Check Point 表示：“WannaCry 采用的勒索軟件比較新，大約是在2017年2月出現(xiàn)，然而隨后產(chǎn)生變種，它的散播速度非�？�，歐洲及亞洲的多家機構(gòu)已經(jīng)受到?jīng)_擊，這充分顯示勒索軟件的巨大殺傷力，以及它可以很快就令重要服務(wù)停頓。機構(gòu)抗擊此等勒索軟件的最有效方法，是從一開始就使得網(wǎng)絡(luò)系統(tǒng)不受其感染，通過掃描、阻擋、過濾等方法在可疑的文檔及內(nèi)容到達網(wǎng)絡(luò)前便把它們拒之門外。此外，機構(gòu)也要對其員工進行有關(guān)教育工作，讓他們知道不明來歷的電郵、以及來自相熟聯(lián)系人的可疑電郵的威脅風險。”

　　Check Point威脅情報及研究團隊并提醒受WannaCry 影響的用戶千萬不要支付其索求的贖金。截止5月14日，WannaCry 勒索軟件關(guān)聯(lián)的三個比特幣賬戶已累計收到超過 33,000 美元。然則，目前尚未有任何返還文件的相關(guān)案例報道，這表明解密過程本身存在問題。

　　Check Point解釋說，與在勒索軟件市場上的競爭對手不同，WannaCry 似乎無法將付款與對應(yīng)付款人相關(guān)聯(lián)。大多數(shù)勒索軟件，例如 Cerber，會為每位受害者生成唯一的 ID 和比特幣錢包，從而知道向誰發(fā)送密鑰。然而，WannaCry 卻只要求交付贖金，然后受害者只能空等。他們可以按下“核對付款”按鈕，但到目前為止，這也只是唯一的結(jié)果：

　　大多數(shù)成功的勒索軟件都有頗完善的聯(lián)系受害人功能。然而 WannaCry 同樣不在此列。聯(lián)系該惡意軟件創(chuàng)建者的唯一途徑是通過勒索信頁面的“聯(lián)系我們”，Check Point的人員曾試圖以此作出聯(lián)系，但仍未收到回復(fù)。

　　最后，到目前為止的研究結(jié)果讓Check Point對 WannaCry 創(chuàng)建者解密文件的能力置疑。該惡意軟件包含兩個單獨的解密/加密例程，一個用于大部分受害者文件， 每個文件皆以唯一的密鑰加密。要解密這些文件，需要來自創(chuàng)建者的私有 RSA 密鑰，創(chuàng)建者應(yīng)在“。dky”文件中提供此密鑰。

　　第二個加密/解密例程則用于 10 個可解密文件以作為“免費演示”，意在向受害者保證解密文件的可能性，以說服他們支付贖金。這 10 個特定文件在加密期間隨機選擇，每個文件同樣使用唯一密鑰進行加密。但是，這 10 個文件的私有 RSA 密鑰存儲在受害者的本地計算機上。如下所示：

　　圖 A 所示，主解密函數(shù)試圖調(diào)用一個推測應(yīng)包含私有 RSA 密鑰的“。dky”文件，并以此解密受害者計算機上的所有文件。在圖 B 中，我們可以看到類似函數(shù)，但其調(diào)用由加密程序模塊放置的“f.wnry”文件，其中包含一個演示文件列表。私有 RSA 密鑰已被硬編碼到該模塊中。兩組函數(shù)都調(diào)用模塊 import_RSA_key（圖 C）- 主解密程序含有連接至“。dky”文件的路徑（作為參數(shù)），而演示解密程序則含有空路徑。

　　所有這些考量因素 - 沒有任何關(guān)于找回文件的相關(guān)報告、存在問題的支付和解密系統(tǒng)，以及虛假的解密操作演示，都令人懷疑 WannaCry 開發(fā)者履行承諾解密文件的能力。

　　lWindows 電腦應(yīng)針對“Microsoft 安全公告 MS17-010 - 嚴重 Microsoft Windows SMB 服務(wù)器安全更新 （4013389）”中探討的漏洞安裝補丁

　　Check Point以色列捷邦安全軟件科技有限公司（www.checkpoint.com.cn）是全球最大的專注于安全的解決方案提供商，為各界客戶提供業(yè)界領(lǐng)先的解決方案抵御惡意軟件和各種威脅。Check Point提供全方位的安全解決方案包括從企業(yè)網(wǎng)絡(luò)到移動設(shè)備的安全保護，以及最全面和可視化的安全管理方案。Check Point現(xiàn)為十多萬不同規(guī)模的組織提供安全保護。