简介:  2017年5月12日开始流行的电脑软件

WannaCry（直译“想哭”、“想解密”，俗名“魔窟”，或称WannaCrypt、WanaCrypt0r 2.0、Wanna Decryptor）文件大小3.3MB；是一种利用美国国家安全局泄露NSA的“永恒之蓝”（EternalBlue）漏洞利用程序透过互联网对全球运行Microsoft Windows操作系统的计算机进行攻击的加密型勒索软件兼蠕虫病毒（Encrypting Ransomware Worm）。该病毒利用AES-128和RSA算法恶意加密用户文件以勒索比特币，使用Tor进行通讯，为WanaCrypt0r 1.0的变种。

点击播放声音:https://www.bilibili.com/audio/au1355173?type=6

WannaCry勒索病毒全球大爆发，至少150个国家、30万名用户中招，造成损失达80亿美元，已经影响到金融，能源，医疗等众多行业。

WannaCry被认为利用了美国国家安全局泄露的“永恒之蓝”（EternalBlue）工具以攻击运行Microsoft Windows操作系统的计算机。“永恒之蓝”传播的勒索病毒以ONION和WNCRY两个家族为主。“永恒之蓝”利用了某些版本的微软服务器消息块（SMB）协议中的数个漏洞，而当中最严重的漏洞是允许远程电脑运行代码。修复该漏洞的安全补丁已经于此前的2017年3月14日发布，但并非所有计算机都进行了安装。

背景

此次爆发的电脑恶意程序对漏洞的利用基于“永恒之蓝”（EternalBlue）工具。黑客组织“影子掮客”（The Shadow Brokers）在2017年4月14日发布了一批从方程式组织（Equation Group）泄露的工具，其中便包括“永恒之蓝”；而方程式集团可能是是属于美国国家安全局（由卡巴斯基提出可疑）。

永恒之蓝利用了Windows服务器消息块1.0（SMBv1）的数个漏洞，这些漏洞在通用漏洞披露（CVE）网站中分别被列为CVE-2017-0143至CVE-2017-0148。而就这些漏洞，微软公司已于2017年3月14日在TechNet发布“MS17-010”的信息安全公告，并向用户推送了Windows系统修复补丁“KB4013389”封堵此漏洞。但因该补丁只适用于仍提供服务支持的Windows Vista或更新的操作系统（注：此补丁不支持Windows 8），较旧的Windows XP等操作系统并不适用。不少用户也因各种原因而未开启或完成系统补丁的自动安装。

2017年4月21日起，安全研究者检测到数以万计被安装DoublePulsar后门的计算机，该后门是另一款从NSA外泄的黑客工具。截至4月25日，感染该后门的计算机估计有几十万台，数字每天还在呈指数增长。除EternalBlue外，WannaCry的本轮攻击也利用了这一名为DoublePulsar的后门。

2017年5月12日，WannaCry在国际互联网开始广泛传播，感染了全球很多运行Windows系统的设备。该病毒进入目标主机之后，就会对主机硬盘和存储设备中许多格式的文件进行加密，然后再利用网络文件共享系统的漏洞，传播到任意的其他联网的主机，而处于同一局域网的相邻主机也会被感染。这个漏洞不是零日攻击的漏洞（还没有补丁的安全漏洞），而微软早在2017年3月14日就推送了更新，封堵了这个漏洞。与此同时，微软也通告用户，不要再使用老旧的第一代服务器消息块，应该以最新的第三代服务器消息块取而代之。

没有及时下载这个补丁的Windows主机很可能被感染，而到当前为止，没有证据显示攻击者是有目标的进行攻击。还在运行已被微软淘汰的Windows XP的主机则非常危险，因为微软早已不对Windows XP提供安全更新与支持。但由于此次事件的严重性，微软后已为部分已经淘汰的系统发布了漏洞修复补丁，Windows XP、Windows Server 2003和Windows 8用户都可从微软网站下载修复补丁。但部分腾讯电脑管家用户因补丁遭到屏蔽而未能接受到安全更新，事后据官方回应，部分第三方修改系统安装补丁后可能致使蓝屏、系统异常，因此有部分用户补丁被屏蔽。

应对措施
防御
若想有效防御此蠕虫的攻击，首先应立即部署Microsoft安全公告MS17-010中所涉及的所有安全更新。Windows XP、Windows Server 2003以及Windows 8应根据微软的用户指导安装更新。

当不具备条件安装安全更新，且没有与Windows XP (同期或更早期Windows)主机共享的需求时，应当根据Microsoft安全公告MS17-010中的变通办法，禁用SMBv1协议，以免遭受攻击。虽然利用Windows防火墙阻止TCP 445端口也具备一定程度的防护效果，但这会导致Windows共享完全停止工作，并且可能会影响其它应用程序的运行，故应当按照微软公司提供的变通办法来应对威胁。

2017年5月第一次大规模传播时，署名为MalwareTech的英国安全研究员在当时的病毒中发现了一个未注册的域名，主因是病毒内置有传播开关（Kill Switch），会向该域名发出DNS请求，用于测试病毒是否处于杀毒软件的虚拟运作环境中，由于该域名并没有设置DNS，所以正常情况是不会有回应，若有回应就说明处于虚拟环境下，病毒会停止传播以防被杀毒软件清除。这名安全研究员花费8.29英镑注册域名后发现每秒收到上千次请求。在该域名被注册后，部分计算机可能仍会被感染，但“WannaCry的这一版本不会继续传播了”。

然而需要注意的是，在部分网络环境下，例如一些局域网、内部网，或是需要透过代理服务器才能访问互联网的网络，此域名仍可能无法正常连接。另外，有报道称该病毒出现了新的变种，一些变种在加密与勒索时并不检查这一域名。

复原数据
该病毒会“读取源文件并生成加密文件，直接把源文件作删除操作”。2017年5月19日，安全研究人员Adrien Guinet发现病毒用来加密的Windows API存在的缺陷，在非最新版操作系统（Windows 10）中，所用私钥会暂时留在内存中而不会被立即清除。他开发并开源了一个名为wannakey的工具，并称这适用于为感染该病毒且运行Windows XP的计算机找回文件，前提是该计算机在感染病毒后并未重启，且私钥所在内存还未被覆盖（这需要运气）。后有开发者基于此原理开发了名为“wanakiwi”的软件，使恢复过程更加自动化，并确认该方法适用于运行Windows XP至Windows 7时期间的多款Windows操作系统。一些安全厂商也基于此原理或软件开发并提供了图形化工具以帮助用户恢复文件。