一場大規模的網絡攻擊襲擊了全世界的電腦。這種高毒力的自我複製勒索軟件——被稱為WanaCryptor、Wannacry或Wcry——部分盜用了****局（NSA）上個月發佈到野外的一個黑客組織“影子掮客”（Shadow Brokers）。

據反病毒軟件開發者Avast稱，勒索軟件被認為已經感染了至少10萬臺電腦。這次大規模襲擊主要針對俄羅斯、烏克蘭和臺灣，但蔓延至至少99個其他國家的主要機構。除了索要300美元（在本文撰寫時約為0.17比特幣）之外，該病毒還以其多種語言的勒索方式而引人注目：該惡意軟件支持二十多種語言。

什麼是正在進行(going on)？

WanaCryptor正在造成大規模的、幾乎史無前例的破壞。勒索軟件正在影響銀行、醫院、電信、電力設施和其他任務關鍵型基礎設施。

僅在英國，至少有40個NHS（國民保健服務）信任宣佈緊急情況，強制取消重要手術，以及破壞病人的安全和安全，幾乎肯定會導致死亡。

WanaCryptor於2017年2月首次出現。勒索軟件的初始版本將受影響的文件擴展名更改為“.WNCRY”，並在每個文件上標記字符串“WANACRY！”

WanaCryptor2.0正在計算機之間迅速傳播，利用與Equation Group有關的漏洞，Equation Group是一個與美國****局（NSA）密切相關的黑客集體（據傳是他們內部的“骯髒”黑客單位）。尊敬的安全研究人員Kafeine證實，被稱為ETERNALBLUE或MS17-010的漏洞很可能出現在更新版本中。

多次利用

這次勒索軟件的爆發與你可能已經看到的不同（我希望不是經歷過的）。WanaCryptor2.0將洩露的SMB（服務器消息塊，一種Windows網絡文件共享協議）漏洞與自我複製的有效負載結合起來，允許勒索軟件從一臺易受攻擊的機器傳播到下一臺易受攻擊的機器。這個勒索蠕蟲切斷了通常的勒索軟件傳遞方式的一個受感染的電子郵件，鏈接，或其他行動。

Malwarebytes的研究人員Adam Kujawa告訴Ars Technica，“最初的感染媒介是我們仍在努力尋找的。。。考慮到此攻擊似乎是有目標的，它可能是通過網絡防禦中的漏洞或精心設計的魚叉式網絡釣魚攻擊。無論如何，它是通過感染網絡傳播使用永恆藍漏洞，感染其他未修補的系統。”

WanaCryptor也在利用DOUBLEPULSAR，另一個洩露的NSA漏洞。這是一個用於遠程注入和運行惡意代碼的後門。感染掃描以前感染後門的主機，找到後使用現有功能安裝加密程序。在主機系統沒有現有DOUBLEPULSAR後門的情況下，惡意軟件會恢復到ETERNALBLUE SMB漏洞。

關鍵安全更新

美國****局黑客工具的大規模洩露成為全球頭條新聞。美國****局收集和儲存未發佈的零日漏洞供自己使用的直接和無可匹敵的證據已經存在。正如我們現在看到的那樣，這構成了巨大的安全風險。

巧合的是，微軟在3月份修補了永恆藍漏洞，隨後影子經紀人的大規模武器級漏洞就登上了頭條。考慮到攻擊的性質，我們知道這個特定的漏洞正在發揮作用，以及感染的快速性，在關鍵更新發布兩個多月後，似乎有大量組織未能安裝它。

最終，受影響的組織會想玩指責遊戲。但是手指應該指向哪裡呢？在這種情況下，有足夠多的責任可以分擔：****局囤積危險的零日漏洞，那些用洩露的漏洞更新WanaCryptor的罪犯，許多忽略了關鍵安全更新的組織，還有更多仍然使用windowsxp的組織。

人們可能已經死了，因為組織發現升級他們的主要操作系統的負擔是驚人的。

微軟立即發佈了WindowsServer2003、Windows8和WindowsXP的關鍵安全更新。

我有危險嗎？

WanaCryptor2.0像野火一樣蔓延。在某種意義上，安全行業之外的人們已經忘記了蠕蟲的迅速傳播，以及它可能引起的恐慌。在這個高度互聯的時代，再加上加密勒索軟件，惡意軟件供應商們就成了可怕的贏家。

你有危險嗎？幸運的是，在美國甦醒過來並開始它的計算日之前，MalwareTechBlog發現了一個隱藏在惡意代碼中的殺戮開關，從而遏制了感染的傳播。

kill開關涉及一個很長的無意義域名——iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com網站--惡意軟件向其發出請求。

如果請求實時返回（即接受請求），惡意軟件不會感染機器。不幸的是，這對任何已經感染的人都沒有幫助。MalwareTechBlog背後的安全研究人員註冊了這個地址，通過他們的請求跟蹤新的感染，卻沒有意識到這是緊急殺戮開關。

不幸的是，有可能存在勒索軟件的其他變種，每個變種都有自己的殺死開關（或者根本沒有，視情況而定）。

還可以通過禁用SMBv1來緩解該漏洞。Microsoft提供了一個關於如何在Windows和Windows Server上執行此操作的完整教程。在Windows 10上，按Windows鍵+X，選擇PowerShell（Admin）並粘貼以下代碼可以快速實現這一點：

SMB1是一箇舊協議。較新的版本不易受到WanaCryptor2.0變體的攻擊。

此外，如果你的系統已經正常更新，你不太可能感受到這種感染的直接影響。也就是說，如果你的NHS預約被取消了，銀行付款出錯了，或者一個重要的包裹沒能送到，不管怎樣，你都會受到影響。

對智者來說，修補漏洞不一定能奏效。Conficker，有人嗎？

接下來會發生什麼？

在英國，最初的NavaRypulter 2被描述為對NHS的直接攻擊。這已經打折了。但問題仍然是，數十萬個人經歷了惡意軟件造成的直接中斷。

該惡意軟件帶有攻擊的特徵，具有明顯的意外後果。網絡安全專家阿夫扎爾·阿什拉夫博士（Dr.Afzal Ashraf）對英國廣播公司（BBC）說，“他們可能攻擊了一家小公司，以為他們會得到一小筆錢，但這家公司進入了國民保健系統，現在他們擁有國家對他們的全部權力——因為很明顯，**承受不起這種事情的發生和成功。”

當然，不僅僅是國家醫療服務系統。在西班牙，ElMundo報道說Telefonica 85%的電腦都受到了蠕蟲病毒的影響。聯邦快遞（Fedex）證實，他們以及葡萄牙電信（Portugal Telecom）和俄羅斯梅加豐（MegaFon）都受到了影響。這也沒有考慮到主要的基礎設施提供商。

為接收贖金而創建的兩個比特幣地址（此處和此處）現在包含42筆交易的9.21 BTC（在撰寫本文時約為16000美元）。也就是說，比特幣支付缺乏系統識別，這也印證了“意外後果”理論。

那麼接下來會發生什麼呢？清理過程開始了，受影響的組織統計他們的損失，包括財務損失和基於數據的損失。此外，受影響的組織將對他們的安全實踐進行長期、認真的研究，並且——我真的，真的希望——進行更新，將過時的、現在危險的WindowsXP操作系統拋在腦後。

希望如此。

您是否直接受到加密程序2.0的影響？您是否丟失了數據或取消了約會？你認為**應該強制關鍵任務基礎設施升級嗎？請在下面告訴我們您的WanaCryptor 2.0體驗，如果我們有幫助，請與我們分享。

圖片來源：我通過Shutterstock.com網站