真相｜“Wannacry” 勒索病毒会蔓延到智能移动终端？

5 月 14 日，雷锋网发现，微信群里在传播这样一则消息：

“2017 年 5 月 12 日，新型勒索软件 “Wannacry” 大闹全球。＊＊＊＊研究员发现，该勒索软件存在蔓延到智能移动终端的严重隐患，智能电视、智能汽车，甚至工控移动感知终端等物联网设备都可能会成为勒索软件 “Wannacry” 新变种的攻击目标。警惕勒索攻击变形回马枪，知己知彼，提前防护，莫让 IoT 设备成为‘永恒之砖’！ ”

雷锋网编辑看到这个消息的第一反应是：“你真的不是在逗我？针对 Windows 系统 SMB 漏洞的这波勒索蠕虫还能跨平台向智能移动终端蔓延？甚至往工控移动感知终端走？”

谨慎起见，雷锋网编辑先找到了消息源，发现确实是一个移动安全厂商在其官方微信所发。为了再次求证，雷锋网编辑向 360 企业安全工业控制安全国家地方联合工程实验室主任陶耀东咨询：“Wannacry” 勒索病毒在工控内网上是不是会蔓延？在工控移动感知终端上会吗？

陶耀东告诉雷锋网编辑，之前有诸多新闻曝出，“Wannacry” 勒索病毒已经蔓延到加油站的机器上，其实加油站的机器所在网络已经很接近工控内网，确实不排除该勒索病毒会往工控内网走，最严重的是，工控内网因为业务需求，有很多系统 445 端口一般都开着。而且，工控内网的系统很多机器是 Windows 系统，因为工控内网系统更新起来十分困难，即使补丁出来了，由于考虑到业务的稳定性和可靠性，很多用户也选择不更新，有些工控内网系统甚至 10 年都没有进行过升级和更新补丁，非常担心这波病毒大面积蔓延到工控网络中，造成更严重的损失甚至安全事故。

在著名安全研究员余弦的公号 “懒人在思考”5 月 14 日的新推文中，他也解释了为什么 “Wannacry” 勒索病毒会蔓延到内网：

当下，国内还是无数单位靠着内网隔离来对抗攻击者，这种方式早被证明非常之脆弱。就比如这次的勒索蠕虫传播，怎么进入大内网的？可以这样：

1) 感染掉一台边界上的 Win 服务器，这台服务器可通内网，于是内网遭殃；

2) 在某个场景下感染了某个人的 Win 电脑，这人跑到其他大内网去上网，于是内网遭殃。

感觉要接触到真相了，那么，它会往工控移动感知终端走吗？

专注工控内网安全多年的陶耀东一时语塞，因为对他而言，似乎工控领域没有这么一个专门词汇 “工控移动感知终端”，他试探性地问：“这里指的是传感器？”

雷锋网编辑顿悟：这是一个被生造出来的词，一个工控安全领域的 “老医生” 都没听过，聊起来很尴尬。

陶耀东还告诉雷锋网， 目前所谓的类似移动终端控制设备，在工控领域应用类似移动终端，是一个发展趋势，但仍然在发展中，应用量还不大，所以就算勒索病毒要感染到 “工控移动端”（并不是指这一波），可能还需要一段时间，中间还涉及工控移动控制设备的平台多样性。

为了交叉求证，雷锋网接着又采访了一位紧跟此次 “Wannacry” 勒索病毒感染的专注 Windows 系统安全方面的专家以及一位做移动安全的技术专家。