5 月 15 日消息，WannaCry 勒索病毒于上周五起在全球范圍傳播擴散，已經(jīng)影響了超過 150 個國家的至少 20 萬臺計算機。

此次勒索病毒是由NSA泄漏的「永恒之藍」黑客武器傳播的。該勒索病毒利用 Windows 操作系統(tǒng) 445 端口存在的漏洞進行傳播，并具有自我復(fù)制、主動傳播的特性。勒索病毒感染用戶計算機后，將對計算機中的文檔、圖片等實施高強度加密，并向用戶勒索贖金。

一名 22 歲的英國網(wǎng)絡(luò)工程師注意到，這一勒索病毒會不斷嘗試訪問當(dāng)時沒有被注冊的域名「www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com」，如果 DNS 解析失敗，它會繼續(xù)進行感染操作，如果解析成功，該程序?qū)Y(jié)束。研究人員推測是勒索病毒作者想要阻止病毒代碼被分析，當(dāng)病毒成功查詢該域名后，它會認(rèn)為自己在沙盒環(huán)境內(nèi)，因此會退出防止被進一步分析。

該域名可以充當(dāng)阻止傳播的關(guān)閉開關(guān)，研究人員通過搶注和上線該域名設(shè)法阻止了勒索軟件的進一步擴散。

13 號國家網(wǎng)絡(luò)與信息安全信息通報中心緊急通報：監(jiān)測發(fā)現(xiàn)，在全球范圍內(nèi)爆發(fā)的 WannaCry 勒索病毒出現(xiàn)了變種：WannaCry 2.0， 與之前版本的不同是，這個變種不能通過注冊某個域名來關(guān)閉變種勒索病毒的傳播，該變種傳播速度可能會更快。

北京市委網(wǎng)信辦、北京市公安局、北京市經(jīng)信委也聯(lián)合發(fā)出《關(guān)于WannaCry勒索蠕蟲出現(xiàn)變種及處置工作建議的通知》。

該通知要求各單位立即組織內(nèi)網(wǎng)檢測，一旦發(fā)現(xiàn)中毒機器，立即斷網(wǎng)處置，嚴(yán)格禁止使用U盤、移動硬盤等可執(zhí)行擺渡攻擊的設(shè)備?！锻ㄖ贩Q，目前看來對硬盤格式化可清除病毒。

5月15日受害人數(shù)可能還將持續(xù)上升

自5月12日開始散播勒索蠕蟲病毒，從發(fā)現(xiàn)到大面積傳播，僅僅用了幾個小時，其中高校成為了重災(zāi)區(qū)。

美國著名軟件公司賽門鐵克公司研究人員13號預(yù)計，此次網(wǎng)絡(luò)攻擊事件，全球損失不可估量。該研究人員表示，修復(fù)漏洞中最昂貴的部分是清空每臺受攻擊的電腦或服務(wù)器的惡意軟件，并將數(shù)據(jù)重新加密。單單此項內(nèi)容就將花費高達數(shù)千萬美元。

據(jù)路透社報道，軟件公司關(guān)于修復(fù)漏洞的高額損失并沒有包含受影響的企業(yè)所遭受的損失。

歐盟刑警組織負(fù)責(zé)人羅布·溫賴特14日表示，12日開始的勒索軟件網(wǎng)絡(luò)襲擊目前已經(jīng)波及150多個國家的10萬多家機構(gòu)，至少20萬人受害，未來還可能進一步升級。他呼吁所有機構(gòu)必須認(rèn)真對待網(wǎng)絡(luò)安全威脅，及時更新升級電腦系統(tǒng)。

溫賴特當(dāng)天在接受英國獨立電視臺采訪時表示，本次網(wǎng)絡(luò)襲擊在全球范圍內(nèi)達到了“史無前例的級別”，目前已經(jīng)造成150多個國家的至少20萬人受害，其中不乏大型企業(yè)用戶。最令人擔(dān)憂的是，當(dāng)人們15日上班打開電腦時，受害者人數(shù)可能還將持續(xù)上升。

今年3月微軟已發(fā)布補丁

這款勒索蠕蟲病毒是針對微軟的永恒之藍的漏洞進行傳播和攻擊的。一旦電腦感染該病毒，被感染電腦會主動對局域網(wǎng)內(nèi)的其他電腦進行隨機攻擊，局域網(wǎng)內(nèi)沒有修補漏洞的電腦理論上將無一幸免的感染該病毒。而該漏洞微軟在今年3月份已經(jīng)發(fā)布補丁，對漏洞進行了修復(fù)，補丁地址：https://technet.microsoft.com/zh-cn/library/security/MS17-010.aspx

微軟公司5月12號宣布針對攻擊所利用的“視窗”操作系統(tǒng)漏洞，為一些它已停止服務(wù)的“視窗”平臺提供補丁。

全球緊急防范應(yīng)對

在本輪網(wǎng)絡(luò)攻擊中，英國NHS，也就是全民醫(yī)療體系旗下多家醫(yī)療機構(gòu)的電腦系統(tǒng)癱瘓。目前，除了其中6家外，其余約97%已經(jīng)恢復(fù)正常。英國首相特雷莎·梅13號發(fā)表講話，稱英國國家網(wǎng)絡(luò)安全中心正在與所有受攻擊的機構(gòu)合作調(diào)查。

事實上，這次大規(guī)模的網(wǎng)絡(luò)攻擊并不僅限于英國。當(dāng)?shù)貢r間12號，俄羅斯內(nèi)政部表示，內(nèi)政部約1000臺電腦遭黑客攻擊，但電腦系統(tǒng)中的信息并未遭到泄露。同樣遭到攻擊的美國聯(lián)邦快遞集團表示，部分使用Windows操作系統(tǒng)的電腦遭到了攻擊，目前正在盡快補救。西班牙國家情報中心也證實，西班牙多家公司遭受了大規(guī)模的網(wǎng)絡(luò)黑客攻擊。電信業(yè)巨頭西班牙電信總部的多臺電腦陷入癱瘓。

在中國，目前已知遭受攻擊的行業(yè)包括教育、石油、交通、公安等，針對這個情況，公安部網(wǎng)安局正在協(xié)調(diào)我國各家網(wǎng)絡(luò)信息安全企業(yè)對這個勒索蠕蟲病毒進行預(yù)防和查殺。

公安部網(wǎng)絡(luò)安全保衛(wèi)局總工程師郭啟全表示，因為它是在互聯(lián)網(wǎng)上傳播，互聯(lián)網(wǎng)是連通的，所以它是全球性的。有些部門的內(nèi)網(wǎng)本來是和外網(wǎng)是邏輯隔離或者是物理隔離的，但是現(xiàn)在有些行業(yè)有些非法外聯(lián)，或者是有些人不注意用U盤又插內(nèi)網(wǎng)又插外網(wǎng)，因此很容易把病毒帶到內(nèi)網(wǎng)當(dāng)中。

“現(xiàn)在我們及時監(jiān)測病毒的傳播、變種情況，然后還是要及時監(jiān)測發(fā)現(xiàn)，及時通報預(yù)警，及時處置。這幾天，全國公安機關(guān)和其他部門和專家密切配合，特別是一些信息安全企業(yè)的專家，盡快支持我們重要行業(yè)部門，去快速處置，快速升級，打補丁，另外公安機關(guān)還在開展偵查和調(diào)查。”

萬一被感染，不建議支付贖金取得解鎖

根據(jù)網(wǎng)絡(luò)安全公司數(shù)據(jù)統(tǒng)計，截止5月13日晚8點，我國共有39730家機構(gòu)被感染，其中教育科研機構(gòu)有4341家，高校成為了這次蠕蟲病毒的重災(zāi)區(qū)。

被感染蠕蟲病毒后，不到十秒，電腦里的所有用戶文件全部被加密無法打開。網(wǎng)絡(luò)安全專家介紹，用戶電腦一旦被感染這種勒索病毒，被加密的文件目前還沒有找到有效的辦法可以解鎖。而專家并不建議用戶支付贖金取得解鎖。

網(wǎng)絡(luò)安全專家孫曉駿認(rèn)為：加密的文件會根據(jù)病毒指引去付贖金獲得密鑰，但是根據(jù)目前的研究看成功的幾率非常低，整個互聯(lián)網(wǎng)安全界在積極的探索有沒有辦法解開這個密鑰。因為它用的是高強度非對稱加密的算法，這個密鑰空間非常大，就算用暴力破解也需要非常長的時間，目前來看是不可接受的。

針對已經(jīng)被感染病毒的用戶，專家建議首先使用安全軟件查殺蠕蟲病毒，并保留被加密的文件，待日后網(wǎng)絡(luò)安全公司找到有效方法后再進行解鎖。

防范：如何避免電腦中毒？

中國國家互聯(lián)網(wǎng)應(yīng)急中心表示，目前，安全業(yè)界暫未能有效破除該勒索軟的惡意加密行為，用戶主機一旦被勒索軟件滲透，只能通過重裝操作系統(tǒng)的方式來解除勒索行為，但用戶重要數(shù)據(jù)文件不能直接恢復(fù)。

在防范上，騰訊安全聯(lián)合實驗室反病毒實驗室負(fù)責(zé)人、騰訊電腦管家安全技術(shù)專家馬勁松指出，一是，臨時關(guān)閉端口。Windows用戶可以使用防火墻過濾個人電腦，并且臨時關(guān)閉135、137、445端口3389遠程登錄（如果不想關(guān)閉3389遠程登錄，至少也是關(guān)閉智能卡登錄功能），并注意更新安全產(chǎn)品進行防御，盡量降低電腦受攻擊的風(fēng)險。

突發(fā)，全球爆發(fā)勒索病毒 多家安全廠商推防御方案

（Windows用戶可以使用防火墻過濾個人電腦，并且臨時關(guān)閉135、137、445端口3389遠程登錄）

二是，及時更新 Windows已發(fā)布的安全補丁。在3月MS17-010漏洞剛被爆出的時候，微軟已經(jīng)針對Win7、Win10等系統(tǒng)在內(nèi)提供了安全更新；此次事件爆發(fā)后，微軟也迅速對此前尚未提供官方支持的Windows XP等系統(tǒng)發(fā)布了特別補丁。

三是，利用“勒索病毒免疫工具”進行修復(fù)。用戶通過其他電腦下載騰訊電腦管家“勒索病毒免疫工具”離線版，并將文件拷貝至安全、無毒的U盤；再將指定電腦在關(guān)閉Wi-Fi，拔掉網(wǎng)線，斷網(wǎng)狀態(tài)下開機，并盡快備份重要文件；然后通過U盤使用“勒索病毒免疫工具”離線版，進行一鍵修復(fù)漏洞；聯(lián)網(wǎng)即可正常使用電腦。

突發(fā)，全球爆發(fā)勒索病毒 多家安全廠商推防御方案

（騰訊電腦管家針對于勒索病毒推出“勒索病毒免疫工具”）

四是，備份。重要的資料一定要備份，謹(jǐn)防資料丟失。

解析：高校為何成勒索病毒重災(zāi)區(qū)

馬勁松指出，各大高校通常接入的網(wǎng)絡(luò)是為教育、科研和國際學(xué)術(shù)交流服務(wù)的教育科研網(wǎng)，此骨干網(wǎng)出于學(xué)術(shù)目的，大多沒有對445端口做防范處理，這是導(dǎo)致這次高校成為重災(zāi)區(qū)的原因之一。

此外，如果用戶電腦開啟防火墻，也會阻止電腦接收445端口的數(shù)據(jù)。但中國高校內(nèi)，一些同學(xué)為了打局域網(wǎng)游戲，有時需要關(guān)閉防火墻，也是此次事件在中國高校內(nèi)大肆傳播的另一原因。

突發(fā)，全球爆發(fā)勒索病毒 多家安全廠商推防御方案

同時由于該木馬加密使用AES加密文件，并使用非對稱加密算法RSA 2048加密隨機密鑰，每個文件使用一個隨機密鑰，理論上不可破解。針對目前網(wǎng)上有傳該木馬病毒的作者放出密鑰，已證實為謠言。實則是在公網(wǎng)環(huán)境中，由于病毒的開關(guān)機制被設(shè)置為關(guān)閉模式暫時停止了傳播，但不排除作者制作新變種的可能。提醒廣大用切勿輕信謠言，以免造成更嚴(yán)重的損失。

最后，提醒廣大用戶，務(wù)必強化網(wǎng)絡(luò)安全意識，陌生鏈接不點擊，陌生文件不要下載，陌生郵件不要打開！