金山安全预测：Petya勒索病毒不会在中国规模化蔓延

本篇文章1321字，读完约3分钟

北京，6月28日(新华社)——6月27日在欧洲爆发的彼佳·兰索姆瓦在短时间内攻击了乌克兰、俄罗斯、丹麦和英国等九个国家的主机。中国用户目前被感染了吗？它会被大规模攻击吗？

“到目前为止，中国的彼佳传播媒介的感染率约为百万分之一，中国缺乏大规模的泛滥土壤。”金山安全大数据中心的专家表示:“petya ransomware在中国仍然是一个普遍的网络安全事件，用户不必为此感到恐慌。”

感染率约为百万分之一

自2016年3月首次发现petya ransomware样本以来，金山安全一直在密切监控这种敲诈者病毒的样本和变种。

截至2017年6月28日12: 00，在包括北京、广东和江苏在内的中国三个地区的宿主中发现了该样本及其变体。

根据中央网络信息办公室今年发布的《国家网络安全事件应急预案》，网络安全事件分为四个级别:特别重大、重大、重大和一般。金山安全认为，通过比较和研究病毒爆发后宿主感染率的相关指标，可以将病毒事件分为以下四个层次。

根据金山安全普查中携带petya ransomware样本的主机和被感染主机的比例，感染率约为百万分之一。根据样本主机的ip分析，北京部分主机被怀疑是网络安全企业用于R&D分析的主机，而不是企业用户的业务和办公主机。基于上述因素，金山安全建议将该事件定义为一般网络安全事件。事件是否会升级取决于主机感染率数据的增加。

“在中国，恶意软件的主机感染率已经达到十万分之一，我们将其定义为重大网络安全事件。”金山安全专家表示:“petya ransomware的感染率只有百万分之一，中国用户不必恐慌。”

中国缺乏大规模的洪水土壤

据国外媒体报道，包括乌克兰在内的欧洲国家受到petya ransomware的严重攻击，主要是因为该病毒针对欧洲安装和使用率较高的特殊会计软件me-doc的用户发起了网络钓鱼攻击，并结合ms17-010的中小企业漏洞进行内网传输。

“中国用户使用的会计软件、会计软件或报税软件的品牌主要是用友、金蝶等国内软件。”金山安全专家指出:“我的文档在中国的用户非常有限。因此，不存在与欧洲类似的网络钓鱼攻击来源。”

此外，petya ransomware可能利用cve-2017-0199漏洞通过邮件进行钓鱼和投毒，并建立初始扩散节点。

金山安全大数据中心专家表示:自5月份恶意软件爆发后，针对上述漏洞的补丁已经大规模安装在中国主机上。彼佳没有多少机会勒索病毒。

金山安全产品已经有能力杀死彼佳软件。petya ransomware的最早出现可以追溯到3月16日。根据金山安全调查，这个petya ransomware是利用ms17-010中的代码为“Elevent Blue”的漏洞进行传播的，这与wannacry是一样的，从原则上讲，它确实会影响内部网用户。“经过今年5月爆发的恶意软件的洗礼，中国领先的网络安全公司在产品中加入了主动防御模块，每个人的应急响应速度都大大加快。”金山安全网络安全事业部副总经理李远指出:“在群防群治的形势下，petya ransomware在中国没有大规模感染的可能。”

“我们支持用户！”李远说:“金山的安全用户不必为彼佳的赎金太过恐慌。”