勒索病毒WannaCry浅溯

这几天比特币勒索病毒席卷全球，在之前的文章新型勒索软件正在兴起曾提及勒索软件将成为互联网世界增长最快的威胁。

WannaCry病毒背景

病毒在三月份就有攻击记录，版本号是2.0，因为在3月份病毒发布者还没有利用黑客组织“Shadow Brokers”发布的美国国家安全局(NSA)黑客工具包中的“永恒之蓝”黑客工具，当时并没有引起全球网络危机进而引发世界的关注。
这次病毒侵袭引起全球关注在2017年5月12日，率属于NHS（英国国家医疗服务体系，这个体系一直承担着保障英国全民公费医疗保健的重任）的16个英国卫生医疗组织向英国医疗数据中心反映，他们的电脑受到蠕虫勒索病毒的攻击。黑客三个月前花了不到一个小时就进入了NHS（英国国家医疗服务体系）服务器获取资料。
此次比特币勒索病毒的名字有：
WCry、WannaCry、WCrypt、WanaCryptor、WannaCrypt、Wana Decryptor、WORM_WCRY.A...
微软方面WannaCry病毒的应对
除了安全更新，微软3月份的时候没有识别针对SMBv1漏洞的缓解因素，微软批评美国政府没有通知这个漏洞。
随着事件的扩大，微软近期则分析了黑客界臭名昭著的Shadow Brokers（黑客组织号影子经纪人）流出的据称率属于NSA（美国国家安全局）下黑客组织Equation（代号方程式）开发的黑客工具针对Windows系统的漏洞，工程师们已经对披露的漏洞进行了调查，大部分漏洞截至14号已经被修补了。
NSA黑客武器库中攻击程序列表

可以看到，微软对其他三个代号漏洞还没有完全补救好。
一般勒索软件的原理

---

传播病毒的手段：
病毒作者可能利用各种把戏来说服你下载他们的文件，平时不要随便接触不良网站的文件，接收到不明邮件和附件不要随便点开下载（这类邮件包含不限于各种通过税收通知形式、不明罚款账单形式的邮件、不明网络挣钱渠道的邮件）。
一般勒索软件的原理图:

Wannacry使用RSA+AES算法对文件复制删除加密（RSA加密1977年由罗纳德·李维斯特（Ron Rivest）、阿迪·萨莫尔（Adi Shamir）和伦纳德·阿德曼（Leonard Adleman）一起提出的。AES，是美国联邦政府采用的一种区块加密标准）。

WannaCry.EXE病毒程序放行结果：

可以看到，百度在5月3号能检测出病毒。

WannaCry病毒进展
WannaCry病毒阻断病毒启动的域名已经被网络安全研究员MalwareTech抢注，病毒制作者花费了2天时间发布新变种蠕虫病毒。网络安全研究员发现，二次病毒感染的电脑50%+位于俄罗斯。
WannaCry变种病毒由两部****份构成：
勒索软件病毒
SMB蠕虫病毒

此次WannaCrypt病毒引发了其他勒索软件模仿，其他勒索软件模仿WannaCrypt病毒的界面：

****应对WannaCry病毒可能办法
①升级系统，打补丁
Windows 7 64位安全更新程序
http://t.cn/RaSdAWJ
Windows 8 安全更新程序
http://t.cn/Ra9VRy2
②SMBv1的关闭（非必须）：
涉及的计算机端口：
135、137、445端口

③使用datarecover等数据恢复工具。数据恢复工具理论上只要原盘位没有被重写入覆盖，原来被删除的数据就有恢复的可能。
用于恢复WannaCry病毒感染的WannaDecrypt软件只对部分情况适用。

杀软巨头们对WannaCry病毒发布源的判断
卡巴斯基实验室分析师昨日基于一贯的追查，把WannaCry病毒与Lazarus2014年10月份的代码样本对比分析判断认为此次蠕虫病毒和该黑客团伙拉撒路有关。

黑客团伙拉撒路背景：
2016年2月5日未知黑客组织入侵孟加拉央行系统，从该行转走8100万美元，被认为是史上金额最大、最成功的银行网络行窃团伙。
卡巴斯基实验室连同其他网络安全公司认为该起网络行窃与自2009年以来就在多达18个国家攻击国家基础网络设备和金融系统的黑客团伙拉撒路Lazarus有关，并认为该团伙来自朝鲜。
WannaCry仅仅是开始？
WannaCry这次蠕虫病毒在内网（内部网络中也大多开启445端口和139端口
，网吧、校园网、单位办公网大多属于内网，局域网是封闭型的）肆虐，除了企事业单位计算机系统没有及时升级外，是否也在告诉我们内网相对安全是否有失偏颇？
对于公共物理基础网络设施的瞬间崩塌的快速重建是不是未来外包安全公司加以考虑的方向，更多的黑客和攻击者会不会效仿这次网络攻击事件，制作出更多的病毒席卷全球就不得而知了。