看懂勒索病毒“WannaCrypt"

2017年5月12日，全球比特币勒索病毒WannaCrypt（简称WCry2.0）爆发。WCry2.0病毒可在用户无任何操作的情况下，扫描开放445文件共享端口的Windows机器，从而植入恶意程序。勒索病毒加密电脑文件，要求用户支付300美元的比特币之后才予以解锁。
据了解，勒索病毒利用了此前被美国国家安全局(NSA)发现的Windows系统漏洞,此漏洞被维基解密曝光后，被人利用。

根据BBC报道，WannaCrypt （永恒之蓝或想哭）勒索蠕虫已经攻击了近百个国家的超过 10 万家企业和公共组织，已造成150多个国家的20多万人受影响。英国和俄罗斯位于受害程度最严重的国家之列。
国内被感染的组织和机构已经覆盖了几乎所有地区，影响范围遍布高校、火车站、自助终端、邮政、加油站、医院、政府办事终端等多个领域，被感染的电脑数字还在不断增长中。

国内外各相关组织、机构都在积极应对，大家不必过于恐慌。
首先下载更新Windows系统补丁。微软就针对此次共计利用的安全漏洞发布了更新补丁，并推送给了所有开启自动更新的用户。Windows XP、Windows 8、Windows Server 2003早已经终止主流支持服务，微软仅为有限客户提供支持，但这一次也紧急提供了安全补丁更新。
其次把重要的数据进行备份。个人电脑用移动硬盘 和U盘做好备份。
再就是对于已经中毒的用户，关注最新发布的杀毒软件，进行试用。

一般来说，主流的勒索病毒通常有两种操作文件的方式，一种是直接加密覆盖原文件，这种情况下没有勒索者的密钥，几乎是无法恢复的；另一种则是先加密生成副本文件，然后删除原文件，这种情况下是有可能恢复的。但对于第二种情况，狡猾的勒索者通常会对文件进行深度处理，比如在删除之前，用垃圾数据把原文件覆盖一遍，这时受害者用文件恢复的办法，只能恢复出一堆垃圾数据。此次Wannacrypt勒索软件采用的是第二种方式， 但研究人员发现它并没有对原文件进行这样的 “深度处理”，而是直接删除 。算是一个比较低级的 “失策”，所以可以实现部分文件恢复。

这次事件给大家提了个醒，注重日常的系统更新，对重要数据要及时备份。

注：Wanna 是美口语“ 想要”的意思，等于want to。Crypt 的名词解释是“ 地窖”，它还是词根：秘密,隐藏。如decrypt 加密，encrypt 解密。