什么是 WannaCrypt 勒索软件？

简单来说，EternalBlue（传播部分）可以作为武器使用，而WannaCrypt勒索病毒（加密文件，利用传播工具进行自身传播）就是使用武器的人。 机器联网后，会随机确定IP地址扫描445端口的开放情况，如果开放，就会尝试利用该漏洞进行感染； 如果本机在局域网内，则直接扫描相应网段进行Infect。

很多人会奇怪，这个攻击工具是上个月泄露的，但为什么过了一个月就爆了呢？ 有安全专家发现，这些电脑已经被感染，也就是说，每个系统一个月前都像定时炸弹一样安装了永恒之蓝，直到5月12日才被激活。

5月16日上午，反病毒软件公司卡巴斯基实验室研究室安全人员表示，他们在研究2015年2月的早期蠕虫版本和病毒样本后，发现部分类似代码来自卡巴斯基实验室。姬之前关注的韩国黑客团队“Lazarus Group”，代码相似度远超正常水平。

因此，卡巴斯基认为WannaCrypt勒索病毒与之前的Shockwave病毒来自同一个黑客团队。 与此同时，信息安全领域的解决方案提供商赛门铁克也发现了同样的证据。 安全专家 Matt Suiche AM 在推特 (@msuiche) 上发布了证据，暗示朝鲜黑客团队“Lazarus Group”可能是全球勒索病毒的幕后黑手。

推特：

为什么要用比特币支付？

比特币（Bitcoin）是一种在线虚拟货币，由匿名程序员于2009年创建后开源发布。比特币除了可以通过挖矿获得外，还可以兑换其他货币。

它最大的特点是分散在全网，完全匿名，不受各种金融限制，几乎很难从一个比特币账户追查到另一个账户。 由此可见，比特币自然成为了黑客索要赎金的最佳选择。

对于勒索软件，即使删除勒索软件并使用杀毒软件也无法打开加密文件。 一些被入侵的公司为了保护重要文件，会选择在规定时间内支付比特币赎金。 截至5月16日13时，与病毒爆发相关的账户共有36个比特币。

虽然36个比特币看似微不足道，但自从病毒爆发以来，比特币的汇率一直在飙升。 截至5月16日13:00，1比特币约合1700美元，约合人民币11700元。 元。

2016年6月以来比特币汇率变化走势图

即便如此，几名已经中招的用户在网上向黑客求情，居然免费解锁了……

5月14日下午，一名台湾受害者在社交软件上向黑客求情：“我一个月才挣400美元，你真的要这样对我吗？” 没想到，他收到了黑客的回信，被抓了起来。 免费解锁！

受病毒影响最严重的系统在哪里？

由于 NSA 的 EternalBlue 漏洞非常强大，除了更新的 Windows 10 系统（版本 1703）之外的 Windows 系统可能会受到该漏洞的影响。

目前已知受影响的系统有：Windows Vista、Windows 7、Windows 8.1、Windows Server 2008（含R2）、Windows 2012（含R2）、Windows 2016、Windows XP退出服务周期、Windows Server 2003、Windows 8和win10用户关闭自动更新。

英国医院之所以成为病毒入侵的重灾区，一个重要原因就是制度的落后。 英国医院的IT系统没有及时更新，还在使用Windows XP系统，而Windows XP系统从2014年4月开始就没有发布过更新，安全补丁已经出来了。

除英国外，意大利、德国、俄罗斯、西班牙等国家也曾大规模爆发勒索病毒。

意大利大学电脑室遭袭

仅在5月12日的一个晚上，全球就有超过99个国家遭到攻击，总攻击次数超过7万次。

我国内部网络也遭到严重破坏趣链科技虚拟货币(比特币勒索病毒的来源)(2023更新中)-区...，尤其是高校校园网。 很多单位在内网和外网之间都部署了防火墙进行网络控制，但是内网的安全或多或少被忽视了，因为内网机器之间需要互相访问，网络管理员忽略了内网本身的安全控制. 在很多企业的内网中，大部分端口甚至是完全开放的。 在这种情况下，计算机之间的网络连接是无限的，这就给了蠕虫传播的机会。

内网的网络控制由内网网络管理员部署。 国内网络运营商大多直接封杀445端口，即使有漏洞，病毒也无法继续传播，因为无法访问该端口。

如何应对 WannaCrypt 勒索软件？

从病毒爆发到现在，各行各业的专业人士纷纷发布解决方案。 简要总结：

1、划重点，电脑上的文件一定要备份，而且要经常备份。 注意不要在本机或网络硬盘上备份，也不要把备份盘一直插在电脑上；

2.安装反勒索防护工具，不访问可疑网站，不打开可疑邮件和文件趣链科技虚拟货币(比特币勒索病毒的来源)(2023更新中)-区...，发现感染不支付赎金；

3、关闭电脑包括TCP、UDP协议的135、445端口，尤其是Windows 7系统，不要使用校园网；

4、安装微软发布的修复“永恒之蓝”攻击系统漏洞的补丁MS17-010，并尽快升级安装Windows操作系统的相关补丁。

除了上述措施，幕后的网络安全人员也在通宵奋战。 病毒爆发后的第二天，一名英国安全人员分析了病毒代码，发现代码开头有一个域名地址，病毒开始入侵后访问量激增。

于是他花钱注册了这个域名，结果发现这个域名几乎连着全世界的电脑！ 随后，安全人员进一步分析发现，这是病毒作者留下的紧急停止开关。

代码中提到，每台被感染的计算机在攻击前都会访问这个域名，如果这个域名不存在，就会继续传播，一旦注册就停止传播。

因为一次意外，安保人员还画了一张攻击图……

地图上的每个蓝点代表一台受到攻击的计算机，并且有可能继续攻击同一网络上的其他计算机。

在安保人员的全天候努力下，有效防范了进一步大规模爆发的可能性，人们的安全意识也普遍增强。 （编辑：蒋振）

来源：%E5%8A%A0%E5%AF%86%E6%BC%94%E7%AE%97%E6%B3%95