金山安全预测：Petya勒索病毒不会在中国规模化蔓延

　　6月27日在欧洲爆发的Petya勒索病毒，在短时间内袭击包括乌克兰、俄罗斯、丹麦、英国等在内的9国的主机。中国的用户目前是否受到感染？是否会遭受大规模攻击？

　　“截止目前，Petya勒索病毒的中国主机感染率在百万分之一级别，且在中国缺乏规模化泛滥的土壤。”金山安全大数据中心的专家说：“Petya勒索病毒目前在中国尚为一般网络安全事件，用户无需为此恐慌。”

　　感染率在百万分之一级别

　　自2016年3月首次发现Petya勒索病毒样本以来，金山安全一直在严密监控此勒索者病毒的样本及变种。

　　截止2017年6月28日12时，在中国的包括北京、广东、江苏在内的三个区域的主机中发现此样本及其变种的存在。

　　按照中央网信办本年度印发的《国家网络安全事件应急预案》，网络安全事件分为：特别重大、重大、较大、一般四个等级的网络事件。金山安全认为，多次比对并研究病毒爆发后的主机感染率的相关指标，可以将病毒事件分为如下四个级别。

　　从金山安全普查的存在Petya勒索病毒样本的主机和受感染的主机数量比例来看，感染率在百万分之一左右。从存在样本的主机IP分析来看，北京地区的部分主机疑似为网络安全企业研发分析所使用的主机，并非企业级用户的业务及办公用主机。基于以上因素，金山安全建议将此次事件定义为一般网络安全事件。此次事件是否会升级，需要依托主机感染率的数据增大予以提升。

　　“WannaCry勒索病毒在中国的主机感染率达到了十万分之一的级别，我们将此定义为重大网络安全事件。”金山安全的专家说：“Petya勒索病毒只有百万分之一的感染率，中国用户无需恐慌。”

　　中国缺乏大规模泛滥的土壤

　　来自外媒的报道，本次乌克兰在内的欧洲国家遭受Petya勒索病毒侵害比较严重，主要原因为此病毒针对欧洲安装使用率比较高的一款专用会计软件me-doc的用户发起钓鱼攻击，并结合MS17-010中的SMB漏洞进行内网传播。

　　“中国用户使用的会计软件、记账软件或报税软件的品牌，主要是用友、金蝶等国产软件。”金山安全的专家指出：“me-doc在中国的用户非常有限。因此不存在与欧洲类似的钓鱼攻击的源头。”

　　除此之外，Petya勒索病毒还存在利用CVE-2017-0199漏洞，以邮件的方式进行钓鱼投毒，建立初始扩散节点的可能。

　　金山安全大数据中心的专家说：5月份WannaCry勒索病毒爆发后，中国的主机上，已经规模化安装了上述漏洞的补丁。Petya勒索病毒的可乘之机并不多。

　　金山安全的产品中，早已具有对Petya勒索病毒的查杀能力

　　对于勒索病毒Petya，最早出现时间可以追溯到16年3月份，据金山安全调查显示， 本次Petya勒索病毒利用了与WannaCry相同的MS17-010中的代号为“永恒之蓝”漏洞进行传播， 原理上确实会对内网用户造成一定影响。“经过今年5月份爆发的Wannacry勒索病毒的洗礼后，中国领先的网络安全企业在产品中已经增加了主动防御模块，大家的应急响应速度大大加快。”金山安全网络安全事业部副总经理李元指出：“在群防群治的态势下，Petya勒索病毒在中国已经没有大规模感染的可能性。”

　　“我们站在用户的身边！”李元说：“金山安全的用户完全不必为Petya勒索病毒过分恐慌。”