編輯：謝麗、小運

策劃：木環

WannaCry 來襲！

2017 年 5 月 12 日，一款勒索軟體 WannaCry 攻擊了包括西班牙、英國、義大利、俄羅斯、中國在內的眾多國家；迫使英國多家醫院的患者轉院治療，法國數家雷諾工廠停止生產，西班牙電信和燃氣公司停轉，俄羅斯國家內務部門千餘臺電腦被攻擊，德國鐵路資訊系統受到干擾，中國銀行、警局和學校等機構亦受到不同程度影響。

WannaCry（又名 WanaCryptOr 2.0、WannaCry 以及 WCry）到底是何方神聖？

WannaCry 的工作原理

WannaCry 是一種“勒索軟體”，其負責對受害者計算機上的檔案進行鎖定，並通過加密確保使用者無法對其進行正常訪問。影響範圍甚廣的勒索軟體還既“貼心”又招搖地準備了 28 國語言的勒索資訊。

WannaCry 是如何傳播的？

勒索軟體可通過使用者點選惡意連結或者下載惡意程式碼的方式入侵您的計算機，其隨後會掌握您的有價值資訊並藉此索取贖金。

著眼於 WannaCry 案例，該程式會對您的檔案進行加密，並要求受害者支付比特幣贖金以恢復訪問許可權。安全專家們警告稱，即使支付贖金，受害者仍不能保證自己的檔案被順利恢復。幾天之後，黑客方有可能提高恢復加密檔案的贖金額度，並威脅如拿不到比特幣即將其徹底刪除。

另外，目前也出現了不少相關的變體：這些其它形式的勒索軟體執行程式能夠將您的計算機裝置完全鎖定，而僅顯示了條訊息以提供支付贖金的時限與方式。其中部分勒索軟體的彈窗很難甚至根本無法關閉，意味著使用者幾乎不能正常使用自己的計算機。

WannaCry 有何特別之處？

WannaCry 不僅僅是一款勒索軟體，其同時亦是一種蠕蟲病毒。這意味著一旦其進入您的計算機，即會主動尋找其它計算機並儘可能將自身傳播到更多裝置當中。

勒索軟體通常會隨時間推移而變異，這意味著其將不斷進行調整以找到更多行之有效的計算機裝置入侵或者補丁迴避方法（作業系統更新當中通常會包含有安全更新）。目前已經有眾多安全企業意識到WannaCry 的過去幾種肆虐形式，並著眼於其當前的版本考量如何對這場攻勢加以阻扼。

已經有多家網路安全企業表示，WannaCry 利用了微軟公司已經於今年 3 月釋出相關補丁的漏洞。由於使用者們往往不會及時在其計算機裝置上安裝更新與補丁程式，因此這意味著安全漏洞往往會長時間存在並導致黑客能夠藉此實施入侵。

WannaCry 所利用的這項 Windows 作業系統安全漏洞據信源自上個月洩露的美國國家安全域性內部黑客工具及檔案。在網際網路公佈此批資源的為“影子經紀人（Shadow Brokers）”，其表示這批資源來自某臺祕密國安局伺服器。

這項漏洞被稱為“永恆之藍”，而其在系統中所使用的後門則被稱為“雙脈衝星”。

影子經紀人組織的真實身份目前仍然是謎，不過相當一部分安全專家認為這支 2016 年才剛剛出現的集團可能與俄羅斯政府有所關聯。國家安全域性與微軟雙方都沒有立即對詢問給出回覆。

暫時的安全與未除的隱患

在英國，國民健康服務體系（NHS）因為受到攻擊而運營中斷，X 光檢查無法進行，檢查結果和病歷無法訪問。但是，病毒傳播突然停止了，因為一名 22 歲的網路安全研究人員 @malwaretechblog 在 Darien Huss（來自安全公司 Proofpoint）的幫助下無意間發現並激活了惡意軟體中的 Kill Switch。他在接受採訪時說：

我中午和朋友出去吃飯，在大約 3 點回來的時候，我看到網上突然出現了大量有關 NHS 和多個 UK 組織遭到攻擊的新聞。我大致瞭解了一下，然後找到了一個惡意軟體樣本，我發現它正在連線一個特定的域名，那個域名並沒有被註冊。所以，我是無意間發現的，我那會並不知道它在做什麼。

為了防止建立者想要阻止病毒傳播，Kill Switch 被硬編碼在惡意軟體中。其中包括一個非常長的、沒有意義的域名，惡意軟體會向它傳送請求，如果請求返回，則表明域名是活的，Kill Switch 就會發揮作用，而惡意軟體就會停止傳播。一經註冊，該域名每秒就登記成千上萬的連線。

按照 MalwareTech 的說法，他之所以購買這個域名，是因為他的公司追蹤僵屍網路，通過註冊這些域名，他們可以深入瞭解僵屍網路如何擴散。他說，“我的初衷只是監控其傳播，看看我們後續是否可以做點相關的工作。但我們竟然通過註冊這個域名阻止了傳播。”但他很快就意識到“我們還需要阻止其他的攻擊方法”。他計劃繼續持有該 URL，和他的同事一起收集 IP，併發送給執法機關，由他們通知被感染的受害者，因為並不是所有被感染的人都知道自己被感染了。同時，他建議人們升級系統，並補充說：

這事還沒完。攻擊者會意識到我們如何阻止了它的傳播，他們會修改程式碼，然後重新開始。務必啟用 Windows 升級功能，升級然後重啟。

來自 Proofpoint 的 Ryan Kalember 表示，@malwaretechblog 註冊這個域名太晚了，沒能幫助歐洲和亞洲，因為許多組織已經被感染了。Kill Switch 並不能幫助那些已經被勒索軟體感染的計算機。但是，他讓美國人有更多的時間在被感染之前升級他們的系統，提高防護能力。另外，可能會有包含不同 Kill Switch 的惡意軟體變種繼續傳播。

3 月份，微軟釋出了一個補丁  

3 月份的時候，微軟釋出了一個安全升級補丁，用於消除這些攻擊利用的漏洞。已經啟用 Windows 升級功能的使用者可以抵禦針對這個漏洞的攻擊。微軟建議，那些沒有應用安全升級補丁的組織應該立即部署 Microsoft Security Bulletin MS17-010。對於使用 Windows Defender 的使用者，微軟釋出了一個可以檢測到 Ransom:Win32/WannaCrypt 威脅的補丁。另外，微軟提醒使用者：

攻擊型別可能會隨時間進化，因此，任何額外的深度防護策略都會提供額外的防護。（例如，為了進一步抵禦 SMBv1 攻擊，使用者應該考慮阻斷他們網路中的遺留協議）。

……

已經觀察到的部分攻擊使用了常見的釣魚式攻擊策略，包括惡意附件。使用者在開啟來自不受信任或未知來源的文件時要保持警惕。對於 Office 365 使用者，我們會繼續監控和升級，以抵禦這類威脅。

更多資訊可以見 https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

各方支招

儘管網路安全專家正在爭相解密，但目前還沒有已知的可行方法恢復受影響檔案。印度計算機應急小組（CERT-In）已經發布一項高危警報通知，要求所有系統管理員與使用者應用微軟釋出的安全補丁以修復這項漏洞。其同時建議使用者備份關鍵性資料，並最好能夠將副本儲存在未接入區域網絡的外部磁碟驅動器或者隔離系統當中。

與此同時，國內大廠也紛紛支招：

360 公佈了永恆之藍 病毒分析報告，並且提供了查殺恢復工具 https://dl.360safe.com/recovery/RansomRecovery.exe 。使用者需下載使用“360 勒索蠕蟲病毒檔案恢復工具”恢復被加密的檔案，掃描後選擇要恢復的檔案並且最好儲存在乾淨的行動硬碟或 U 盤中。360 同時給出了應急處置辦法：阻斷 445 埠訪問，關閉尚未安裝補丁的 server 服務，對已經感染的機器隔離處理，重要業務立即資料備份等。

騰訊安全聯合實驗室在知乎上釋出帖子建議臨時關閉 445、135、137、138、139 埠的網路訪問許可權，並手動匯入 IP 安全策略。（https://www.zhihu.com/question/59768771）

阿里雲稱其於 4 月 15 日釋出過關於 Windows 系統 SMB/RDP 遠端命令執行漏洞的高危預警。目前阿里雲稱其已經預設關閉開放 455 埠，且預設安裝 Windows 官方補丁。SMB 漏洞預警 https://m.aliyun.com/bbs/read/312815.html

建議各位使用者謹慎點選未經請求或者陌生電子郵件中給出的連結。另外，在使用微軟 Outlook 中的巨集功能前請務必小心再小心，同時驗證來源。如果必須點選某條連結，則更為安全的作法在於關閉當前訪問電子郵箱帳戶的瀏覽器或者用於郵件訪問的軟體，而後在新開啟的瀏覽器容器中直接前往連結站點。最後，更新反病毒軟體並啟用防火牆亦能夠提升您的安全保障水平。

很多機構沒有持續更新電腦系統的習慣，這為病毒傳播創造了可能。雖然兩個月前釋出的安全更新補丁可以應對此問題，但是很多使用者還沒有安裝。微軟首席法務官 Brad Smith 稱：“我們看到了中情局（CIA）將漏洞備案到維基解密中，這個漏洞從 NSA 那裡被洩露並被利用釀成了這場世界性問題”。“網路犯罪正在變得越來越複雜，使用者們保護自己最簡單的辦法唯有更新系統。”Smith 認為這次事故的嚴重程度可以與美國軍方武器被偷走相提並論，並且呼籲世界政府將此次襲擊視為警鐘。

文章來自微信公眾號：高效開發運維