想哭！一個被稱為“WannaCry”（也有稱WannaCrypt）的勒索病毒近期在全球范圍內肆虐。這個傳說中屬于“網絡戰武器”的病毒，到底是怎么回事？

什么是WannaCrypt勒索病毒？

北京時間2017年5月12日晚上22點30分左右，全英國上下16家醫院遭到大范圍網絡攻擊，醫院的內網被攻陷，導致這16家機構基本中斷了與外界聯系，內部醫療系統幾乎停止運轉，很快又有更多醫院的電腦遭到攻擊，這場網絡攻擊迅速席卷全球。

這場網絡攻擊的罪魁禍首就是一種叫WannaCrypt的勒索病毒，該病毒是由不法分子通過改造“永恒之藍”網絡攻擊工具而制作。

勒索病毒本身并不是什么新概念，勒索軟件Ransomware最早出現在1989年，是由Joseph Popp編寫的叫"AIDS Trojan"（艾滋病特洛伊木馬）的惡意軟件。在1996年，哥倫比亞大學和IBM的安全專家撰寫了一個叫Cryptovirology的文件，明確概述了勒索軟件Ransomware的概念：利用惡意代碼干擾中毒者的正常使用，只有交錢才能恢復正常。

哪些地方的系統成為病毒重災區？

因為NSA的永恒之藍漏洞太強大了，除了更新了的Windows 10系統（版本1703）之外的其它Windows系統都可能受到漏洞影響。

目前已知的受影響的系統有： Windows Vista、Windows 7、Windows 8.1、Windows Server 2008（含R2）、Windows 2012（含R2）、Windows2016、已脫離服務周期的Windows XP、Windows Server 2003、Windows 8以及關閉自動更新的win10用戶。

英國醫院成為病毒入侵重災區的一個重要原因，就在于系統的落后，英國醫院的IT系統一直沒有及時更新，仍然在使用Windows XP系統，而Windows XP系統在2014年4月之后就沒有發布更新的安全補丁了。

除了英國，意大利、德國、俄羅斯、西班牙等國家都大范圍爆發勒索病毒。

意大利的大學機房被攻擊

5月12日僅一夜之間，全世界就有超過99個國家遭到攻擊，共計七萬多起。

我們國家的內網受損害也很嚴重，尤其是高校的校園網，很多單位都在內網和外網之間部署了防火墻進行網絡控制，但內網的安全反而多多少少有些被忽視，因為內網機器相互訪問的需求，再加上網絡管理人員忽略了內網本身的安全控制，在不少企業的內網里，絕大多數端口甚至是完全開放的狀態。這種情況下，電腦間的網絡連接毫無限制，也就給了蠕蟲病毒以傳播機會。

WannaCry爆發一周年:醫療行業或成WannaCry 的變種病毒重點攻擊對象

距離去年5月12日勒索病毒爆發已經一周年了。一年前，一個叫“WannaCry”的勒索病毒突然大規模爆發，席卷全球150多個國家，造成高達80億美元的經濟損失。2018年以來，勒索變種仍然層出不窮，攻擊方式不斷升級，并開始從發達城市向偏遠地區擴散，大批企業用戶紛紛中招，其中不乏政府、高校、醫院等公共基礎設施。

國內越來越多的醫院正成為黑客攻擊的靶子：2017年5月，“永恒之藍”勒索軟件對成都市傳染病醫院等部分醫院造成影響；2018年2月，湖南省某醫院遭受勒索病毒攻擊，服務器所有數據文件被強行加密；同一時間，上海某公立醫院系統被黑，黑客勒索價值2億元的以太幣；2018年4月，杭州某醫院受到勒索病毒攻擊。

勒索病毒已發展成為威脅網絡安全的重大毒瘤，嚴重威脅著企業和個人用戶的文檔和數據安全，一旦中招，不但會受到經濟損失，還會嚴重影響醫院正常工作，造成十分惡劣的影響。據媒體報道，2018年2月24日，某醫院遭受勒索病毒攻擊時，服務器所有數據文件被強行加密，導致醫院系統癱瘓，取號、辦卡、掛號、收費、診療等業務均受到影響。此時正值流感高發季，醫院大廳人滿為患。據悉該院多臺服務器感染勒索病毒，數據庫文件、業務文件均被病毒加密破壞，攻擊者要求院方必須在六小時內為每臺感染終端支付1個比特幣贖金，約合每臺終端解鎖需要支付人民幣66000余元。

與其他機構相比，醫院的信息系統比較特殊，如其中的醫學記錄、數據、病患資料以及預約信息等，都屬于需要緊急使用的信息，被勒索病毒加密后，會造成比較大的影響，所以勢必會想盡辦法以最快速度恢復數據，比如，馬上交贖金。醫院信息系統遭遇勒索、發生故障，無論是哪種突發狀況，都將直接影響到患者正常就醫，甚至會關系到病患的生命安全。因此，在血淚教訓面前，快速獲得應對勒索病毒攻擊的解決方案尤為重要。

病毒變種分析

本次捕獲的WannaCry變種跟之前風靡全球的對主機進行勒索的WannaCry

具體的變化：

1、KillSwitch開關不再有效

之前的Wannacry病毒擁有KillSwitch域名開關，當病毒可以訪問該域名（www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com）時，病毒終止運行和傳播，不會對主機造成任何破會。變種病毒雖然也會連接改KillSwitch域名，但并不會因訪問到該域名而終止運行。由于該變種病毒不再受KillSwitch影響，但是可能會像當年的飛客蠕蟲一樣，感染量較大。

2、勒索程序運行失效，可造成系統藍屏崩潰

WannaCry之前的版本釋放勒索程序對主機進行勒索，變種后程序在主流Windows平臺下運行失敗，無法進行勒索操作。但如果內網中多個主機感染了該種病毒，病毒之間會利用“永恒之藍”漏洞進行互相攻擊。由于該變種病毒使用了堆噴射技術進行漏洞利用，并不穩定，存在小概率出現漏洞利用失敗。在漏銅利用失敗的情況下，會造成被攻擊主機藍屏的現象。

病毒影響

變種病毒傳播方式跟之前一樣，也是通過 MS17-010 中的“永恒之藍”漏洞進行傳播。病毒傳播過程中，漏洞利用成功時主機受感染，漏洞利用失敗則造成主機藍屏，藍屏信息顯示 srv.sys 驅動出現問題，srv.sys 正是存在“永恒之藍”漏洞的驅動文件。

該變種病毒單臺主機被感染特征不明顯，容易引發內網傳播，擴大影響范圍，需小心防范。

如何應對WannaCrypt勒索病毒？

1、微軟官方在 3 月份已發布補丁 MS17-010 修復了“永恒之藍”病毒所利用的 SMB 漏洞，請前往官網下載安裝。經過前段時間 WannaCry 勒索病毒事件已打過補丁的用戶將不受影響，無需再次升級補丁。補丁地址：

https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx

2、暫時無法進行升級的用戶，可臨時禁止使用 SMB 服務的 445 端口，禁用方法：

https://jingyan.baidu.com/article/d621e8da0abd192865913f1f.html

3、深信服防火墻早在一個月前就已發布針對微軟 SMB 漏洞的攻擊防護，用戶升級到 20170415 及其以上版本即可防御此漏洞的攻擊。

4、深信服千里目安全實驗室在捕獲 WannaCry 變種樣本后緊急開發專殺工具，計算機在中病毒后，可以使用專殺工具進行查殺。建議先封閉本地主機的445端口，或者打完補丁后重啟主機，再進行專殺確保專殺干凈。專殺工具下載地址：

http://sec.sangfor.com.cn/download?file=WannaCryKiller.exe

5、劃重點，電腦上的文件一定要備份，并且勤備份。注意不要備份在本機和網絡硬盤上，備份盤也不要一直插在電腦上；

6、安裝反勒索防護工具，不要訪問可疑網站、不要打開可疑的電子郵件和文件，如果發現被感染，也不要支付贖金；