勒索病毒席卷全球，它为何如此凶猛？ _小知识

投资界巨擘巴菲特在2017年股东大会上表示：人类面临的最大威胁是网络攻击，发生核战争的可能性要低于生化武器与网络攻击。

话音未落，2017年5月12日晚上20时，WannaCry蠕虫席卷全球，这是一起大规模勒索软件感染事件，并在持续。据BBC报道，截至当前，全球超过150个国家至少20万名用户中招。目前至少有美国、英国、中国、俄罗斯、西班牙、意大利、越南等上百个国家和地区受到严重影响。英国数十家医院被攻击，中国教育网内多所大学纷纷中招，不少毕业生的毕业设计文件被锁。在国内，很多的企业内网甚至是专网也未能幸免。医疗、企业、电力、能源、银行、交通等多个行业均遭受不同程度的影响。

文章插图

世界各地感染WannaCry的实时监控图，图片来自网络
WannaCry勒索蠕虫感染的电脑将被锁定，包括照片、图片、文档、压缩包、音频、视频、可执行程序等多种类型的文件被加密，被加密后的文件后缀名改为“.WNCRY”，勒索软件运用了高强度的加密算法使得目前难以破解，暴力破解需要极高的运算量，基本不可能成功解密。受害者目前只能乖乖付钱消灾。攻击者甚至叫嚣，如果在规定时间不付钱，金额翻倍，甚至删除文件。

文章插图

被勒索软件感染的电脑截屏，攻击者索要300美元来解锁，图片来自网络
【勒索病毒席卷全球，它为何如此凶猛？】莫慌，这到底是怎么回事？用最简单的话解释，就是电脑没有及时安装补丁更新，被漏洞利用程序攻击，成功后，攻击者将电脑上的文件加密，弹出勒索页面，索要赎金。进而，攻击者会植入远程控制木马、虚拟货币挖矿等恶意程序。

文章插图

WannaCry蠕虫是什么？
我们仔细地讲讲来龙去脉吧。 WannaCry也被称为WannaCrypt/WannaCrypt0r，目前还没有统一的中文名称，目前很多媒体按照字面翻译为“想哭” 。此病毒文件的大小3.3MB，是一款蠕虫勒索式恶意软件。除Windows 10系统外，所有未及时安装MS17-010 补丁的Windows 系统都可能被攻击。 WannaCry 通过MS17-010 漏洞进行快速感染和扩散，使用RSA+AES 加密算法对文件进行加密。也就是说，一旦某个电脑被感染，同一网络内存在漏洞的主机都会被它主动攻击，因此受感染的主机数量飞速增长。同时，WannaCry 包含28个国家语言，可谓细致。

文章插图

WannaCry 支持全球化语言，图片来自网络
问题的根源在于Windows 系统的MS17-010 漏洞。 2017年3月14日，微软发布安全公告MS17-010，Microsoft Windows SMB 服务器安全更新(4013389)，等级为严重。漏洞说明是：如果攻击者向Windows SMBv1 服务器发送特殊设计的消息，那么其中最严重的漏洞可能允许远程执行代码。
4月，黑客组织Shadow Brokers 对外公布了从美国国家安全局（NSA）盗取的多个Windows 攻击工具。 WannaCry 勒索蠕虫攻击代码部分即基于这些攻击工具库中的EtenalBlue（永恒之蓝）。
如果3月份的安全公告和4月份的攻击工具泄漏还没有被引起重视的话，仅仅1个月后，基于EtenalBlue（永恒之蓝）的勒索蠕虫肆虐，不再存在于预测和想象里，而是真实的发生在我们身边，严重影响了工作与生活。
利用Windows系统远程安全漏洞进行传播，WannaCry 会扫描开放445文件共享端口的Windows机器，无需用户任何操作，只要开机上网，就能在存在漏洞的计算机或服务器中植入恶意程序。当侵入组织或机构内部时，它会不停的探测脆弱的电脑设备，并感染它们，因此受感染的主机数量飞速增长。