外房网

WannaCry（直译“想哭”、“想解密”，俗名“魔窟”，或称WannaCrypt、WanaCrypt0r 2.0、Wanna Decryptor）是一种利用NSA的“永恒之蓝”（EternalBlue）漏洞利用程序透过互联网对全球运行Microsoft Windows操作系统的计算机进行攻击的加密型勒索软件兼蠕虫病毒（Encrypting Ransomware Worm）。该病毒利用AES-128和RSA算法恶意加密用户文件以勒索比特币，使用Tor进行通讯，为WanaCrypt0r 1.0的变种。

2017年5月，此程序大规模感染包括西班牙电信在内的许多西班牙公司、英国国民保健署、联邦快递和德国铁路股份公司。据报道，至少有99个国家的其他目标在同一时间遭到WanaCrypt0r 2.0的攻击（截至2018年，已有大约150个国家遭到攻击）。俄罗斯联邦内务部、俄罗斯联邦紧急情况部和俄罗斯电信公司MegaFon共有超过1000台计算机受到感染。于中国大陆的感染甚至波及到公安机关使用的内网，国家互联网应急中心亦发布通报。

WannaCry被认为利用了美国国家安全局的“永恒之蓝”（EternalBlue）工具以攻击运行Microsoft Windows操作系统的计算机。“永恒之蓝”传播的勒索病毒以ONION和WNCRY两个家族为主^{[需要较佳来源]}。“永恒之蓝”利用了某些版本的微软服务器消息块（SMB）协议中的数个漏洞，而当中最严重的漏洞是允许远程电脑执行代码。修复该漏洞的安全补丁已经于此前的2017年3月14日发布，但并非所有计算机都进行了安装。

背景

此次爆发的电脑恶意程序对漏洞的利用基于“永恒之蓝”（EternalBlue）工具。黑客组织“影子掮客”（The Shadow Brokers）在2017年4月14日发布了一批从方程式组织（Equation Group）泄露的工具，其中便包括“永恒之蓝”；而方程式集团据信是属于美国国家安全局。

永恒之蓝利用了Windows服务器消息块1.0（SMBv1）的数个漏洞，这些漏洞在通用漏洞披露（CVE）网站中分别被列为CVE-2017-0143至CVE-2017-0148。而就这些漏洞，微软公司已于2017年3月14日在TechNet发布“MS17-010”的信息安全公告，并向用户推送了Windows系统修复补丁“KB4013389”封堵此漏洞。但因该补丁只适用于仍提供服务支持的Windows Vista或更新的操作系统（注：此补丁不支持Windows 8），较旧的Windows XP等操作系统并不适用。不少用户也因各种原因而未开启或完成系统补丁的自动安装。

2017年4月21日起，安全研究者检测到数以万计被安装DoublePulsar后门的计算机，该后门是另一款从NSA外泄的黑客工具。截至4月25日，感染该后门的计算机估计有几十万台，数字每天还在呈指数增长。除EternalBlue外，WannaCry的本轮攻击也利用了这一名为DoublePulsar的后门。

2017年5月12日，WannaCry在国际互联网开始广泛传播，感染了全球很多运行Windows系统的设备。该病毒进入目标主机之后，就会对主机硬盘和存储设备中许多格式的文件进行加密，然后再利用网络文件共享系统的漏洞，传播到任意的其他联网的主机，而处于同一局域网的相邻主机也会被感染。这个漏洞不是零日攻击的漏洞（还没有补丁的安全漏洞），而微软早在2017年3月14日就推送了更新，封堵了这个漏洞。与此同时，微软也通告用户，不要再使用老旧的第一代服务器消息块，应该以最新的第三代服务器消息块取而代之。

没有及时下载这个补丁的Windows主机很可能被感染，而到目前为止，没有证据显示攻击者是有目标的进行攻击。还在运行已被微软淘汰的Windows XP的主机则非常危险，因为微软早已不对Windows XP提供安全更新与支持。但由于此次事件的严重性，微软后已为部分已经淘汰的系统发布了漏洞修复补丁，Windows XP、Windows Server 2003和Windows 8用户都可从微软网站下载修复补丁。但部分腾讯电脑管家用户因补丁遭到屏蔽而未能接受到安全更新，事后据官方回应，部分第三方修改系统安装补丁后可能致使蓝屏、系统异常，因此有部分用户补丁被屏蔽。

影响

中国大陆

2017年5月12日晚，中国大陆内地部分高校学生反映电脑被病毒攻击，文件被加密。病毒疑似透过教育网传播。随后，山东大学、南昌大学、广西师范大学、桂林电子科技大学、大连海事大学、东北财经大学等十几家高校发布通知，提醒师生上网时注意防范。除了教育网、校园网以外，新浪微博上不少用户反馈，北京、上海、江苏、天津等多地的出入境、派出所等警方内部网和政企专网也遭遇了病毒袭击，许多警方部门和政府部门由于勒索软件的影响被迫停止工作。中国国家互联网应急中心发布关于防范WannaCry的情况通报，称全球约101.1万个IP地址遭受“永恒之蓝”SMB漏洞攻击工具的攻击尝试，发起攻击尝试的IP地址数量9300余个。由于中国大陆个人网络用户的445网络端口大多已被网络运营商屏蔽，故该病毒对一般家庭用户影响不大。而且病毒首轮传播时，中国大陆正值周五夜晚，事发后许多安全软件已立即呼吁用户完成更新以抵抗病毒。

香港

截至香港时间2017年5月16日为止，香港电脑保安事故协调中心收到受加密勒索软件“WannaCry”攻击的报告，增至31宗，比15日多14宗。新增个案一宗来自商业机构，其余是家庭用户，大部分都是使用微软Windows软件或服务器。其中家庭用户多使用Windows 7；商业用户涉及Windows 7及Windows Server 2008系统。香港警方亦接获3宗有关报案。

台湾

此病毒也重创台湾，爆发初期，受到感染的电脑用户于PTT、Dcard等社群发文，而后台湾媒体在2017年5月13日对此新闻作出大篇幅报导。

2018年8月3日台积电发生成立以来重大信息安全事件，造成竹科、中科与南科厂区停工，此次事件肇因为新机台在安装软件的过程中发生操作失误。3日安装新机台时并未将此机台于链接网络前先隔离确保无病毒，造成“WannaCry”变种病毒进入公司网络，令机台死机或是重复引导。此次受到感染的机台与自动搬运系统，以及相关的电脑系统，主要是使用Windows 7却未安装修正软件于机台自动化接口，以致受影响的机台无法运作以及部分自动搬运系统无法正常运作。

英国

勒索软件影响了英国医疗系统的运作。由于勒索软件导致的系统瘫痪，部分常规手术被临时取消，救护车也被迫分流到其他未受到影响的医院。英国国民保健署在2016年仍然有上千台电脑在使用Windows XP，而Windows XP直到本次感染爆发之前并没有任何修复服务器消息块漏洞的补丁，这成为英国医疗系统受到攻击的原因之一。

日本

据日本警察厅声称，截至5月18日，在日本境内被确认的受害事件共21件。具体为东京、大阪等地共4个企业、神奈川县内的行政机关、茨城县的一家医院等。当地时间15日，日本政府于首相官邸危机管理中心设置“情报联系室”。6月19日，本田在狭山市的汽车工厂受WannaCry影响停工一天。

其他

此外，巴西圣保罗法院、加拿大公共卫生服务机构湖岭医疗网络、哥伦比亚国立卫生研究院、法国雷诺、德国铁路系统、印度安得拉邦警察局、印度尼西亚的多家医院、意大利米兰比科卡大学、罗马尼亚外交部、俄罗斯通讯运营商MegaFon、俄罗斯联邦内务部、俄罗斯铁路以及西班牙、瑞典、匈牙利、泰国、荷兰、葡萄牙等将近一百个国家的机构院所也受到波及。

病毒功能

以下以2017年5月第一次大规模传播的病毒版本为主；该病毒早前的一个版本曾于4月透过电子邮件和有害Dropbox链接传播，但没有利用Windows漏洞进行主动传播的能力。

通过利用漏洞，病毒不需要打搅用户，可以静默获得操作系统的特权，然后得以在本地网络中传染。

简而言之，程序在加载完成后会调用Windows的CryptoAPI，新生成一对2048位的RSA密钥。密钥对包括私钥和公钥，它们会被存储至被感染计算机；但解密时需要的私钥在存储前会使用程序自带的另一RSA公钥加密，该公钥对应的私钥由攻击者持有。

随后程序会遍历存储设备（部分系统文件夹等除外），加密特定扩展名的文件；程序在加密文件时使用AES算法，会为每一个文件随机生成一个128位AES密钥，密钥随后会被程序加载完后生成的RSA公钥加密，并在当前文件加密完后存储在该文件的头部。程序还会调用命令提示符删除设备上的卷影副本（Shadow copy）备份。早先有报道认为这一操作可能会引起UAC弹框而被用户注意到，但后续分析指出，病毒是通过内核漏洞注入系统进程来执行的，传染过程中并不会有UAC弹窗出现。

加密过程结束后，病毒会把系统壁纸替换成英语告示，并显示一封提供28种语言版本的勒索信，其中部分可能使用了机器翻译。程序要求用户支付与300至600美元等值的比特币，并在勒索信中给予被感染者3天期限，如若超过赎金会翻倍，超过一周仍未付款则会“撕票”。在勒索信中，病毒还声称今后可能举行免费恢复活动，对象是运气好且“半年以上没钱付款的穷人”。

程序透过Tor匿名网络与攻击者的服务器连接。此外，程序还会在计算机所属局域网内，随机连接其他电脑SMB使用的TCP/UDP 445与139等端口以自我传播，并尝试用同样方式随机感染互联网上的其他计算机。

据思科分析，病毒在感染其他计算机时会尝试透过DoublePulsar后门安装。而根据《连线》的报道，此病毒也会同时在计算机上安装该后门，现已有脚本可检测并移除。

攻击者在程序中硬编码了至少3个比特币地址（或称“钱包”），以接收受害者的赎金，这些钱包的真实拥有者身份不明，但交易情况和余额是公开的。有人在Twitter上设置了一个机器人，以实时追踪这三个钱包收到的转账。截至2017年5月14日 (2017-05-14)^[update]，攻击者已获得约合3.2万美元的比特币。

应对措施

防御

若想有效防御此蠕虫的攻击，首先应立即部署Microsoft安全公告MS17-010中所涉及的所有安全更新。Windows XP、Windows Server 2003以及Windows 8应根据微软的用户指导安装更新。

当不具备条件安装安全更新，且没有与Windows XP (同期或更早期Windows)主机共享的需求时，应当根据Microsoft安全公告MS17-010中的变通办法，禁用SMBv1协议，以免遭受攻击。虽然利用Windows防火墙阻止TCP 445端口也具备一定程度的防护效果，但这会导致Windows共享完全停止工作，并且可能会影响其它应用程序的运行，故应当按照微软公司提供的变通办法来应对威胁。

2017年5月第一次大规模传播时，署名为MalwareTech的英国安全研究员在当时的病毒中发现了一个未注册的域名，主因是病毒内置有传播开关（Kill Switch），会向该域名发出DNS请求，用于测试病毒是否处于杀毒软件的虚拟运作环境中，由于该域名并没有设置DNS，所以正常情况是不会有回应，若有回应就说明处于虚拟环境下，病毒会停止传播以防被杀毒软件清除。这名安全研究员花费8.29英镑注册域名后发现每秒收到上千次请求。在该域名被注册后，部分计算机可能仍会被感染，但“WannaCry的这一版本不会继续传播了”。

然而需要注意的是，在部分网络环境下，例如一些局域网、内部网，或是需要透过代理服务器才能访问互联网的网络，此域名仍可能无法正常连接。另外，有报道称该病毒出现了新的变种，一些变种在加密与勒索时并不检查这一域名。

复原数据

该病毒会“读取源文件并生成加密文件，直接把源文件作删除操作”。2017年5月19日，安全研究人员Adrien Guinet发现病毒用来加密的Windows API存在的缺陷，在Windows10以下版本的操作系统中，所用私钥会暂时留在内存中而不会被立即清除。他开发并开源了一个名为wannakey的工具，并称这适用于为感染该病毒且运行Windows XP的计算机找回文件，前提是该计算机在感染病毒后并未重启，且私钥所在内存还未被覆盖（这需要运气）。后有开发者基于此原理开发了名为“wanakiwi”的软件，使恢复过程更加自动化，并确认该方法适用于运行Windows XP至Windows 7时期间的多款Windows操作系统。一些安全厂商也基于此原理或软件开发并提供了图形化工具以帮助用户恢复文件。

评论

一些人士批评与此事件有关联的美国国家安全局（NSA）。棱镜计划告密人爱德华·斯诺登称，如果NSA“在发现用于此次对医院进行攻击的缺陷时就进行私下披露，而不是等到丢失时才说，（此次攻击）就可能不会发生”。微软总裁布拉德·史密斯则表示：“政府手中的漏洞利用程序一次又一次地泄露到公共领域，造成广泛破坏。如果用常规武器来说，这种情况等同于美军的战斧导弹发生失窃。”

也有人士聚焦于网络安全意识方面。德国联邦信息安全办公室主任Arne Sch?nbohm声明道：“现在发生的攻击突显出我们的信息社会是多么脆弱。这对公司是一次警醒，是时候认真考虑IT安全了。”美国外交关系协会数字和网络政策项目负责人亚当·谢加尔认为政府和私营部门的补丁和更新系统运转不正常，不是所有人都会在第一时间为系统漏洞打上补丁；半岛电视台在文章中引述观点称，许多企业的员工缺乏网络安全方面的训练。《福布斯》网站上的一篇专栏文章则认为，该攻击生动地证明了安全备份和良好安全习惯的重要性，包括及时安装最新的安全更新。英国首相特雷莎·梅也就此次攻击发表讲话，称英国国家网络安全中心正在与所有受攻击的机构合作调查。特雷莎·梅还表示：“这不是针对国民保健署的攻击，这是国际性的攻击，全世界数以千计的国家和组织都受到了影响。”

调查

2017年5月29日，据CNET引述美国安全公司闪点（Flashpoint）发布的报告称，根据对病毒附带的28种语言撰写的勒索信的文法分析研究，病毒制造者有可能是一名中文母语者，其中文版勒索信文法道地，而英文版有一些语法错误，其他语言版本则更像是借助Google翻译以机器翻译而得。在早前的5月16日，Google、卡巴斯基、闪点等多家安全公司的安全研究员曾发文认为，病毒的幕后黑手可能是源自朝鲜的“拉撒路组”（Lazarus Group）黑客组织，而据传该组织成员居于中国。但奇虎360和安天的安全工程师认为闪点网络情报公司仅以语言判断是十分不专业的臆测行为，质疑其只是为了吸引目光焦点。

2017年6月17日，据《华盛顿邮报》报道，NSA的内部报告认为此恶意软件来自朝鲜情报机关赞助的黑客团体，并对这份报告有“中等信心（moderate confidence）”。英国国家网络安全中心（NCSC）也发布报告将此事件源头指向朝鲜的黑客团队。

2017年10月，微软总裁布莱德·史密斯（Brad Smith）接受ITV采访称，他非常相信朝鲜是影响全球150个国家摧毁20万台电脑的幕后黑手。

轶事

2017年5月15日，台湾一名Windows XP用户遭受WannaCry的攻击后，因电脑配备老旧，导致WannaCry程序运作到一半，突然“停止回应”而无法运作。

参见

• 知名病毒及蠕虫的历史年表
• Petya
• WannaRen