你应该知道的“WannaCry”

发布日期：2017/05/15

      2017年5月12日，“WannaCry”勒索蠕虫爆发，短短几个小时，攻陷了中国、英国、美国、日本等近百个国家，我国也有近三万家机构组织受到感染，那么什么是“WannaCry”？为何会传播得如此迅速？

      针对大家最关心的“WannaCry”病毒相关问题，远望信息将为大家进行专业的解答。

1.什么是“WannaCry”？

      该病毒是4月14日由Shadow Brokers组织泄漏的美国国家安全局(NSA)专用黑客工具，名字叫做“永恒之蓝”，是基于Windows网络共享协议漏洞进行攻击的一种常见的计算机病毒，它的主要特点是利用电脑存在的漏洞，通过网络进行自主的复制和传播，一旦释放出来，就会在无人干预的情况下以指数级快速扩散。

2.“WannaCry”有什么危害？

      受害主机中招后，病毒就会在受害主机中植入勒索程序，电脑中的文档、图片、压缩包、音频、视频、可执行程序等几乎所有类型的文件都会被加密，勒索蠕虫病毒将要求受害者支付价值300或600美元的比特币才能解锁，而且越往后可能要求的赎金越多，不能按时支付赎金的系统会被销毁数据。

      因为勒索蠕虫病毒使用的是复杂的加密算法，理论上很难逆向破解，目前业内也没有解决方案对其解密还原，主流方案也以防御为主。受害主机一旦中招，将很难通过缴纳赎金以外的方法还原文件，值得强调的是，即便缴纳赎金，一些信誉较差的攻击者也并不一定会信守承诺。

      并且，由14号下午国家网络与信息安全信息通报中心发出的紧急通报得知：WannaCry 2.0即将来袭，导致该病毒传播速度可能会更快。

3.“WannaCry”是如何传播的？

      该勒索蠕虫病毒一旦被植入受害主机后，该受害主机会自动随机扫描网络内开放445端口有漏洞的其他主机，并通过SMB协议将勒索蠕虫病毒再植入到新的目标主机中，新的受害主机将会执行同样的动作，并且它是自动进行传播和感染的，不需要点击就可以执行，因此扩散传播速度极快。

      木马母体为mssecsvc.exe，运行后会随机扫描互联网机器，尝试感染，也会扫描局域网相同网段的机器进行传播，此外会释放敲诈者程序tasksche.exe，对磁盘文件进行加密勒索。

      木马加密使用AES加密文件，并使用非对称加密算法RSA 2048加密随机密钥，每个文件使用一个随机密钥，理论上不可破解。

4.目前有哪些单位中招了

      该勒索蠕虫病毒已经攻击了近百个国家，包括中国、英国、美国、德国、日本、土耳其、西班牙等，以及这些国家的上万家企业及公共组织，数十万台设备被勒索。

      从国内情况来看，影响范围遍布高校、火车站、自助终端、邮政、加油站、医院、政府办事终端等多个领域，被感染的电脑数字还在不断增长中。预计5月15日（周一）可能进入爆发高峰。

      从行业分布来看，教育科研机构成为最大的重灾区，其次是生活服务类机构、商业中心（办公楼、写字楼、购物中心等）、交通运输、政府、事业单位及社会团体、医疗卫生机构、企业、以及宗教设施都被发现感染了“永恒之蓝”勒索蠕虫。

      从地区分布来看，江苏、浙江、广东、江西、上海几个沿海省市影响较大，位居前列。