事件

從5月12日晚間起，中國各大高校的師生陸續發現自己電腦中的文件和程序無法打開，而是彈出對話框要求支付比特幣贖金后才能恢復，大家上網互相交流后才發現這不是個案。無獨有偶，在同一時間，英國醫院也受到了類似的勒索攻擊，導致醫院系統趨于癱瘓，大量病患的診療被延遲。

熟悉計算機安全的人都能看出，這是最近幾年極為流行的、依靠強加密算法進行勒索的攻擊手段。不過據騰訊反病毒實驗室分析，與之前的攻擊不同的是，勒索病毒結合了蠕蟲的方式進行傳播，傳播方式采用了前不久NSA被泄漏出來的MS17-010漏洞，因此無需受害者下載、查看或打開任何文件即可發動攻擊。在NSA泄漏的文件中，WannaCry傳播方式的漏洞利用代碼被稱為“EternalBlue”，所以也有的報道稱此次攻擊為“永恒之藍”。

勒索病毒被漏洞遠程執行后，會從資源文件夾下釋放一個壓縮包，此壓縮包會在內存中通過密碼：WNcry@2ol7解密并釋放文件。這些文件包含了后續彈出勒索框的exe，桌面背景圖片的bmp，包含各國語言的勒索字體，還有輔助攻擊的兩個exe文件。病毒會通過Windows Crypto API中AES+RSA的組合，對電腦上的文檔、圖片、程序等文件進行加密，然后進行敲詐。同時，病毒還會繼續尋找網絡中其它帶有445端口漏洞的目標，并進行持續傳播。

全景

從木馬發動攻擊的方式來看，遭受攻擊的都是具備MS17-010漏洞條件，即沒有安裝補丁且沒有對445端口進行防護的電腦。除了中、英之外，在全球范圍內，這樣有潛在被攻擊可能的主機有多少呢?通過知道創宇ZoomEye相關檢測數據可以略窺一二(相關專題頁面：https://www.zoomeye.org/lab/ms17-010)。

上面圖中的數據統計的是到5月10日左右仍受MS17-010漏洞影響的的主機數目。從中可以看到，美國受影響的主機數目仍然是最多的，其次是俄羅斯和中國。此次事件之后，卡巴斯基也偵測到大量受害者位于俄羅斯。在歷次的檢測中，各國的受影響主機數目均有一定程度的下降，說明各國安全應急和微軟的安全更新在持續發揮作用。

而在國內，存在此次事件所涉及漏洞的主機可參考下圖。

可以看到這些主機主要集中在臺灣和香港，同時各省相關主機的漏洞修補工作也在逐漸展開。

結合歷史問題的研究發現，相關網絡運營商在骨干網ISP策略中習慣性禁止445端口的數據傳輸，這對防止蠕蟲等病毒傳播發揮了重要作用。在本次漏洞事件中，間接地降低了本次漏洞所帶來的風險。但是與之不同的是，各大高校通常接入的網絡是為教育、科研和國際學術交流服務的教育科研網，這部分數據并未列入上方圖中。此骨干網出于學術目的，大多沒有對445端口做防范處理，這也是導致這次高校成為重災區的原因之一。

防范

此病毒與以往的勒索攻擊事件一樣，采用了高強度的加密算法，因此在事后想要恢復文件是很難的，重點還是在于事前的預防。預防方法包括：

一、及時在電腦上安裝微軟官方安全更新(建議事先在斷網狀態下做好數據備份)。此前在3月MS17-010漏洞剛被爆出的時候，微軟已經針對還在提供安全服務的操作系統，包括Win7、Win10等系統在內提供了安全更新;而在此次事件爆發之后，微軟也迅速對此前尚未提供官方支持的Windows XP等系統也發布了特別補丁。請在第一時間升級所有的安全更新，來避免類似事件的發生。

二、在電腦上安裝一些安全類軟件，例如騰訊電腦管家，并保持實時監控功能開啟，可以攔截木馬病毒的入侵。對于可疑軟件，可以提交到哈勃分析系統(https://habo.qq.com/)進行安全性檢測。

[[191094]]

三、如果是企業用戶，還可以使用一些具有相關安全功能的企業級產品，例如知道創宇的“云圖”威脅感知系統，對于運行的內外網主機，可以使用知道創宇“云圖”系統對入侵勒索蠕蟲病毒做出系統捕獲及進一步分析工作。

▲云圖系統分析頁面

云圖系統-文件分析報告-“行為簽名”發現WNCRY勒索軟件行為

[[191095]]

值得注意的是，由于本次勒索攻擊采用蠕蟲病毒傳播，當務之急是如何阻止病毒的進一步傳播。在此還可以利用知道創宇Zoomeye網絡空間雷達系統對下屬網絡資產進行全面威脅普查。據悉Zoomeye網絡空間雷達系統早于4月下旬便已集成了相關的檢測腳本，可以定位管轄下的網絡空間都有哪些主機受此次漏洞威脅影響，以便協助安全運維人員進一步的安全升級工作，避免這一新型勒索蠕蟲病毒的進一步傳播。