勒索病毒“WannaCry” 来了,除了哭,还能做什么
作者：佚名
分类 : 新闻中心
　周一，对大多数上班族来说，本来就是一个“发病日”，因为几乎大部分上班族都患了一种病：周一上班恐惧症(想哭的感觉有没有~)。But，这个周一，病的不只是人，很多电脑也感染了，就是那个被称为“想哭”的病毒，英文名：WannaCry……真的想哭，有没有?
　　事件回放 - 攻击
　　北京时间12日晚上10点，英国16家医院首先被报道同时遭到攻击，这些医院的网络被攻陷，电脑被锁定……要求每台电脑支付等额价值300美元的比特币，否则将删除电脑所有资料……事情发生时英国上下一片慌乱。—瞬间，医院里的电脑一台接一台地被感染,医院的IT部门也马上响应，要求关停所有没被感染的电脑。
　　没有了电脑的内部病例沟通系统，医生不能给病人做X光、CT等检查，因为这些系统已经全部数字化，本应直接在电脑上把图像传给医生。
　　一个病人在NHS医院排了10个月的队等待做一台心脏手术，却在手术即将开始的最后关头遇上网络攻击，手术被紧急取消。
　　约克郡的一名药剂师表示，没有了电子处方，他只能重新开始使用纸笔，找不到病人的历史记录，感觉回到了石器时代。
　　很快，全英国上下越来越多的医院汇报自己的电脑收到攻击，而所有被攻击的电脑，显示的都是一个电脑被锁定的红框。
　　 事件回放 - 蔓延
　　正当所有人都觉得这是一场针对英国医院的网络袭击时，更多消息传来，不只是英国，这一场网络攻击几乎席卷全球!
　　西班牙：电话公司(Telefonica)、天然气公司(Gas Natural)等都已受到病毒影响。
　　意大利：大学中招……
　　德国：火车站系统中招……
　　俄罗斯：政府内政部超过1000台电脑受到攻击瘫痪，俄罗斯内政部称，病毒通过Windows感染该国的电脑后，已经实现“本土化”。
　　美国：公司受这款病毒侵袭。
　　最新进展
　　截至14日10时30分，国家应急中心已监测到约242.3万个IP地址遭受“永恒之蓝”漏洞攻击;被该勒索软件感染的IP地址数量近3.5万个，其中中国境内IP约1.8万个。
　　昨天下午，国家网络与通报中心发布了紧急通报，通报称，监测发现，在全球范围内爆发的WannaCry勒索病毒出现了变种：WannaCry2.0。
　　与之前版本的不同是，这个变种取消了Kill Switch，不能通过注册某个来关闭变种勒索病毒的传播，据了解变种后勒索病毒传播速度可能会更快。请广大网民尽快升级安装Windows操作系统相关补丁，已感染病毒机器请立即断网，避免进一步传播感染。
　　另据360威胁情报中心的统计，全球近百个国家的超过10万家组织和机构被攻陷，其中包括1600家美国组织，11200家俄罗斯组织。包括西班牙电信巨头Telefonica，电力公司Iberdrola，能源供应商Gas Natural在内的西班牙公司的网络系统也都瘫痪。葡萄牙电信、美国运输巨头FedEx、瑞典某当地政府、俄罗斯第二大移动运营商Megafon都已曝出相关的攻击事件。
　　国内已经有29372家机构组织的数十万台机器感染WannaCry，被感染的组织和机构已经覆盖了几乎所有地区，影响范围遍布高校、火车站、自助终端、邮政、加油站、医院、政府办事终端等多个领域。目前被感染的电脑数字还在不断增长中……
　　某高校机房全部遭遇WNCRY敲诈者攻击
　　国内某地加油站系统遭遇本次敲诈者蠕虫变种攻击
　　某机场航班信息终端同样遭遇了敲诈者蠕虫攻击
　　恐怖，那主机有什么应对方法?
　　在5月12日晚间，迅达云SpeedyCloud的同学已经连夜加班，通过邮件、电话等方式向客户发出告警通知，并给出了应对，包括两部分：
　　安装Windows 官方补丁(请点击阅读原文下载并安装补丁)
　　新增规则，仅需三步，过程如下所示：
　　PS：如果您是网络小白用户，也可以请迅达云的运维工程师帮您解决问题，我们很乐意帮您~
　　防火墙规则的使用方法：
　　第一步：登陆控制台，进入防火墙页面，点击添加规则：
　　第二步：添加拒绝445端口的策略，然后更新防火墙，如下图所示：
　　更新完成后，可以在页面上看到状态为已更新状态，此时防火墙策略已经生效：
　　第三步：在云主机页面将云主机加入该防火墙，该台云主机即可受该防火墙策略保护：
　　事实上，3月就已发布针对此类勒索软件的补丁，但许多用户尚未安装。13日，微软宣布这一补丁完全免费使用，所有用户都可，当时迅达云也针对该补丁，提示用户进行提前防御：
　　迅达云还有哪些?
　　迅达云，其实为用户做了全方位的安全服务，包括：
　　基础设置安全：T3+级别机房、冗余配置机电系统、冗余配置系统;
　　安全：数据、数据多备份分散、支持数据加密传输;
　　安全服务：账号和权限管理、云服务深度监控、运维审计、应用防火墙、漏洞扫描、检测、防护;
　　另外迅达云，也取得了很多合规资质：国家信息安全等级保护三级认证、可信云认证、云操作系统销售许可证、ISO27001认证、ISO9001认证等。
　　文末，附一个个人临时解决方案
　　除了国家网络与信息安全信息通报中心的建议外，这里有一份临时解决方案，现在就手把手教你：如何设置电脑，防范勒索病毒。
　　开启系统防火墙
　　利用系统防火墙高级设置阻止向445端口进行连接(该操作会影响使用445端口的服务)
　　打开系统自动更新，并检测更新进行安装
　　360公司发布的“比特币勒索病毒”免疫地址：/nsa/nsatool.exe
　　Win7、、Win10的处理流程
　　1、打开控制面板-系统与安全-Windows防火墙，点击左侧启动或关闭Windows防火墙
　　2、选择启动防火墙，并点击确定
　　3、点击高级设置
　　4、点击入站规则，新建规则
　　5、选择端口，下一步
　　6、特定本地端口，输入445，下一步
　　7、选择阻止连接，下一步
　　8、配置文件，全选，下一步
　　9、名称，可以任意输入，完成即可。
　　XP系统的处理流程
　　1、依次打开控制面板，安全中心，Windows防火墙，选择启用
　　2、点击开始，运行，输入cmd，确定执行下面三条命令
　　net stop rdr
　　net stop srv
　　net stop netbt
　　3、由于微软已经不再为XP系统提供系统更新，建议用户尽快升级到高版本系统。
　　敲诈者正处于传播期，被病毒感染上锁的电脑还无法解锁。建议尽快备份电脑中的重要文件资料到、U 盘，备份完后脱机保存该，同时对于不明链接、文件和邮件要提高警惕，加强防范。
[ 责任编辑：俊红 ]
比特网 15:47:22
互联网+升级到智能+,开启万物智联新时代
中国互联网消费市场,发展潜力一片大好
软件信息化周刊
比特软件信息化周刊提供以数据库、操作系统和管理软件为重点的全面软件信息化产业热点、应用方案推荐、实用技巧分享等。以最新的软件资讯，最新的软件技巧，最新的软件与服务业内动态来为IT用户找到软捷径。
商务办公周刊
比特商务周刊是一个及行业资讯、深度分析、企业导购等为一体的综合性周刊。其中，与中国计量科学研究院合力打造的比特实验室可以为商业用户提供最权威的采购指南。是企业用户不可缺少的智选周刊！
比特网络周刊向企业网管员以及网络技术和产品使用者提供关于网络产业动态、技术热点、组网、建网、网络管理、网络运维等最新技术和实用技巧，帮助网管答疑解惑，成为网管好帮手。
服务器周刊
比特服务器周刊作为比特网的重点频道之一，主要关注x86服务器，RISC架构服务器以及高性能计算机行业的产品及发展动态。通过最独到的编辑观点和业界动态分析，让您第一时间了解服务器行业的趋势。
比特存储周刊长期以来，为读者提供企业存储领域高质量的原创内容，及时、全面的资讯、技术、方案以及案例文章，力求成为业界领先的存储媒体。比特存储周刊始终致力于用户的企业信息化建设、存储业务、数据保护与容灾构建以及数据管理部署等方面服务。
比特安全周刊通过专业的信息安全内容建设，为企业级用户打造最具商业价值的信息沟通平台，并为安全厂商提供多层面、多维度的媒体宣传手段。与其他同类网站信息安全内容相比，比特安全周刊运作模式更加独立，对信息安全界的动态新闻更新更快。
新闻中心热点推荐
新闻中心以独特视角精选一周内最具影响力的行业重大事件或圈内精彩故事，为企业级用户打造重点突出，可读性强，商业价值高的信息共享平台；同时为互联网、IT业界及通信厂商提供一条精准快捷，渗透力强，覆盖面广的媒体传播途径。
云计算周刊
比特云计算周刊关注云计算产业热点技术应用与趋势发展，全方位报道云计算领域最新动态。为用户与企业架设起沟通交流平台。包括IaaS、PaaS、SaaS各种不同的服务类型以及相关的安全与管理内容介绍。
CIO俱乐部周刊
比特CIO俱乐部周刊以大量高端CIO沙龙或专题研讨会以及对明星CIO的深入采访为依托，汇聚中国500强CIO的集体智慧。旨为中国杰出的CIO提供一个良好的互融互通 、促进交流的平台，并持续提供丰富的资讯和服务，探讨信息化建设，推动中国信息化发展引领CIO未来职业发展。
IT专家新闻邮件长期以来，以定向、分众、整合的商业模式，为企业IT专业人士以及IT系统采购决策者提供高质量的原创内容，包括IT新闻、评论、专家答疑、技巧和白皮书。此外，IT专家网还为读者提供包括咨询、社区、论坛、线下会议、读者沙龙等多种服务。
X周刊是一份IT人的技术娱乐周刊，给用户实时传递I最新T资讯、IT段子、技术技巧、畅销书籍，同时用户还能参与我们推荐的互动游戏，给广大的IT技术人士忙碌工作之余带来轻松休闲一刻。揭秘：关于勒索病毒WannaCry不得不知的9个真相
　　【环球科技综合报道 记者 心月 陶宗瑶】说到&WannaCrypt&(永恒之蓝)相信大家并不陌生，这一病毒自5月12日突然爆发以来，已导致全球至少150个国家受到了感染攻击，全球超10万台机器被感染，造成政府、医疗、教学、基础设施等系统被破坏，包括英国医疗系统、快递公司FedEx、俄罗斯电信公司Megafon以及我国多家高校校园网和多家能源企业、政府机构均未能幸免，纷纷受到攻击。
　　据悉，感染WannaCrypt病毒之后，相应设备的磁盘文件会被篡改为相应的后缀，包括文档、图片、视频以及压缩包在内的各类资料将无法正常打开，若想恢复被加密的各类资料，需要向勒索者支付 5 比特币或者 300 美元赎金(约合 5 万和 2000 多元人民币)。另外，按照勒索者的说法，如果一周之内不付款，他们会完全删除被加密的文件。
　　那么产生如此重大影响与后果的勒索病毒暗藏哪些真相？火绒安全为大家进行了揭秘，一起来看看：
　　1、小白用户如何防御这个勒索病毒？
　　请广大用户无需过度担心，安装&火绒安全软件&即可防御这个勒索病毒，以及新出现的变种。同时，请给操作系统升级、安装补丁程序(详情见下文)。
　　5月13日周六中午，&火绒安全软件&就已经完成紧急升级，通过火绒官网下载软件，升级到最新版本即可防御、查杀该病毒。
　　火绒团队正在日夜值守，持续跟踪新的病毒变种，一旦遇到新变种会随时升级产品。火绒产品默认自动升级，请广大用户放心使用，无需做任何设置。
　　内网用户请通过外网下载火绒产品升级到最新版本，然后覆盖安装内网电脑即可。
　　2、哪些用户容易被感染，为什么政府机关和大学是重灾区？
　　我们发现，目前这个病毒通过共享端口传播，除了攻击内网IP以外，也会在公网进行攻击。但是，只有直接暴露在公网且没有安装相应操作系统补丁的计算机才会受到影响，因此那些通过路由拨号的个人用户，并不会直接通过公网被攻击。如果企业网络也是通过总路由出口访问公网的，那么企业网络中的电脑也不会受到来自公网的直接攻击，但并不排除病毒未来版本会出现更多传播渠道。
　　很多校园网或其他网络存在一些直接连接公网的电脑，而内部网络又类似一个大局域网，因此一旦暴露在公网上的电脑被攻破，就会导致整个局域网存在被感染的风险。
　　根据&火绒威胁情报系统&的数据，互联网个人用户被感染的并不多。
　　3、已经被感染用户，能否恢复被加密锁死的文件？
　　结论：这非常难，几乎不可能，即使支付赎金，也未必能得到解密密钥。
　　相比以往的勒索病毒，这次的WannaCry病毒存在一个致命缺陷&&病毒作者无法明确认定哪些受害者支付了赎金，因此很难给出相应的解密密钥(密钥是对应每一台电脑的，没有通用密钥)。
　　请不要轻易支付赎金(比特币)，如上所述，即使支付了赎金，病毒作者也无法区分到底谁支付赎金并给出相应密钥。
　　网上流传一些&解密方法&，甚至有人说病毒作者良心发现，已经公布了解密密钥，这些都是谣言。这个勒索病毒和以往的绝大多数勒索病毒一样，是无法解密的，请不要相信任何可以解密的谎言，防止上当受骗。
　　某些安全公司也发布了解密工具，其实是&文件修复工具&，可以有限恢复一些被删除的文件，但是依然无法解密被锁死的文件。
　　4、这个勒索病毒会攻击哪些系统？
　　答：这次病毒爆发影响确实非常大，为近年来所罕见。该病毒利用NSA&永恒之蓝&这个严重漏洞传播，几乎所有的Windows系统如果没有打补丁，都会被攻击。
　　微软在今年 3 月发布了 MS17-010 安全更新，以下系统如果开启了自动更新或安装了对应的更新补丁，可以抵御该病毒&&Windows Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2、Windows 8.1、Windows Server 2012、Windows 10、Windows Server 2012 R2、Windows Server 2016 。
　　最安全的是Windows 10 的用户，该系统是是默认开启自动更新且无法关闭的，所以不会受该病毒影响。
　　另外：由于此次事件影响巨大，微软破天荒的再次为已经不在维护期的Windows XP、Windows 8和 Windows Server 2003 提供了紧急安全补丁更新。
　　5、除了Windows系统的电脑外，手机、Pad、Mac等终端是否会被攻击？
　　答：不会的，病毒只攻击Windows系统的电脑，手机等终端不会被攻击，包括Unix、Linux、Android等系统都不会受影响。
　　请大家不要惊慌，不要听信谣言。例如下图，明显是假的，是造谣者PS的。
　　6、被这个勒索病毒感染后的症状是什么？
　　答：中毒后最明显的症状就是电脑桌面背景被修改，许多文件被加密锁死，病毒弹出提示。
　　被病毒加密锁死的文件包括以下后缀名：
　　................123;..wk1;...onetoc2;...........................602;...........ARC;.PAQ;.bz2;......7z;..................m4u;.m3u;....3g2;..3.mp4;...........mp3;................ps1;.....h;...c;.................sqlite3;..lay6;...........wb2;.......3..3.......p12;.....
　　7、&永恒之蓝&和&勒索病毒&是什么关系？
　　答：&永恒之蓝&是指NSA泄露的危险漏洞&EternalBlue&，此次的勒索病毒WannaCry是利用该漏洞进行传播的，当然还可能有其他病毒也通过&永恒之蓝&这个漏洞传播，因此给系统打补丁是必须的。
　　8、听说一个英国小哥的意外之举，阻止了近日席卷全球网络的比特币勒索病毒攻击事件的继续蔓延，拯救了全世界，是不是真的？
　　答：勒索病毒WannaCry的病毒体中包含了一段代码，内容是病毒会自动联网检测&&这个网址是否可以访问，如果可以访问，则不再继续传播。这就是该病毒的&神奇开关&。
　　国外安全研究人员(英国小哥)发现这段代码后立刻注册了这个网址，的确是有效地阻止了该病毒的更大范围的传播。但是，这仅仅阻止了病毒的传播，已经被感染的电脑依然被攻击，文件会被加密锁死。
　　另外，病毒体中的这段代码没有被加密处理，任何一个新的病毒制造者都可以修改、删除这段代码，因此未来可能出现&神奇开关&被删除了的新变种病毒。
　　9、如果使用正版操作系统，并开启了自动更新，那还是否需要使用网上的免疫工具？
　　答：Vista以上系统如果开启了自动更新，就不需要使用任何免疫工具，更不需要手工关闭相关端口。Winxp、Win2003和Win8这3个系统如果打了微软紧急提供的补丁，也无需再用免疫工具，以及手动关闭端口。
责编：陶宗瑶(实习生)
版权作品，未经环球网书面授权，严禁转载，违者将被追究法律责任。
环球时报系产品
扫描关注环球网官方微信
扫描关注 这里是美国微信公众号
扫描关注更多环球微信公众号WannaCry勒索病毒，是这么一回事 | 科学人 | 果壳网 科技有意思
WannaCry勒索病毒，是这么一回事
本文作者:一桶猫
想哭！上周末，一个被称为“WannaCry”（也有称WannaCrypt）的勒索病毒在全球范围内肆虐。这个传说中属于“网络战武器”的病毒，到底是怎么回事？这篇文章会为你梳理事情的全貌。
什么是WannaCrypt勒索病毒？
北京时间日晚上22点30分左右，全英国上下16家医院遭到大范围网络攻击，医院的内网被攻陷，导致这16家机构基本中断了与外界联系，内部医疗系统几乎停止运转，很快又有更多医院的电脑遭到攻击，这场网络攻击迅速席卷全球。
这场网络攻击的罪魁祸首就是一种叫WannaCrypt的勒索病毒。
勒索病毒本身并不是什么新概念，勒索软件Ransomware最早出现在1989年，是由Joseph Popp编写的叫"AIDS Trojan"（艾滋病特洛伊木马）的恶意软件。在1996年，哥伦比亚大学和IBM的安全专家撰写了一个叫Cryptovirology的文件，明确概述了勒索软件Ransomware的概念：利用恶意代码干扰中毒者的正常使用，只有交钱才能恢复正常。
最初的勒索软件和现在看到的一样，都采用加密文件、收费解密的形式，只是所用的加密方法不同。后来除了加密外，也出现通过其他手段勒索的，比如强制显示色情图片、威胁散布浏览记录、使用虚假信息要挟等形式，向受害者索取金额的勒索软件，这类勒索病毒在近几年来一直不断出现。
被WannaCrypt勒索病毒侵入的电脑都会显示上图要求赎金的信息
本次肆虐的WannaCry也是同样的勒索方式，病毒通过邮件、网页甚至手机侵入，将电脑上的文件加密，受害者只有按要求支付等额价值300美元的比特币才能解密，如果7天内不支付，病毒声称电脑中的数据信息将会永远无法恢复。
勒索病毒是怎么加密的？
在提到加密原理之前，首先要来科普一个概念：RSA加密算法，RSA公钥加密是一种非对称加密算法，包含3个算法：KeyGen（密钥生成算法），Encrypt（加密算法）以及Decrypt（解密算法）。
其算法过程需要一对密钥（即一个密钥对），分别是公钥（公开密钥）和私钥（私有密钥），公钥对内容进行加密，私钥对公钥加密的内容进行解密。“非对称”这三个字的意思是，虽然加密用的是公钥，但拿着公钥却无法解密。
这次WannaCrypt勒索病毒使用的就是2048位密钥长度的RSA非对称加密算法对内容进行加密处理。通过随机生成的AES密钥、使用AES-128-CBC方法对文件进行加密，然后将对应的AES密钥通过RSA-2048加密，再将RSA加密后的密钥和AES加密过的文件写入到最终的.WNCRY文件里。（感谢评论里的朋友指正）简单来说，就是用一个非常非常复杂的钥匙，把你的文件锁上了。能解开的钥匙掌握在黑客手里，你没有；而以现在的计算能力，也基本没有办法强行破解。
图片来源：腾讯安全联合实验室（/news/tech/1575.html）
勒索病毒是怎么全球范围大规模爆发的？
按理说，勒索病毒只是一个“锁”，其本身并没有大规模传播的能力。这次病毒的泄露与爆发，跟美国国家安全局（NSA）有关。
NSA是美国政府机构中最大的情报部门，隶属于美国国防部，专门负责收集和分析外国及本国通讯资料，而为了研究入侵各类电脑网络系统，NSA或多或少会跟各种黑客组织有合作，这些黑客中肯定有人能够入侵各种电脑。
事情起源于2016 年 8 月，一个叫 “The Shadow Brokers” （TSB）的黑客组织号称入侵了疑似是NSA下属的黑客方程式组织（Equation Group），从中窃取了大量机密文件，还下载了他们开发的攻击工具，并将部分文件公开到网上（GitHub）。
这些被窃取的工具包括了大量恶意软件和入侵工具，其中就有可以远程攻破全球约70%Windows机器的漏洞利用工具永恒之蓝（Eternal Blue）。“永恒之蓝”是疑似NSA针对CVE-2017-（）这几个漏洞开发的漏洞利用工具，通过利用Windows SMB协议的漏洞来远程执行代码，并提升自身至系统权限。
日和16日，“The Shadow Brokers”分别在网上公布了解压缩密码和保留的部分文件，也就是说，无论是谁，都可以下载并远程攻击利用，各种没有打补丁的Windows电脑都处在危险状态。
勒索病毒与永恒之蓝搭配的效果就是，只要有一个人点击了含有勒索病毒的邮件或网络，他的电脑就会被勒索病毒感染，进而使用永恒之蓝工具进行漏洞利用，入侵并感染与它联网的所有电脑。
图片来源：腾讯安全反病毒实验室攻击流程演示
简单地说，可以把永恒之蓝（传播的部分）当成武器，而WannaCrypt勒索病毒（加密文件并利用传播工具来传播自身）是利用武器的人。一旦机器连接在互联网上，它就会随机确定IP地址扫描445端口的开放情况，如果是开放的状态则尝试利用漏洞进行感染；如果机器在某个局域网里，它会直接扫描相应网段来尝试感染。
很多人会奇怪，攻击工具明明是上个月泄露的，但是怎么时隔一个月才集中爆发？一些安全专家发现，这些电脑其实早已被感染，也就是说，在一个月前永恒之蓝早已像定时炸弹一样被安在各个系统中，只是5月12日那天才被启动。
5月16日上午，杀毒软件公司卡巴斯基（Kaspersky Lab）的研究室安全人员表示，他们在研究了早期蠕虫病毒版本与2015年2月的病毒样本发现，其中部分相似的代码来自于卡巴斯基之前关注的朝鲜黑客团队“拉撒路组”，代码的相似度远超正常程度。
因此，卡巴斯基认为这次WannaCrypt勒索病毒与之前的冲击波病毒出自同一黑客团队，同时，信息安全领域的解决方案提供商赛门铁克（Symantec）也发现了同样的证据，安全专家Matt Suiche上午在推特（@msuiche）上公布证据，表示遍及全球的勒索病毒背后可能是朝鲜黑客团队“拉撒路组”的猜测。
Twitter：https://t.co/qSnkyug8XH
为什么要用比特币支付？
比特币（Bitcoin）是一种网络虚拟货币，在2009年被匿名的程序员创造之后作为开放资源发布，除了通过采矿获得，比特币还可以兑换成其它货币。
其最大的特点是分散在整个网络上，完全匿名且不受各种金融限制，几乎很难从一个比特币账户追查到另一个。由此可知，比特币自然成为黑客索要赎金的不二选择。
在中了勒索病毒的情况下，移除勒索病毒、使用防毒软件都无法打开加密文件，一些被侵入的企业会为了保护重要的文件而选择在规定时间内支付比特币赎金，截止到5月16日13时，跟这次病毒爆发相关的账户一共有36个比特币的收益。
36个比特币虽然看上去不值一提，但是从病毒爆发到现在，比特币兑换的汇率一路猛涨，截止到5月16日13时，1比特币相当于1700美元左右，约合人民币11700元。
自2016年6月至今的比特币汇率变化图
尽管如此，有几个已经中招的用户在网上向黑客求情，竟然真的被免费解锁了……
5月14日下午，一个台湾的受害者在社交软件上向黑客求情：“我每月收入仅 400 美元，你真的要这样对我吗？”，结果没想到，收到了黑客的回复并被免费解锁了！
哪些地方的系统成为病毒重灾区？
因为NSA的永恒之蓝漏洞太强大了，除了更新了的Windows 10系统（版本1703）之外的其它Windows系统都可能受到漏洞影响。
目前已知的受影响的系统有： Windows Vista、Windows 7、Windows 8.1、Windows Server 2008（含R2）、Windows 2012（含R2）、Windows2016、已脱离服务周期的Windows XP、Windows Server 2003、Windows 8以及关闭自动更新的win10用户。
英国医院成为病毒入侵重灾区的一个重要原因，就在于系统的落后，英国医院的IT系统一直没有及时更新，仍然在使用Windows XP系统，而Windows XP系统在2014年4月之后就没有发布更新的安全补丁了。
除了英国，意大利、德国、俄罗斯、西班牙等国家都大范围爆发勒索病毒。
意大利的大学机房被攻击
5月12日仅一夜之间，全世界就有超过99个国家遭到攻击，共计七万多起。
我们国家的内网受损害也很严重，尤其是高校的校园网，很多单位都在内网和外网之间部署了防火墙进行网络控制，但内网的安全反而多多少少有些被忽视，因为内网机器相互访问的需求，再加上网络管理人员忽略了内网本身的安全控制，在不少企业的内网里，绝大多数端口甚至是完全开放的状态。这种情况下，电脑间的网络连接毫无限制，也就给了蠕虫病毒以传播机会。
内网的网络控制是靠内网网管来进行部署的，国内的大多数网络运营商都直接对445端口进行了封锁，哪怕漏洞存在，因为端口无法访问，病毒也自然就不能继续传播了。
如何应对WannaCrypt勒索病毒？
从病毒爆发到现在，已经有各路专业人士发布过解决方法，简单总结一下：
1、划重点，电脑上的文件一定要备份，并且勤备份。注意不要备份在本机和网络硬盘上，备份盘也不要一直插在电脑上；
2、安装反勒索防护工具，不要访问可疑网站、不要打开可疑的电子邮件和文件，如果发现被感染，也不要支付赎金；
3、关闭电脑包括TCP和UDP协议135和445端口，尤其是Windows7系统，不要使用校园网；
4、安装微软发布的修复“永恒之蓝”攻击的系统漏洞的补丁MS17-010，尽快升级安装Windows操作系统相关补丁。
除了上面的措施，幕后的网络安全人员也在通宵奋战。病毒爆发的第二天，一个英国安全人员分析了病毒的代码，发现在代码的开头有一个域名地址，从病毒开始侵入之后访问量激增。
于是他花钱把这个域名注册了下来，结果发现这个域名接到了几乎全世界的电脑上！随后，安全人员进一步分析发现，这是病毒作者留给自己的紧急停止开关。
在代码中提到，每一个被感染的电脑在发作前都会访问这个域名，而如果这个域名不存在，就会一直继续传播下去，一旦被注册就会停止传播。
因为一次意外，安全人员还绘制出了攻击地图...
地图上的每一个蓝点都代表着被攻击的电脑，并且有可能继续攻击同一网络中的其它电脑。
在安全人员昼夜不停地努力之下，有效阻止了进一步大范围爆发的可能，人们的安全意识也普遍提高了。（编辑：姜Zn）
https://en.wikipedia.org/wiki/Ransomware
https://en.wikipedia.org/wiki/Bitcoin
/news/technology-
/address/12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw
/address/115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn
/address/13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94
/charts/market-price
https://zh.wikipedia.org/wiki/RSA%E5%8A%A0%E5%AF%86%E6%BC%94%E7%AE%97%E6%B3%95
.au/yourlanguage/cantonese/zh-hant/article//hei-ke-mian-fei-wei-tai-wan-qiong-yong-hu-jie-suo
//wemedia.shtml
/msuiche/status/641985
/question//answer/
你可能感兴趣
这次事件说白了教育了很多自以为电脑优化小技巧就是把自动更新一关了事的人,还有那些看了几句谣传就以为新系统永远不如老系统,死赖着还用XP不算还隔三差五黑WIN10的人,尼玛玩电脑这种没几十年历史的东西都玩出怀旧来了,你怎么不回去用算盘.用逼乎上的段子就是:微软就像妈一样，天天和你说天凉了多穿衣服，要不然会感冒。甚至都把衣服买好了给你寄过去了，你嫌烦把快递拒收了，还把你妈微信号拉黑了。结果有一天你真的因为少穿衣服感冒了，难受得不行，你却找别人去说，你说我妈为什么不告诉我最近天亮要感冒了呢？？微软：你还要我怎样，要怎样？？？
737和320飞了几十年，出了一堆事故，到今天波音、空客、FAA、EASA、全世界的航空公司还在不停地发现风险点，打补丁修正。按有些人的逻辑，这么多年都找不全飞机漏洞，说明全世界民航业都是废物，就他自己一张嘴最牛逼。
科学松鼠会成员，信息学硕士生
WCry本地文件加密应该主要是AES-128，密钥传输才是RSA，因为RSA的速度太慢，一般只用来加密对称密码的密钥。
显示所有评论
全部评论(110)
金属材料学博士
引用文章内容：除了上面的措施，幕后的网络安全人员也在通宵奋战。病毒爆发的第二天，一个英国安全人员分析了病毒的代码，发现在代码的开头有一个域名地址www.iuqerfsodp9ifjaposdfjhgosurijfa...这个后门不是据说因为2.0版本的病毒发布被堵上了吗
简直像是一场网络战争。。。。。
主要疑问是为啥要有个停止开关， 根据这个有文章说其实是为了警示"永恒之蓝" 或者说NSA， 我觉得也有可能是为了以后更好的卖出他们的黑客工具包。。。
我觉得勒索钱为虚，炒作比特币为实。
因此，卡巴斯基认为这次WannaCrypt勒索病毒与之前的冲击波病毒出自同一黑客团队，同时，信息安全领域的解决方案提供商赛门铁克（Symantec）也发现了同样的证据，安全专家Matt Suiche上午在推特（）上公布证据，表示遍及全球的勒索病毒背后可能是朝鲜黑客团队“拉撒路组”的猜测。朝鲜真的有这种实力吗？从NSA偷资料？个人抱着怀疑的态度看这个观点。ps: 一个用W7的学生狗在用校园网，稍稍一慌以表尊敬。
这次事件说白了教育了很多自以为电脑优化小技巧就是把自动更新一关了事的人,还有那些看了几句谣传就以为新系统永远不如老系统,死赖着还用XP不算还隔三差五黑WIN10的人,尼玛玩电脑这种没几十年历史的东西都玩出怀旧来了,你怎么不回去用算盘.用逼乎上的段子就是:微软就像妈一样，天天和你说天凉了多穿衣服，要不然会感冒。甚至都把衣服买好了给你寄过去了，你嫌烦把快递拒收了，还把你妈微信号拉黑了。结果有一天你真的因为少穿衣服感冒了，难受得不行，你却找别人去说，你说我妈为什么不告诉我最近天亮要感冒了呢？？微软：你还要我怎样，要怎样？？？
可能性1：我手里有一大堆比特币，拼命吹嘘这东西抗通胀，结果还是没人信，难以变现，更别提高位变现了。后来我想了个办法，我问别人要比特币，别人没有，就得买，从哪买呢？当然从我这买了。然后呢？然后就没然后了，比特币还是见鬼去吧，又不能当饭吃。可能性2：我想勒索点钱，又怕现金交易被监控，更怕被条子顺藤摸瓜找过来，于是我选择用所谓匿名的比特币。后来的事大家都知道了，我得到很多比特币。再后来有人专门监控比特币流通了，至少大规模变现是不可能了。感觉自己抢到了一堆假钱，感觉自己滞胀了。
引用 的话：可能性1：我手里有一大堆比特币，拼命吹嘘这东西抗通胀，结果还是没人信，难以变现，更别提高位变现了。后来我想了个办法，我问别人要比特币，别人没有，就得买，从哪买呢？当然从我这买了。然后呢？然后就没然后了...呵呵,在如今这个网上交易开始大规模支持比特币的年代,你给我个把比特币变现的理由,怕是还活在2000年,把比特币当网游道具呢?还需要变现?我昨天才在steam上用比特币买了个越南呢.
引用 的话：可能性1：我手里有一大堆比特币，拼命吹嘘这东西抗通胀，结果还是没人信，难以变现，更别提高位变现了。后来我想了个办法，我问别人要比特币，别人没有，就得买，从哪买呢？当然从我这买了。然后呢？然后就没然后了...过几年移动支付和虚拟货币结合度更高了,傻逼才要现金呢,现金有毛用,被勒索了连赎金都交不了,卖菜的大爷都嫌麻烦,人家头也不抬指了指他的二维码.
引用文章内容：关闭电脑包括TCP和UDP协议135和445端口，尤其是Windows7系统，不要使用校园网我的电脑里面没有本地策略，怎么办呢？win7.
引用 的话：我的电脑里面没有本地策略，怎么办呢？win7.重装个专业版以上的WIN7或WIN10.没有本地策略多半是家庭版,如今升级是无缝升级的并不会丢失东西,当然你要是傻了和几年前装系统一样把系统盘格了重装那就完蛋了.
勘查技术与工程专业，编程爱好者
我们单位从这周一一大早到现在一直处于应急响应状态。内网除少数机器以外全部断开，一台一台地打补丁，打完才能重新连接。内网里的服务器也被紧急下线。
勘查技术与工程专业，编程爱好者
不光135和445，还有137、138、139也要关掉。
万一黑客被抓住，会不会被杀。
科学松鼠会成员，信息学硕士生
WCry本地文件加密应该主要是AES-128，密钥传输才是RSA，因为RSA的速度太慢，一般只用来加密对称密码的密钥。
引用 的话：朝鲜真的有这种实力吗？从NSA偷资料？个人抱着怀疑的态度看这个观点。ps: 一个用W7的学生狗在用校园网，稍稍一慌以表尊敬。怎么看的文章？ 这个漏洞利用工具是被其他黑客组织给公布的！ |事情起源于2016 年 8 月，一个叫 “The Shadow Brokers” （TSB）的黑客组织号称入侵了疑似是NSA下属的黑客方程式组织（Equation Group），从中窃取了大量机密文件，还下载了他们开发的攻击工具，并将部分文件公开到网上（GitHub）。
来自 大侃刀
有机化学博士，法学学士
引用 的话：简直像是一场网络战争。。。。。就是一场网络战争的预演，只不过这次是一帮蟊贼，下次就是NSA的正规军上了。
引用 的话：不光135和445，还有137、138、139也要关掉。保持着win10自动更新，啥事没有
果壳爱宠站编辑
引用 的话：我的电脑里面没有本地策略，怎么办呢？win7.不一定要本地策略 直接加防火墙规则也行的
win7开机23进程，更新什么的都是浮云我没启动这服务，你怎样攻击我？
这里我想问个事情，windows 7 以上都带有加密硬盘某个分区的功能（密钥需要自己记住，数据统统 AES 加密）。如果这个病毒闯进来，碰巧这时那片硬盘存储没解锁，这个病毒还能给我这个盘加密吗？【按我想的，这时E盘的权限已经被系统锁死，读取都不可能了，病毒应该没办法了....有点想拿个病毒样本进来试试看....仔细掂量还是不敢尝试....】
这次其实还有微软的回应，非常好玩：首先强调自己3月份就堵住这个窟窿了，可一被问及是否之前收到了政府部门的预警就开始哼哼呵呵...到处岔话题....接着又批评NSA防范不力，同时又说为打击恐怖组织弄出这些网络武器，也还是必要的....总之，迷之精分～～～
单位机器：裸奔xp家里：关闭自动更新几年没更新补丁的盗版win7无论单位家里都没听说过有人中招。所以，无视：）
这次WannaCrypt勒索病毒使用的就是2048位密钥长度的RSA非对称加密算法对内容进行加密处理。。。_____________________这段不准确，RSA算法速度很慢，一般不会用来直接加密文件。病毒加密文件用的是AES，这是一种对称加密算法，速度比RSA快得多，只是用RSA来加密AES的密钥。
引用 的话：这次事件说白了教育了很多自以为电脑优化小技巧就是把自动更新一关了事的人,还有那些看了几句谣传就以为新系统永远不如老系统,死赖着还用XP不算还隔三差五黑WIN10的人,尼玛玩电脑这种没几十年历史的东西都...漏洞是微软的产品缺陷，实际是微软的锅，但是所有人被微软忽悠得好像微软是受害者。。。
觉得向黑客求情获准什么的是编的，要是能联系上黑客，还不分分钟把他抓住了？
引用 的话：这里我想问个事情，windows 7 以上都带有加密硬盘某个分区的功能（密钥需要自己记住，数据统统 AES 加密）。如果这个病毒闯进来，碰巧这时那片硬盘存储没解锁，这个病毒还能给我这个盘加密吗？【按我...你加密一遍，病毒再加密一遍，文件你自己也就用不了了就像是你的钱放保险箱里了，坏人拿来了个更大的保险箱，把你的保险箱扔进去了，你还能拿到你的钱吗？
为什么澳大利亚就俩蓝点，加拿大、俄罗斯一个没有？
引用 的话：你加密一遍，病毒再加密一遍，文件你自己也就用不了了就像是你的钱放保险箱里了，坏人拿来了个更大的保险箱，把你的保险箱扔进去了，你还能拿到你的钱吗？你审题不对...
引用 的话：WCry本地文件加密应该主要是AES-128，密钥传输才是RSA，因为RSA的速度太慢，一般只用来加密对称密码的密钥。嗯，对的，是通过随机生成的AES密钥、使用AES-128-CBC方法对文件进行加密，然后将对应的AES密钥通过RSA-2048加密，再将RSA加密后的密钥和AES加密过的文件写入到最终的.WNCRY文件里。
显示所有评论
(C)2017果壳网&&&&京ICP证100430号&&&&京网文[-239号&&&&新出发京零字东150005号&&&&
违法和不良信息举报邮箱：&&&&举报电话：