Check Point 表示：“WannaCry 采用的勒索軟件比較新，大約是在2017年2月出現，然而隨后產生變種，它的散播速度非�？�，歐洲及亞洲的多家機構已經受到沖擊，這充分顯示勒索軟件的巨大殺傷力，以及它可以很快就令重要服務停頓。機構抗擊此等勒索軟件的最有效方法，是從一開始就使得網絡系統不受其感染，通過掃描、阻擋、過濾等方法在可疑的文檔及內容到達網絡前便把它們拒之門外。此外，機構也要對其員工進行有關教育工作，讓他們知道不明來歷的電郵、以及來自相熟聯系人的可疑電郵的威脅風險。”

　　Check Point威脅情報及研究團隊并提醒受WannaCry 影響的用戶千萬不要支付其索求的贖金。截止5月14日，WannaCry 勒索軟件關聯的三個比特幣賬戶已累計收到超過 33,000 美元。然則，目前尚未有任何返還文件的相關案例報道，這表明解密過程本身存在問題。

　　Check Point解釋說，與在勒索軟件市場上的競爭對手不同，WannaCry 似乎無法將付款與對應付款人相關聯。大多數勒索軟件，例如 Cerber，會為每位受害者生成唯一的 ID 和比特幣錢包，從而知道向誰發(fā)送密鑰。然而，WannaCry 卻只要求交付贖金，然后受害者只能空等。他們可以按下“核對付款”按鈕，但到目前為止，這也只是唯一的結果：

　　大多數成功的勒索軟件都有頗完善的聯系受害人功能。然而 WannaCry 同樣不在此列。聯系該惡意軟件創(chuàng)建者的唯一途徑是通過勒索信頁面的“聯系我們”，Check Point的人員曾試圖以此作出聯系，但仍未收到回復。

　　最后，到目前為止的研究結果讓Check Point對 WannaCry 創(chuàng)建者解密文件的能力置疑。該惡意軟件包含兩個單獨的解密/加密例程，一個用于大部分受害者文件， 每個文件皆以唯一的密鑰加密。要解密這些文件，需要來自創(chuàng)建者的私有 RSA 密鑰，創(chuàng)建者應在“。dky”文件中提供此密鑰。

　　第二個加密/解密例程則用于 10 個可解密文件以作為“免費演示”，意在向受害者保證解密文件的可能性，以說服他們支付贖金。這 10 個特定文件在加密期間隨機選擇，每個文件同樣使用唯一密鑰進行加密。但是，這 10 個文件的私有 RSA 密鑰存儲在受害者的本地計算機上。如下所示：

　　圖 A 所示，主解密函數試圖調用一個推測應包含私有 RSA 密鑰的“。dky”文件，并以此解密受害者計算機上的所有文件。在圖 B 中，我們可以看到類似函數，但其調用由加密程序模塊放置的“f.wnry”文件，其中包含一個演示文件列表。私有 RSA 密鑰已被硬編碼到該模塊中。兩組函數都調用模塊 import_RSA_key（圖 C）- 主解密程序含有連接至“。dky”文件的路徑（作為參數），而演示解密程序則含有空路徑。

　　所有這些考量因素 - 沒有任何關于找回文件的相關報告、存在問題的支付和解密系統，以及虛假的解密操作演示，都令人懷疑 WannaCry 開發(fā)者履行承諾解密文件的能力。

　　lWindows 電腦應針對“Microsoft 安全公告 MS17-010 - 嚴重 Microsoft Windows SMB 服務器安全更新 （4013389）”中探討的漏洞安裝補丁

　　Check Point以色列捷邦安全軟件科技有限公司（www.checkpoint.com.cn）是全球最大的專注于安全的解決方案提供商，為各界客戶提供業(yè)界領先的解決方案抵御惡意軟件和各種威脅。Check Point提供全方位的安全解決方案包括從企業(yè)網絡到移動設備的安全保護，以及最全面和可視化的安全管理方案。Check Point現為十多萬不同規(guī)模的組織提供安全保護。