金山安全預測：Petya勒索病毒不會在中國規模化蔓延

　　6月27日在歐洲爆發的Petya勒索病毒，在短時間內襲擊包括烏克蘭、俄羅斯、丹麥、英國等在內的9國的主機。中國的用戶目前是否受到感染？是否會遭受大規模攻擊？

　　“截止目前，Petya勒索病毒的中國主機感染率在百萬分之一級別，且在中國缺乏規模化泛濫的土壤。”金山安全大數據中心的專家說：“Petya勒索病毒目前在中國尚為一般網絡安全事件，用戶無需為此恐慌。”

　　感染率在百萬分之一級別

　　自2016年3月首次發現Petya勒索病毒樣本以來，金山安全一直在嚴密監控此勒索者病毒的樣本及變種。

　　截止2017年6月28日12時，在中國的包括北京、廣東、江蘇在內的三個區域的主機中發現此樣本及其變種的存在。

　　按照中央網信辦本年度印發的《國家網絡安全事件應急預案》，網絡安全事件分為：特別重大、重大、較大、一般四個等級的網絡事件。金山安全認為，多次比對並研究病毒爆發后的主機感染率的相關指標，可以將病毒事件分為如下四個級別。

　　從金山安全普查的存在Petya勒索病毒樣本的主機和受感染的主機數量比例來看，感染率在百萬分之一左右。從存在樣本的主機IP分析來看，北京地區的部分主機疑似為網絡安全企業研發分析所使用的主機，並非企業級用戶的業務及辦公用主機。基於以上因素，金山安全建議將此次事件定義為一般網絡安全事件。此次事件是否會升級，需要依托主機感染率的數據增大予以提升。

　　“WannaCry勒索病毒在中國的主機感染率達到了十萬分之一的級別，我們將此定義為重大網絡安全事件。”金山安全的專家說：“Petya勒索病毒隻有百萬分之一的感染率，中國用戶無需恐慌。”

　　中國缺乏大規模泛濫的土壤

　　來自外媒的報道，本次烏克蘭在內的歐洲國家遭受Petya勒索病毒侵害比較嚴重，主要原因為此病毒針對歐洲安裝使用率比較高的一款專用會計軟件me-doc的用戶發起釣魚攻擊，並結合MS17-010中的SMB漏洞進行內網傳播。

　　“中國用戶使用的會計軟件、記賬軟件或報稅軟件的品牌，主要是用友、金蝶等國產軟件。”金山安全的專家指出：“me-doc在中國的用戶非常有限。因此不存在與歐洲類似的釣魚攻擊的源頭。”

　　除此之外，Petya勒索病毒還存在利用CVE-2017-0199漏洞，以郵件的方式進行釣魚投毒，建立初始擴散節點的可能。

　　金山安全大數據中心的專家說：5月份WannaCry勒索病毒爆發后，中國的主機上，已經規模化安裝了上述漏洞的補丁。Petya勒索病毒的可乘之機並不多。

　　金山安全的產品中，早已具有對Petya勒索病毒的查殺能力

　　對於勒索病毒Petya，最早出現時間可以追溯到16年3月份，據金山安全調查顯示， 本次Petya勒索病毒利用了與WannaCry相同的MS17-010中的代號為“永恆之藍”漏洞進行傳播， 原理上確實會對內網用戶造成一定影響。“經過今年5月份爆發的Wannacry勒索病毒的洗禮后，中國領先的網絡安全企業在產品中已經增加了主動防御模塊，大家的應急響應速度大大加快。”金山安全網絡安全事業部副總經理李元指出：“在群防群治的態勢下，Petya勒索病毒在中國已經沒有大規模感染的可能性。”

　　“我們站在用戶的身邊！”李元說：“金山安全的用戶完全不必為Petya勒索病毒過分恐慌。”