WannaCry:計算機類病毒-中文百科頻道

病毒概況

2017年4月16日，CNCERT主辦的CNVD發布《關于加強防範Windows操作系統和相關軟件漏洞攻擊風險的情況公告》，對影子紀經人“Shadow Brokers”披露的多款涉及Windows操作系統SMB服務的漏洞攻擊工具情況進行了通報（相關工具列表如下），并對有可能産生的大規模攻擊進行了預警：

當用戶主機系統被該勒索軟件入侵後，彈出如下勒索對話框，提示勒索目的并向用戶索要比特币。而對于用戶主機上的重要文件，如：照片、圖片、文檔、壓縮包、音頻、視頻、可執行程序等幾乎所有類型的文件，都被加密的文件後綴名被統一修改為“.WNCRY”。目前，安全業界暫未能有效破除該勒索軟的惡意加密行為，用戶主機一旦被勒索軟件滲透，隻能通過重裝操作系統的方式來解除勒索行為，但用戶重要數據文件不能直接恢複。

WannaCry主要利用了微軟“視窗”系統的漏洞，以獲得自動傳播的能力，能夠在數小時内感染一個系統内的全部電腦。勒索病毒被漏洞遠程執行後，會從資源文件夾下釋放一個壓縮包，此壓縮包會在内存中通過密碼：WNcry@2ol7解密并釋放文件。這些文件包含了後續彈出勒索框的exe，桌面背景圖片的bmp，包含各國語言的勒索字體，還有輔助攻擊的兩個exe文件。

這些文件會釋放到了本地目錄，并設置為隐藏。（#注釋：說明一下，“永恒之藍”是NSA洩露的漏洞利用工具的名稱，并不是該病毒的名稱#。永恒之藍”是指NSA洩露的危險漏洞“EternalBlue”，此次的勒索病毒WannaCry是利用該漏洞進行傳播的，當然還可能有其他病毒也通過“永恒之藍”這個漏洞傳播，因此給系統打補丁是必須的。）

2017年5月12日，WannaCry蠕蟲通過MS17-010漏洞在全球範圍大爆發，感染了大量的計算機，該蠕蟲感染計算機後會向計算機中植入敲詐者病毒，導緻電腦大量文件被加密。受害者電腦被黑客鎖定後，病毒會提示支付價值相當于300美元（約合人民币2069元）的比特币才可解鎖。

2017年5月13日晚間，由一名英國研究員于無意間發現的WannaCry隐藏開關（Kill Switch）域名，意外的遏制了病毒的進一步大規模擴散。

2017年5月14日，監測發現，WannaCry勒索病毒出現了變種：WannaCry 2.0，與之前版本的不同是，這個變種取消了Kill Switch，不能通過注冊某個域名來關閉變種勒索病毒的傳播，該變種傳播速度可能會更快。請廣大網民盡快升級安裝Windows操作系統相關補丁，已感染病毒機器請立即斷網，避免進一步傳播感染。

2019年5月，國家互聯網應急中心開通了WannaCry勒索病毒感染數據免費查詢服務。

攻擊特點

WannaCry利用Windows操作系統445端口存在的漏洞進行傳播，并具有自我複制、主動傳播的特性。

被該勒索軟件入侵後，用戶主機系統内的照片、圖片、文檔、音頻、視頻等幾乎所有類型的文件都将被加密，加密文件的後綴名被統一修改為．WNCRY，并會在桌面彈出勒索對話框，要求受害者支付價值數百美元的比特币到攻擊者的比特币錢包，且贖金金額還會随着時間的推移而增加。

阻止方法

目前，安全業界暫未能有效破除該勒索軟件的惡意加密行為。網絡安全專家建議，用戶要斷網開機，即先拔掉網線再開機，這樣基本可以避免被勒索軟件感染。開機後應盡快想辦法打上安全補丁，或安裝各家網絡安全公司針對此事推出的防禦工具，才可以聯網。建議盡快備份電腦中的重要文件資料到移動硬盤、U盤，備份完後脫機保存該磁盤，同時對于不明鍊接、文件和郵件要提高警惕，加強防範。

臨時解決方案：

開啟系統防火牆

利用系統防火牆高級設置阻止向445端口進行連接（該操作會影響使用445端口的服務）

打開系統自動更新，并檢測更新進行安裝

Win7、Win8、Win10的處理流程

1、打開控制面闆-系統與安全-Windows防火牆，點擊左側啟動或關閉Windows防火牆。

2、選擇啟動防火牆，并點擊确定

3、點擊高級設置

4、點擊入站規則，新建規則

5、選擇端口，下一步

6、特定本地端口，輸入445，下一步

7、選擇阻止連接，下一步

8、配置文件，全選，下一步

9、名稱，可以任意輸入，完成即可。

XP系統的處理流程

1、依次打開控制面闆，安全中心，Windows防火牆，選擇啟用

2、點擊開始，運行，輸入cmd，确定執行下面三條命令：net stop rdr 、net stop srv 、net stop netbt

調查處理

歐洲警察署正在與美國聯邦調查局(FBI)合作展開調查。英國國家犯罪局正在與歐洲刑警組織以及英國政府通信總部(GCHQ)的國家網絡安全中心進行合作，追蹤犯罪者。

雖然下黑手者目前還找不到，但其所用的工具，卻明确無誤地指向了一個機構——NSA（National Security Agency），美國國家安全局。這一機構又稱國家保密局，隸屬于美國國防部，是美國政府機構中最大的情報部門，專門負責收集和分析外國及本國通訊資料。黑客所使用的“永恒之藍”，就是NSA針對微軟MS17-010漏洞所開發的網絡武器。

NSA本身手裡握有大量開發好的網絡武器，但在2013年6月，“永恒之藍”等十幾個武器被黑客組織“影子經紀人”（ShadowBreakers）竊取。

2017年3月，微軟已經放出針對這一漏洞的補丁，但是一是由于一些用戶沒有及時打補丁的習慣，二是全球仍然有許多用戶在使用已經停止更新服務的WindowsXP等較低版本，無法獲取補丁，因此在全球造成大範圍傳播。加上“蠕蟲”不斷掃描的特點，很容易便在國際互聯網和校園、企業、政府機構的内網不間斷進行重複感染。

波及範圍

國内

2017年5月12日晚，中國大陸部分高校學生反映電腦被病毒攻擊，文檔被加密。病毒疑似通過校園網傳播。随後，山東大學、南昌大學、廣西師範大學、東北财經大學等十幾家高校發布通知，提醒師生注意防範。除了教育網、校園網以外，新浪微博上不少用戶反饋，北京、上海、江蘇、天津等多地的出入境、派出所等公安網也疑似遭遇了病毒襲擊。

中石油所屬部分加油站運行受到波及。5月13日，包括北京、上海、杭州、重慶、成都和南京等多地中石油旗下加油站在當天淩晨突然斷網，因斷網無法刷銀行卡及使用網絡支付，隻能使用現金，加油站加油業務正常運行。

截至14日10時30分，國家互聯網應急中心已監測到約242.3萬個IP地址遭受“永恒之藍”漏洞攻擊；被該勒索軟件感染的IP地址數量近3.5萬個，其中中國境内IP約1.8萬個。

2017年5月15日，珠海市公積金中心下發了《關于5月15日暫停辦理住房公積金業務的緊急通知》，為有效應對Windows操作系統敲詐者病毒在互聯網和政企專網大面積蔓延，對住房公積金業務數據和服務終端資料可能造成的安全威脅，珠海市住房公積金管理中心決定加固升級内外網絡，暫停辦理所有住房公積金業務。

陝西部分地市的交通管理網絡也受到了勒索病毒爆發的影響，暫停了業務辦理。此外，部分地區因“系統維護”發布相關通知，暫停辦理交管、出入境等業務。

2018年8月3日，台積電遭遇到勒索病毒Wanna Cry入侵，導緻台積電廠區全線停擺。主詞條：台積電病毒門