你應該知道的“WannaCry”

發(fā)布日期：2017/05/15

      2017年5月12日，“WannaCry”勒索蠕蟲(chóng)爆發(fā)，短短幾個(gè)小時(shí)，攻陷了中國、英國、美國、日本等近百個(gè)國家，我國也有近三萬(wàn)家機構組織受到感染，那么什么是“WannaCry”？為何會(huì )傳播得如此迅速？

      針對大家最關(guān)心的“WannaCry”病毒相關(guān)問(wèn)題，遠望信息將為大家進(jìn)行專(zhuān)業(yè)的解答。

1.什么是“WannaCry”？

      該病毒是4月14日由Shadow Brokers組織泄漏的美國國家安全局(NSA)專(zhuān)用黑客工具，名字叫做“永恒之藍”，是基于Windows網(wǎng)絡(luò )共享協(xié)議漏洞進(jìn)行攻擊的一種常見(jiàn)的計算機病毒，它的主要特點(diǎn)是利用電腦存在的漏洞，通過(guò)網(wǎng)絡(luò )進(jìn)行自主的復制和傳播，一旦釋放出來(lái)，就會(huì )在無(wú)人干預的情況下以指數級快速擴散。

2.“WannaCry”有什么危害？

      受害主機中招后，病毒就會(huì )在受害主機中植入勒索程序，電腦中的文檔、圖片、壓縮包、音頻、視頻、可執行程序等幾乎所有類(lèi)型的文件都會(huì )被加密，勒索蠕蟲(chóng)病毒將要求受害者支付價(jià)值300或600美元的比特幣才能解鎖，而且越往后可能要求的贖金越多，不能按時(shí)支付贖金的系統會(huì )被銷(xiāo)毀數據。

      因為勒索蠕蟲(chóng)病毒使用的是復雜的加密算法，理論上很難逆向破解，目前業(yè)內也沒(méi)有解決方案對其解密還原，主流方案也以防御為主。受害主機一旦中招，將很難通過(guò)繳納贖金以外的方法還原文件，值得強調的是，即便繳納贖金，一些信譽(yù)較差的攻擊者也并不一定會(huì )信守承諾。

      并且，由14號下午國家網(wǎng)絡(luò )與信息安全信息通報中心發(fā)出的緊急通報得知：WannaCry 2.0即將來(lái)襲，導致該病毒傳播速度可能會(huì )更快。

3.“WannaCry”是如何傳播的？

      該勒索蠕蟲(chóng)病毒一旦被植入受害主機后，該受害主機會(huì )自動(dòng)隨機掃描網(wǎng)絡(luò )內開(kāi)放445端口有漏洞的其他主機，并通過(guò)SMB協(xié)議將勒索蠕蟲(chóng)病毒再植入到新的目標主機中，新的受害主機將會(huì )執行同樣的動(dòng)作，并且它是自動(dòng)進(jìn)行傳播和感染的，不需要點(diǎn)擊就可以執行，因此擴散傳播速度極快。

      木馬母體為mssecsvc.exe，運行后會(huì )隨機掃描互聯(lián)網(wǎng)機器，嘗試感染，也會(huì )掃描局域網(wǎng)相同網(wǎng)段的機器進(jìn)行傳播，此外會(huì )釋放敲詐者程序tasksche.exe，對磁盤(pán)文件進(jìn)行加密勒索。

      木馬加密使用AES加密文件，并使用非對稱(chēng)加密算法RSA 2048加密隨機密鑰，每個(gè)文件使用一個(gè)隨機密鑰，理論上不可破解。

4.目前有哪些單位中招了

      該勒索蠕蟲(chóng)病毒已經(jīng)攻擊了近百個(gè)國家，包括中國、英國、美國、德國、日本、土耳其、西班牙等，以及這些國家的上萬(wàn)家企業(yè)及公共組織，數十萬(wàn)臺設備被勒索。

      從國內情況來(lái)看，影響范圍遍布高校、火車(chē)站、自助終端、郵政、加油站、醫院、政府辦事終端等多個(gè)領(lǐng)域，被感染的電腦數字還在不斷增長(cháng)中。預計5月15日（周一）可能進(jìn)入爆發(fā)高峰。

      從行業(yè)分布來(lái)看，教育科研機構成為最大的重災區，其次是生活服務(wù)類(lèi)機構、商業(yè)中心（辦公樓、寫(xiě)字樓、購物中心等）、交通運輸、政府、事業(yè)單位及社會(huì )團體、醫療衛生機構、企業(yè)、以及宗教設施都被發(fā)現感染了“永恒之藍”勒索蠕蟲(chóng)。

      從地區分布來(lái)看，江蘇、浙江、廣東、江西、上海幾個(gè)沿海省市影響較大，位居前列。