道高一尺，魔高一丈！勒索病毒WannaCry变异2.0版来袭

有别于以往的攻击方式，据了解该勒索软件是直接透过系统漏洞进行攻击，除 Windows 10 及 Server 2016 外，近乎所有 Windows 系统及其服务器版本均受威胁。英国一名专家曾发现该病毒漏洞，暂时抑制了传播，但病毒马上变异出2.0版本，目前尚无有效解决方案，只能靠预防。

中国高校教育网络成高发地

据防毒软件公司 Avast Software 最新公布的数字，目前已在全球 99 个国家侦测到超过 75,000 宗 “WanaCrypt0r 2.0”（又名 WannaCry） 的攻击个案，逾10万台电脑受害。而在 Kaspersky 安全研究及分析团队侦测到的 45,000 宗攻击个案中，俄罗斯、乌克兰、中国属前十位攻击分布最高的国家。

全球范围受影响的更不乏大型企业及政府机构，如英国国家卫生事务局 (NHS) 旗下多间医院及西班牙电信公司 Telefonica 等。在中国大陆，教育网络则成为重灾户，许多教育单位都业务停摆。

更惨的是，连政府单位也中招，包括北京、上海、江苏、天津等多地的出入境、派出所等政府单位，以及油站等终端机也疑似遭遇了病毒袭击。

综合 CNVD 技术组成员单位奇虎 360公司、安天公司等单位已获知的样本情况和分析结果，这次的勒索病毒会利用 445 Port和SMB服务漏洞 （MS17-010） 入侵，而大陆的校园网络也使用 445 Port，因此成为首当其冲的重灾户。许多学校的学生也都反映自己的电脑遭受病毒攻击，文件被加密，甚至写好的论文资料都打不开了。由于透过校园网络传播，影响十分广泛。

某高校机房数台电脑中招

当用户主机系统被该勒索软件工具入侵后，弹出如下勒索对话框，提示勒索目的并向用户索要比特币。

周六（5月13日）在微博上陆续有用户反映，包括北京、上海、江苏、天津等多地的出入境、派出所等单位也疑似遭遇了病毒袭击。因此很多民众原本要到这些地方去办理业务的，全都变成在当地枯等。有人抱怨在大厅等候了半个小时，十一个接待窗口没有叫过一个号码。

至于为什么传出灾情的都是入出境管理局？猜测可能是因为周六大多数机关并没有开放的缘故。

去年黑客已发现该漏洞，但微软发的补丁你打了吗？

今次肆虐全球的“WanaCrypt0r”一如过往勒索软件的运作模式，当受害者的电脑遭受感染后，所有档案均被加密成副档名为 .WNCRY 的格式，无法正常开启读取资料。档案加密后亦会弹出相应界面指示受害者需在三天内交付价值 300 美元的 比特币（Bitcoin） 赎金，逾期加倍，若未能在七天内交付则再无法恢复档案。勒索软件的界面更包括简繁中文在内的 28 种不同语言，明显针对全球各地用户。

有别于过往透过钓鱼邮件感染的方式，不少受害者在网上回报指在正常使用电脑的情况下突然弹出相关勒索界面。据了解“WanaCrypt0r”是透过 Windows 系统内名为 EternalBlue 的 Windows SMB 远端执行程序码弱点进行攻击，成功利用弱点的攻击者有机会获得在目标服务器上执行程序码的能力。

然而，由于不少机构及个人用户未有定期安装 Windows 系统更新的习惯，导致今次“WanaCrypt0r”能快速感染多个国家及地区的电脑。安全专家亦呼吁机构和个人用户尽快安装微软官方发布的 MS17-010 安全更新，确保修补今次攻击中使用到的 SMB 服务器漏洞。不过值得留意的是，由于微软早已停止 Windows XP 系统的技术支持，因此相关更新未有提供。

去年黑客团队 Shadow Brokers 曾声称成功入侵美国国家安全局（NSA）旗下的秘密网络攻击组织 Equation Group，并发布各种攻击工具。当中就涉及众多尚未揭露的产品漏洞，被指可用于攻击、入侵除 Windows 10 及 Windows Server 2016 以外，Windows XP 至 Windows 8 及其各自对应的服务器版本系统，其中就包括 EternalBlue、EmeraldThread 等多个漏洞。而微软亦已于今年三月中发布针对 Windows SMB Server 的安全性更新 (MS17-010)，修复相关安全漏洞。

应急处置措施

建议即时更新 Windows 已发布的安全更新，同时在内部网络区域、主机资产、资料备份方面做好如下工作：

（一）关闭 445 等端口（其他关联端口如： 135、137、139）的外部网络访问权限，在服务器上关闭不必要的上述服务端口；

（二）加强对 445 等端口（其他关联端口如： 135、137、139）的内部网络区域活动审查，即时发现非授权行为或潜在的攻击行为；

（三）由于微软对部分操作系统停止安全更新（ MS17-010 安全更新），建议对 Window XP 和 Windows server 2003 主机进行检查（MS17-010 更新已不支持），使用替代操作系统。

（四）做好个人资料的备份。

安全专家曾找出解决方法，无奈病毒已变异

英国一位网络代号为“MalwareTech”的年轻资讯安全专家，在病毒爆发时正好在休假，因此决定用这段时间来研究一下这个病毒，结果意外发现软件的“中止开关”（killswitch）。

他借由从英国健保署肆虐软件样本准备进行研究，发现 WanaCrypt0r 2.0 会一直尝试存取某个像是随机在键盘打出来的一长串网址名称。当时他无法理解这串网址的意义，由于这个网址名称并未注册启用，好奇心与职业习惯下，他花了 8. 29 英镑把网域注册下来，一注册后他发现该网域出现成千上万的连线量，而且来自全世界各地。


勒索软件的样本部分程序码。（Source：MalwareTech）

一开始他不清楚流量来自何方，随着对病毒码的进一步分析，各安全研究机构也开始注意到这个网址，而各方的勒索攻击也停了下来，他们才发现这似乎是紧急中止开关。

原来这个勒索软件启动后会先连到下面这一长串网址：http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com，
连线失败后才会执行档案加密，否则就放弃档案加密，并结束软件退出。也就是说，这一长串看似无意义的网址一旦注册生效，在各个感染勒索软件的主机上将能停止扩散。不过有资安专家表示，先前受感染的电脑档案仍有被加密勒索的风险，因为这软件是属于“潜伏”型的，会先行进后才“发作”，不过至少暂缓了进一步扩大的可能。

有网络安全专家透露，这可能是勒索病毒的作者留的一着“后路”， 希望在软件传播失控或需要抑止时的开关，透过注册这个网址来中止勒索软件的传播，以免连自己都难以收场。

▲ 现在网址已被注册了，连线后会出现这个画面。

然而，道高一尺，魔高一丈！

勒索病毒WannaCry今日被发现出现变种WannaCry 2.0，取消了Kill Switch机制，使用者不能通过注册某个功能变数名称来关闭变种勒索病毒的传播，该变种传播速度可能会更快。

这场勒索风暴目前进账多少钱？

不过你可知道，这个大规模攻击全球的勒索病毒，至今为骇客们赚进多少银两？答案令人意外。

英国《卫报》（The Guardian）报导，比特币交易监控平台Elliptic创办人罗宾森（Tom Robinson）透露，这款恶意勒索软件有两种版本，一种出现在4月份，目前已确定与其相关的比特币地址，而团队也找出了和周五出现的版本有关的3个比特币地址。

罗宾森指出，根据数据资料，这三个地址至今仅收到8.2个比特币，价值约为1.4万美元(约人民币9.7万)，加上和4月份版本有关的地址，约为2万美元(约人民币13.8万)。目前这些比特币仍存地址内没被提取，无法追查骇客行踪。先前有专家猜测，如此大规模的攻击行为，骇客到手的赎金可能逾10亿美元。

关注最前沿的电子设计资讯，请关注“电子工程专辑微信公众号”。