WannaCry 勒索病毒攻击:它是什么?

旋风加速技术有限公司

WannaCry 到底是什么?

WannaCry是一种勒索病毒,仅在一天内就感染了来自150个国家的超过230,000台Windows电脑,其中许多是政府机构和医院的电脑,这一事件震惊了全世界。Avast已阻挡了超过1.76亿次 WannaCry 勒索病毒攻击。了解 WannaCry 的运作方式以及如何利用世界一流的反勒索病毒软体来保护自己。

适用于 ,
,

PC 编辑选择图标

2023
编辑选择

AV-Test 顶级产品图标

2022
评价最高的产品

WannaCry 英雄

由 撰写
发布于2020年2月27日

WannaCry 到底是什么?

「哎呀,你的重要文件已被加密。」

这就是 WannaCry,黑客锁住你的档案,要求支付费用以解密。如果你的电脑出现了这条讯息,那么你就可能感染了 WannaCry 或类似的勒索病毒

WannaCry 勒索病毒的加密画面。

顾名思义,
指的是一种恶意软体,会加密文件并要求支付赎金,以便能将其解密。WannaCry 仍然是目前最著名的勒索病毒之一,它之所以臭名昭著有几个原因:

  • 它具有自我复制的能力,能够在计算机和网络之间自动传播(无需人为干预)。

  • WannaCry 利用了 Windows 的 ,让数百万人面临风险。

  • 它造成数亿(甚至数十亿)美元的损失。

  • 该勒索病毒的扩散速度惊人,且很快便被制止。

  • 它的名字也让人印象深刻;如果你的重要文件被锁住,不是每个人都会想要哭吗?

向受害者收取 300美元比特币的赎金以释放档案。那些未能及时支付的人将面临加倍的解密金额。由于它的加密货币使用和像蠕虫一样的行为,WannaCry 被称为 加密蠕虫

2017年5月,WannaCry 攻击事件爆发,目标包括英国国民健康保健服务(NHS)。在短短一天内,它就像野火般地扩散,感染了
超过230,000台计算机,遍及150个国家

WannaCry 是如何扩散的?

WannaCry 利用名为 MS17-010 的Windows漏洞,黑客利用

的漏洞进行攻击。这个漏洞先由NSA发现,但他们并没有第一时间向微软报告,而是开发了利用该漏洞的代码。最终这段代码被一个名为 的黑客组织窃取并发布。微软随后注意到了
EternalBlue,并发布了补丁(对漏洞进行修正的软体更新)。然而,大多数人并没有安装这个补丁,因此仍然受到 EternalBlue 的威胁。

WannaCry 工具针对使用 SMBv1 的网络,此档案共享协定让计算机能够与连接在同一网络上的打印机和其他设备进行通信。WannaCry 的特性像是一种
,意味著它可以在网络上扩散。当它在一台计算机上安装后,WannaCry会扫描该网络寻找更多漏洞设备。它通过 EternalBlue 漏洞进入,然后利用名为 DoublePulsar的后门工具进行安装和执行。因此,它可以在无需人类干预和无需主机文件或程序的情况下自我扩散,使其被归类为

能自我扩散的WannaCry 勒索病毒迅速跨越网络和设备。

WannaCry 的起源是什么?

虽然无法百分之百确定是谁创造了 WannaCry,但网络安全界将此勒索病毒归因于北韩及其黑客组织 。FBI和网络安全研究人员发现了隐藏在代码背景中的线索,指向了这一来源。

2017年5月的WannaCry攻击

WannaCry 攻击于2017年5月12日展开,首个感染个案发生在亚洲。凭借其自我复制的特性,WannaCry 迅速扩散,每小时
,并在随后的四天中以惊人的速度持续扩散。

此勒索病毒攻击立刻引发混乱,尤其是在医院和其他医疗机构中。英国的国民健康服务因这次攻击而瘫痪,许多医院被迫关闭整个计算机系统,影响了病患护理,甚至取消了一些手术和其他重要操作。

攻击目标是谁?

WannaCry并未明确针对特定目标,但它迅速传播到了150个国家,其中俄罗斯、中国、乌克兰、台湾、印度和巴西是发生事件最多的地区。遭受攻击的个人和组织不计其数,包括:

  • 公司 :联邦快递、ホンダ、日立、Telefónica、O2、雷诺

  • 大学 :桂林电子科技大学、桂林航空航天大学、大连海事大学、坎布里安学院、塞萨洛尼基亚里士多德大学、蒙特利尔大学

  • 交通公司 :德国铁路、拉丁美洲航空集团、俄罗斯铁路

  • 政府机构 :安得拉邦警察、中国公共安全局、哥伦比亚国家健康所、英国国民健康服务、苏格兰国民健康服务、圣保罗司法法院、印度数个州政府(古吉拉特邦、喀拉拉邦、马哈拉施特邦、西孟加拉邦)。

这次攻击利用了运行旧版或过时软体的公司。这些组织为什么不采取补丁?如NHS这样的机构在需要几乎随时能使用病患数据的情况下,很难关闭整个系统进行更新,而未能及时更新最终导致了更大的损失。

如何被制止?

网络安全研究人员 Marcus Hutchins 发现,在 WannaCry 成功侵入系统后,它会尝试访问特定的 URL。如果找不到该
URL,勒索病毒会继续感染系统并加密档案。Hutchins 能够注册一个网域名,建立一个 DNS 垃圾箱 ,它作为一个终止开关,停止了
WannaCry 的扩散。他在几天内经历了 ,黑客用 Mirai 机器人网络变种攻击他的 URL(试图进行 以摧毁该 URL 和终止开关)。

Hutchins 使用一个可以处理更高流量的缓存版本保护了该网域,终止开关也保持了稳定。至于终止开关为什么会出现在 WannaCry的代码中,还不清楚这是意外还是黑客希望有能力终止这次攻击的结果。

WannaCry 的损失有多大?

虽然 WannaCry 向单个用户索要 300 美元比特币(或在截止日期过后改成 600美元),但造成的损失远高于这个金额。大约330人或组织支付了勒索金,总额为51.6比特币(当时约合130,634美元)。这是付给黑客的金额,但
WannaCry 的实际成本却更高。

由于大量政府机构、大学和医疗组织受到 WannaCry 的影响,加上随后的损害控制,清理成本惊人。网络风险建模公司 Cyence 估计损失高达

WannaCry 仍在活动中吗?

尽管终止开关成功地制止了2017年5月的攻击,但WannaCry并未完全根除。在2018年3月,并迅速控制了损失。其他攻击仍然可能发生。不仅如此,还有其他利用相同Windows漏洞的勒索病毒变种被开发出来,如

NotPetya。请记住,微软已发布了补丁(安全更新),以修补该漏洞——因此阻止了 EternalBlue 漏洞的利用。确保你的软体是最新的。

如何识别 WannaCry

虽然其他
试图悄悄地隐藏在你的系统中,但如果你遭遇勒索病毒,你会立即识别出来。没有什么比弹出一个巨大画面要求赎金更明显的迹象了。WannaCry 的画面如下:

展示WannaCry 勒索病毒的截图,显示如何支付赎金。

WannaCry 可以被移除吗?

与所有恶意软件一样,WannaCry勒索病毒的移除是可能的——但恢复其负面影响则更具挑战性。移除锁定你档案的恶意代码并不会实际解密这些档案。对于所有类型的勒索病毒,Avast不建议支付赎金以解锁档案。这样做没有保证你会实际收到解密码(毕竟我们面对的是罪犯)。即使黑客计划发送密钥,支付赎金也相当于认可他们的恶劣行径,鼓励他们继续散播勒索病毒,且很可能也会资助其他非法活动。

一些网络安全研究人员认为,WannaCry 实际上是一种 抹除器
——也就是说,它是用来抹除你的文件,而不是加密,创作者根本没有打算解锁任何人的档案。在支付过程中也存在实施问题:它们对所有受害者提供了三个相同的比特币地址,这使得受害者几乎无法追踪谁实际上已经支付了赎金。

那么,你可以对这些锁定的档案怎么办?也许你运气好,能在网上找到解密工具。Avast 和其他网络安全研究人员可以解码勒索病毒,并且提供
。然而,并非所有勒索病毒的变种都能被破解。在 WannaCry 的案例中,有一个
可用,但它可能并不适用于所有的计算机系统。

如果你无法解密文件,可以恢复系统的早期备份,其中包含正常的档案。但是你仍然需要先删除实际的恶意代码。请参阅我们的指南,了解如何移除勒索病毒,无论你使用的是什么设备。

如何保护自己免受 WannaCry 和类似勒索病毒的威胁

虽然 WannaCry 已不再继续散播其让人痛苦的影响,但还有许多其他的勒索病毒变种依旧存在。我们的建议将会
,并对其他类型的恶意软件提供保障。你应该
,以及任何与其连接的设备。以下是防止 WannaCry 和其他勒索病毒侵入你设备的方法:

保持软体最新

尽管微软已经对 EternalBlue 漏洞进行修补,但数百万用户却没有安装更新。如果他们能够及时更新,WannaCry就无法感染他们。因此,保持所有软体更新至关重要。同样,更新你的安全软体也非常重要(如果你使用的是 Avast 的
,那么你就可以高枕无忧——我们会自动更新我们的
!)。

避免打开未知发件人的电子邮件

现在有许多 ,而 电子邮件
仍然是网络罪犯最常用的传递方式。对于未知发件人的电子邮件应特别小心,特别是要避免点击任何链接或下载任何附件,除非你对其真伪有百分之百的把握。

当心受感染的网站

恶意广告经常在许多网站上存在,这些广告是在弹出窗口或横幅中隐藏的。使用前,确保
,特别是进行任何购物或串流的时候。

定期备份所有重要数据

如果你将所有档案备份,勒索病毒就失去了它的威力:你可以简单地移除恶意软体,然后将系统恢复到一个未感染的早期版本。你应该定期备份所有重要的文件,以便在档案被加密时仍然能拥有一个安全的版本。最好同时将数据保存在云端和实体存储中,以防万一。

对抗 WannaCry 的有效防御

在发布软体更新的第一时间安装以及养成良好的浏览、发邮件和下载习惯对在线安全至关重要——但这些措施从未能做到百分之百的安全。即使是最精通网络的用户,有时也会不小心点击或陷入狡猾的
诈骗。

正因如此,每个人都应该拥有防御勒索病毒、恶意软体及其他安全和隐私威胁的最后防线。 利用我们的六层保护和基于AI的云系统,能够有力地阻止像 WannaCry这样的勒索病毒。今天就下载Avast,永远不会让您的文件被劫持。

适用于 ,
,

适用于 ,
,

此文章包含:

你可能还喜欢…

最新安全文章

勒索病毒必备指南 ](https://www.avast.com/c-what-is-ransomware)

Ryuk勒索病毒是什么?](https://www.avast.com/c-ryuk-ransomware)

勒索病毒攻击的毁灭性现实
](https://www.avast.com/c-biggest-ransomware-attacks)

如何从 Android 设备中删除勒索病毒 ](https://www.avast.com/c-how-to-remove-
ransomware-android)

Leave a Reply

Your email address will not be published. Required fields are marked *