有时他们人手不足。”

“人们等待打补丁的原因有很多，但没有一个是好的，” 微软前长期安全研究员马多说。

另请阅读: WannaCry网络攻击: 对于Microsoft用户，以下是如何保护您的数据

英国咨询公司MWR infoseurity的调查和事件响应负责人paul pratley说，WannaCry具有蠕虫般的能力，可以在不进行人工干预的情况下感染同一网络上的其他计算机，这似乎是针对Windows 7量身定制的。

BitSight的数据涵盖了WannaCry袭击的160,000台联网计算机，显示Windows 7占感染的67%，尽管它不到Windows pC用户全球分布的一半。 运行旧版本的计算机，例如英国NHS健康系统中使用的Windows Xp，虽然本身容易受到攻击，但似乎无法传播感染，并且在全球攻击中的作用比最初报道的要小得多。

在实验室测试中，MWR和Kyptos的研究人员说，他们发现Windows Xp在病毒传播之前就崩溃了。

BitSight估计，微软旗舰操作系统特许经营权的最新版本Windows 10占了另一个15%，而旧版本的Windows (包括8.1、8、Xp和Vista) 占了其余部分。

计算机基础知识

专家们一致认为，任何关注微软强烈警告的组织在其网络上所有计算机上的3月14日上发布时紧急安装标有 “关键” 的安全补丁的组织都是免疫的。

受WannaCry打击的人去年也未能听取微软的警告，以禁用Windows中称为SMB的文件共享功能，一个自称为Shadow Brokers的秘密黑客组织声称该功能被NSA情报人员用来潜入Windows pc。

Trustwave的Mador说: “显然，运行受支持的Windows版本并迅速修补的人没有受到影响。”

阅读更多: 微软推迟了可能会减慢WannaCry速度的安全更新: 报告

微软因取消对旧版本Windows软件 (例如16年历史的Windows Xp) 的支持并要求用户支付高额年费而面临批评2014年。一年后，英国政府取消了与微软的全国性NHS支持合同，将升级留给了当地信托。

为了在WannaCry爆发后进一步批评，这家美国软件巨头上周末发布了Windows Xp和其他较旧Windows版本的免费补丁，该补丁以前仅向付费客户提供。

微软拒绝对此事发表评论。

周日，这家软件巨头呼吁情报部门在保护软件缺陷秘密的愿望 (为了进行间谍活动和网络战) 与与科技公司分享这些缺陷以更好地保护互联网之间取得更好的平衡。

WannaCry在全球范围内破坏的所有internet地址中有一半位于中国和俄罗斯，分别为30和20%。根据威胁情报公司Kryptos Logic提供给路透社的数据，本周两国的感染水平再次飙升，直到周四仍保持高位。

相比之下，ryptos说，美国占WannaCry感染的7%，而英国，法国和德国都仅占全球攻击的2%。

愚蠢而复杂

勒索软件将带有业余编码错误的山寨软件与最近泄露的间谍工具混合在一起，这些间谍工具被普遍认为是从美国国家安全局窃取的，从而形成了一种非常有效的犯罪软件。

总部位于洛杉矶的Kryptos Logic首席执行官32岁的萨米尔·内诺 (Samil Neino) 表示: “真正使这次攻击的规模比其他任何攻击都大得多的是，意图已经从窃取信息转变为业务中断。”

上周五，该公司22岁的英国数据泄露研究负责人马库斯·哈钦斯 (Marcus Hutchins) 创建了一个 “扼杀开关”，安全专家广泛称赞这是阻止勒索软件在全球迅速传播的决定性一步。

WannaCry似乎主要针对企业而不是消费者: 一旦感染一台机器，它就会在内部网络中默默地扩散，这些网络可以连接大型公司中的数百或数千台机器，这与国内的inpidual消费者不同。

未知数量的计算机位于Kryptos识别的300,000受感染的internet连接后面。

阅读更多: WannaCry勒索软件: 影子经纪人集团警告更多数据转储

由于WannaCry在组织网络中偷偷摸摸地传播的方式，坐在公司防火墙后面的被赎回的计算机总数可能会受到打击，可能超过一百万台计算机。该公司正在处理数据，以得出其计划在周四晚些时候发布的更坚定的估计。

云存储提供商CTERA Networks的首席执行官Liran Eshel表示: “这次攻击表明勒索软件已经变得多么复杂，甚至迫使未受影响的组织重新考虑策略。”

逃生路线

来自多家安全公司的研究人员表示，到目前为止，他们还没有找到一种方法来解密被WannaCry锁定的文件，并表示任何人成功的机会都很低。

然而，Symantec的安全研究人员本周发现，WannaCry代码中的一个错误意味着攻击者无法使用唯一的比特币地址来跟踪支付。结果: 该公司的安全响应团队在推特上写道: “用户不太可能恢复文件”。

专家说，许多组织对未打补丁的计算机进行了快速恢复，这在很大程度上归因于他们已经建立的备份和检索程序，使技术人员能够对受感染的计算机进行重新映像。

研究WannaCry代码的安全专家同意，在加密inpidual计算机时，WannaCry代码不会像更复杂的勒索软件包那样攻击网络数据备份系统。

这些因素有助于解释为什么这么少的受害者似乎向WannaCry指导受害者的三个比特币账户支付了赎金的奥秘。

到星期四 (格林尼治标准时间1800)，即攻击开始六天后，勒索软件威胁要永远锁定受害者计算机的前一天，已向WannaCry勒索帐户支付了不到300笔款项，价值约83,000美元。

Verizon 2017数据泄露调查报告是对安全故障进行的最全面的年度调查，发现至少一半的组织需要三个月的时间才能安装主要的新软件安全补丁。WannaCry在微软补丁发布九周后登陆。

“同样的事情也造成了同样的问题。这就是数据显示的，”MWR研究负责人pratley说。他说: “我们没有看到很多组织倒下，这是因为他们做了一些安全基础知识。”