想哭！一个被称为“WannaCry”（也有称WannaCrypt）的勒索病毒近期在全球范围内肆虐。这个传说中属于“网络战武器”的病毒，到底是怎么回事？

什么是WannaCrypt勒索病毒？

北京时间2017年5月12日晚上22点30分左右，全英国上下16家医院遭到大范围网络攻击，医院的内网被攻陷，导致这16家机构基本中断了与外界联系，内部医疗系统几乎停止运转，很快又有更多医院的电脑遭到攻击，这场网络攻击迅速席卷全球。

这场网络攻击的罪魁祸首就是一种叫WannaCrypt的勒索病毒，该病毒是由不法分子通过改造“永恒之蓝”网络攻击工具而制作。

勒索病毒本身并不是什么新概念，勒索软件Ransomware最早出现在1989年，是由Joseph Popp编写的叫"AIDS Trojan"（艾滋病特洛伊木马）的恶意软件。在1996年，哥伦比亚大学和IBM的安全专家撰写了一个叫Cryptovirology的文件，明确概述了勒索软件Ransomware的概念：利用恶意代码干扰中毒者的正常使用，只有交钱才能恢复正常。

哪些地方的系统成为病毒重灾区？

因为NSA的永恒之蓝漏洞太强大了，除了更新了的Windows 10系统（版本1703）之外的其它Windows系统都可能受到漏洞影响。

目前已知的受影响的系统有： Windows Vista、Windows 7、Windows 8.1、Windows Server 2008（含R2）、Windows 2012（含R2）、Windows2016、已脱离服务周期的Windows XP、Windows Server 2003、Windows 8以及关闭自动更新的win10用户。

英国医院成为病毒入侵重灾区的一个重要原因，就在于系统的落后，英国医院的IT系统一直没有及时更新，仍然在使用Windows XP系统，而Windows XP系统在2014年4月之后就没有发布更新的安全补丁了。

除了英国，意大利、德国、俄罗斯、西班牙等国家都大范围爆发勒索病毒。

意大利的大学机房被攻击

5月12日仅一夜之间，全世界就有超过99个国家遭到攻击，共计七万多起。

我们国家的内网受损害也很严重，尤其是高校的校园网，很多单位都在内网和外网之间部署了防火墙进行网络控制，但内网的安全反而多多少少有些被忽视，因为内网机器相互访问的需求，再加上网络管理人员忽略了内网本身的安全控制，在不少企业的内网里，绝大多数端口甚至是完全开放的状态。这种情况下，电脑间的网络连接毫无限制，也就给了蠕虫病毒以传播机会。

WannaCry爆发一周年:医疗行业或成WannaCry 的变种病毒重点攻击对象

距离去年5月12日勒索病毒爆发已经一周年了。一年前，一个叫“WannaCry”的勒索病毒突然大规模爆发，席卷全球150多个国家，造成高达80亿美元的经济损失。2018年以来，勒索变种仍然层出不穷，攻击方式不断升级，并开始从发达城市向偏远地区扩散，大批企业用户纷纷中招，其中不乏政府、高校、医院等公共基础设施。

国内越来越多的医院正成为黑客攻击的靶子：2017年5月，“永恒之蓝”勒索软件对成都市传染病医院等部分医院造成影响；2018年2月，湖南省某医院遭受勒索病毒攻击，服务器所有数据文件被强行加密；同一时间，上海某公立医院系统被黑，黑客勒索价值2亿元的以太币；2018年4月，杭州某医院受到勒索病毒攻击。

勒索病毒已发展成为威胁网络安全的重大毒瘤，严重威胁着企业和个人用户的文档和数据安全，一旦中招，不但会受到经济损失，还会严重影响医院正常工作，造成十分恶劣的影响。据媒体报道，2018年2月24日，某医院遭受勒索病毒攻击时，服务器所有数据文件被强行加密，导致医院系统瘫痪，取号、办卡、挂号、收费、诊疗等业务均受到影响。此时正值流感高发季，医院大厅人满为患。据悉该院多台服务器感染勒索病毒，数据库文件、业务文件均被病毒加密破坏，攻击者要求院方必须在六小时内为每台感染终端支付1个比特币赎金，约合每台终端解锁需要支付人民币66000余元。

与其他机构相比，医院的信息系统比较特殊，如其中的医学记录、数据、病患资料以及预约信息等，都属于需要紧急使用的信息，被勒索病毒加密后，会造成比较大的影响，所以势必会想尽办法以最快速度恢复数据，比如，马上交赎金。医院信息系统遭遇勒索、发生故障，无论是哪种突发状况，都将直接影响到患者正常就医，甚至会关系到病患的生命安全。因此，在血泪教训面前，快速获得应对勒索病毒攻击的解决方案尤为重要。

病毒变种分析

本次捕获的WannaCry变种跟之前风靡全球的对主机进行勒索的WannaCry

具体的变化：

1、KillSwitch开关不再有效

之前的Wannacry病毒拥有KillSwitch域名开关，当病毒可以访问该域名（www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com）时，病毒终止运行和传播，不会对主机造成任何破会。变种病毒虽然也会连接改KillSwitch域名，但并不会因访问到该域名而终止运行。由于该变种病毒不再受KillSwitch影响，但是可能会像当年的飞客蠕虫一样，感染量较大。

2、勒索程序运行失效，可造成系统蓝屏崩溃

WannaCry之前的版本释放勒索程序对主机进行勒索，变种后程序在主流Windows平台下运行失败，无法进行勒索操作。但如果内网中多个主机感染了该种病毒，病毒之间会利用“永恒之蓝”漏洞进行互相攻击。由于该变种病毒使用了堆喷射技术进行漏洞利用，并不稳定，存在小概率出现漏洞利用失败。在漏铜利用失败的情况下，会造成被攻击主机蓝屏的现象。

病毒影响

变种病毒传播方式跟之前一样，也是通过 MS17-010 中的“永恒之蓝”漏洞进行传播。病毒传播过程中，漏洞利用成功时主机受感染，漏洞利用失败则造成主机蓝屏，蓝屏信息显示 srv.sys 驱动出现问题，srv.sys 正是存在“永恒之蓝”漏洞的驱动文件。

该变种病毒单台主机被感染特征不明显，容易引发内网传播，扩大影响范围，需小心防范。

如何应对WannaCrypt勒索病毒？

1、微软官方在 3 月份已发布补丁 MS17-010 修复了“永恒之蓝”病毒所利用的 SMB 漏洞，请前往官网下载安装。经过前段时间 WannaCry 勒索病毒事件已打过补丁的用户将不受影响，无需再次升级补丁。补丁地址：

https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx

2、暂时无法进行升级的用户，可临时禁止使用 SMB 服务的 445 端口，禁用方法：

https://jingyan.baidu.com/article/d621e8da0abd192865913f1f.html

3、深信服防火墙早在一个月前就已发布针对微软 SMB 漏洞的攻击防护，用户升级到 20170415 及其以上版本即可防御此漏洞的攻击。

4、深信服千里目安全实验室在捕获 WannaCry 变种样本后紧急开发专杀工具，计算机在中病毒后，可以使用专杀工具进行查杀。建议先封闭本地主机的445端口，或者打完补丁后重启主机，再进行专杀确保专杀干净。专杀工具下载地址：

http://sec.sangfor.com.cn/download?file=WannaCryKiller.exe

5、划重点，电脑上的文件一定要备份，并且勤备份。注意不要备份在本机和网络硬盘上，备份盘也不要一直插在电脑上；

6、安装反勒索防护工具，不要访问可疑网站、不要打开可疑的电子邮件和文件，如果发现被感染，也不要支付赎金；