一场大规模的网络攻击袭击了全世界的电脑。这种高毒力的自我复制勒索软件——被称为WanaCryptor、Wannacry或Wcry——部分盗用了****局（NSA）上个月发布到野外的一个黑客组织“影子掮客”（Shadow Brokers）。

据反病毒软件开发者Avast称，勒索软件被认为已经感染了至少10万台电脑。这次大规模袭击主要针对俄罗斯、乌克兰和台湾，但蔓延至至少99个其他国家的主要机构。除了索要300美元（在本文撰写时约为0.17比特币）之外，该病毒还以其多种语言的勒索方式而引人注目：该恶意软件支持二十多种语言。

什么是正在进行(going on)？

WanaCryptor正在造成大规模的、几乎史无前例的破坏。勒索软件正在影响银行、医院、电信、电力设施和其他任务关键型基础设施。

仅在英国，至少有40个NHS（国民保健服务）信任宣布紧急情况，强制取消重要手术，以及破坏病人的安全和安全，几乎肯定会导致死亡。

WanaCryptor于2017年2月首次出现。勒索软件的初始版本将受影响的文件扩展名更改为“.WNCRY”，并在每个文件上标记字符串“WANACRY！”

WanaCryptor2.0正在计算机之间迅速传播，利用与Equation Group有关的漏洞，Equation Group是一个与美国****局（NSA）密切相关的黑客集体（据传是他们内部的“肮脏”黑客单位）。尊敬的安全研究人员Kafeine证实，被称为ETERNALBLUE或MS17-010的漏洞很可能出现在更新版本中。

多次利用

这次勒索软件的爆发与你可能已经看到的不同（我希望不是经历过的）。WanaCryptor2.0将泄露的SMB（服务器消息块，一种Windows网络文件共享协议）漏洞与自我复制的有效负载结合起来，允许勒索软件从一台易受攻击的机器传播到下一台易受攻击的机器。这个勒索蠕虫切断了通常的勒索软件传递方式的一个受感染的电子邮件，链接，或其他行动。

Malwarebytes的研究人员Adam Kujawa告诉Ars Technica，“最初的感染媒介是我们仍在努力寻找的。。。考虑到此攻击似乎是有目标的，它可能是通过网络防御中的漏洞或精心设计的鱼叉式网络钓鱼攻击。无论如何，它是通过感染网络传播使用永恒蓝漏洞，感染其他未修补的系统。”

WanaCryptor也在利用DOUBLEPULSAR，另一个泄露的NSA漏洞。这是一个用于远程注入和运行恶意代码的后门。感染扫描以前感染后门的主机，找到后使用现有功能安装加密程序。在主机系统没有现有DOUBLEPULSAR后门的情况下，恶意软件会恢复到ETERNALBLUE SMB漏洞。

关键安全更新

美国****局黑客工具的大规模泄露成为全球头条新闻。美国****局收集和储存未发布的零日漏洞供自己使用的直接和无可匹敌的证据已经存在。正如我们现在看到的那样，这构成了巨大的安全风险。

巧合的是，微软在3月份修补了永恒蓝漏洞，随后影子经纪人的大规模武器级漏洞就登上了头条。考虑到攻击的性质，我们知道这个特定的漏洞正在发挥作用，以及感染的快速性，在关键更新发布两个多月后，似乎有大量组织未能安装它。

最终，受影响的组织会想玩指责游戏。但是手指应该指向哪里呢？在这种情况下，有足够多的责任可以分担：****局囤积危险的零日漏洞，那些用泄露的漏洞更新WanaCryptor的罪犯，许多忽略了关键安全更新的组织，还有更多仍然使用windowsxp的组织。

人们可能已经死了，因为组织发现升级他们的主要操作系统的负担是惊人的。

微软立即发布了WindowsServer2003、Windows8和WindowsXP的关键安全更新。

我有危险吗？

WanaCryptor2.0像野火一样蔓延。在某种意义上，安全行业之外的人们已经忘记了蠕虫的迅速传播，以及它可能引起的恐慌。在这个高度互联的时代，再加上加密勒索软件，恶意软件供应商们就成了可怕的赢家。

你有危险吗？幸运的是，在美国苏醒过来并开始它的计算日之前，MalwareTechBlog发现了一个隐藏在恶意代码中的杀戮开关，从而遏制了感染的传播。

kill开关涉及一个很长的无意义域名——iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com网站--恶意软件向其发出请求。

如果请求实时返回（即接受请求），恶意软件不会感染机器。不幸的是，这对任何已经感染的人都没有帮助。MalwareTechBlog背后的安全研究人员注册了这个地址，通过他们的请求跟踪新的感染，却没有意识到这是紧急杀戮开关。

不幸的是，有可能存在勒索软件的其他变种，每个变种都有自己的杀死开关（或者根本没有，视情况而定）。

还可以通过禁用SMBv1来缓解该漏洞。Microsoft提供了一个关于如何在Windows和Windows Server上执行此操作的完整教程。在Windows 10上，按Windows键+X，选择PowerShell（Admin）并粘贴以下代码可以快速实现这一点：

SMB1是一个旧协议。较新的版本不易受到WanaCryptor2.0变体的攻击。

此外，如果你的系统已经正常更新，你不太可能感受到这种感染的直接影响。也就是说，如果你的NHS预约被取消了，银行付款出错了，或者一个重要的包裹没能送到，不管怎样，你都会受到影响。

对智者来说，修补漏洞不一定能奏效。Conficker，有人吗？

接下来会发生什么？

在英国，最初的NavaRypulter 2被描述为对NHS的直接攻击。这已经打折了。但问题仍然是，数十万个人经历了恶意软件造成的直接中断。

该恶意软件带有攻击的特征，具有明显的意外后果。网络安全专家阿夫扎尔·阿什拉夫博士（Dr.Afzal Ashraf）对英国广播公司（BBC）说，“他们可能攻击了一家小公司，以为他们会得到一小笔钱，但这家公司进入了国民保健系统，现在他们拥有国家对他们的全部权力——因为很明显，**承受不起这种事情的发生和成功。”

当然，不仅仅是国家医疗服务系统。在西班牙，ElMundo报道说Telefonica 85%的电脑都受到了蠕虫病毒的影响。联邦快递（Fedex）证实，他们以及葡萄牙电信（Portugal Telecom）和俄罗斯梅加丰（MegaFon）都受到了影响。这也没有考虑到主要的基础设施提供商。

为接收赎金而创建的两个比特币地址（此处和此处）现在包含42笔交易的9.21 BTC（在撰写本文时约为16000美元）。也就是说，比特币支付缺乏系统识别，这也印证了“意外后果”理论。

那么接下来会发生什么呢？清理过程开始了，受影响的组织统计他们的损失，包括财务损失和基于数据的损失。此外，受影响的组织将对他们的安全实践进行长期、认真的研究，并且——我真的，真的希望——进行更新，将过时的、现在危险的WindowsXP操作系统抛在脑后。

希望如此。

您是否直接受到加密程序2.0的影响？您是否丢失了数据或取消了约会？你认为**应该强制关键任务基础设施升级吗？请在下面告诉我们您的WanaCryptor 2.0体验，如果我们有帮助，请与我们分享。

图片来源：我通过Shutterstock.com网站