全球惊现巨大威胁！无法忽视的WannaCry病毒再次爆发！

扩展阅读

WannaCry有时也被称为WCry或WanaCryptor，是一种勒索软件恶意软件，这意味着它会加密受害者的文件，并要求支付恢复被盗信息的费用，通常是比特币，赎金金额从300美元到600美元不等。

该病毒可以描述为具有蠕虫功能的勒索软件，因为它能够利用EternalBlue漏洞在受感染的网络中传播自身。此外，该病毒利用DoublePulsar漏洞将自身的副本上传并执行到新机器。

一旦WannaCry进入目标计算机，它就会通过检查硬编码的终止开关域(fferfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com或iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com.)来开始恶意活动。在一个事件中，如果找到一个，恶意软件就会停止执行。但是，如果未找到终止开关域，勒索软件会加密机器上的文件，然后尝试利用SMB漏洞进行攻击。这样做是为了将病毒传播到其他随机PC和连接到本地网络中的所有PC。加密完成后，会向用户显示一张赎金纸条，攻击者要求在3天的时间跨度内支付300美元。如果受害人反抗，赎金金额将提高到600美元，并在7天内支付。支付被定向到多个硬编码比特币地址。对于加密货币来说，典型的情况是，任何人都可以检查他们的余额和交易历史，但无法追踪到这样的账户的真正所有者。

WannaCry恶意软件首次出现在野外，是2017年5月发生的毁灭性全球攻击的一部分。这次攻击利用了永恒之蓝(EternalBlue)的漏洞，据传该漏洞是由美国国家安全局(NSA)开发的，并被盟军“影子经纪人”(The Shadow Brokers)旗下的一个网络帮派泄露。

该漏洞利用了Windows操作系统中的一个漏洞，虽然该公司迅速发布了修复该问题的修补程序，但许多没有及时更新其计算机的个人和组织成为这次攻击的受害者。

据一些广泛估计，在攻击持续的那几天内，全世界有20多万台计算机被WannaCry感染。修正了“永恒之蓝(EternalBlue)”的漏洞，同时发现了允许停止执行恶意软件的“杀死开关”，这是帮助减缓这一恶意活动的两个主要贡献。然而，到袭击结束时，损失总额达到数十亿美元，来自150多个国家的受害者受到影响。

一场如此规模的运动引发了最高级别的国际调查，目的是找出谁是此次疫情的幕后黑手。专家调查了这些赎金纸条，发现它们很可能是手写的，正如语言学分析所表明的那样，作者似乎精通中文和英语。进一步的调查表明，作者的母语是中文，因为两个版本的赎金纸条都是用这种语言编写的-简体版本和繁体中文版本。此外，笔记中的一些打字错误使研究人员相信打字使用的是中文输入系统，因为使用任何其他形式的输入都不容易犯下像现在这样的错误。

应该指出的是，赎金纸条总共是用28种语言写的，包括两种中文变体。然而，对于这些语言中的大多数，都使用了机器翻译。

（赎金说明）

联邦调查局随后发现，Hangul字体安装在用于撰写赎金通知的机器上。汉格尔是一种字母和书写系统，在韩国和朝鲜都使用。对语言文件元数据的进一步分析显示，计算机被设置为韩国时区。

经过对恶意软件样本的进一步审查，来自谷歌、卡巴斯基实验室和赛门铁克的安全研究人员得出结论，WannaCry的代码与索尼影业(Sony Pictures)和一家孟加拉国银行的攻击中使用的其他恶意软件相似。这些袭击是由一个所谓的拉撒路集团实施的，该组织的成员与朝鲜有联系。

当然，这个证据并不是决定性的，因为其他小组可以简单地重复使用LazarusGroup产生的一些代码。更重要的是，这种代码的使用可能是故意的，目的是误导调查人员，并将责任推到其他网络罪犯身上。

然而，美国国家安全局的一份受欢迎的备忘录以及英国国家网络安全中心(NATIonal Cyber Security Centre)的调查结果也指出，朝鲜是此次攻击的发源国。美国政府随后正式宣布朝鲜是袭击的发源地。

尽管WannaCry攻击的规模确实史无前例，但与其他勒索软件相比，其影响被认为相对较低。如果不是发现了杀死开关，后果可能会更糟。此外，病毒的目标可能是运输控制系统和核电站等高水平的基础设施。如果是这样的话，一些专家估计可能会造成超过数亿美元的损失。

（WannaCry执行的主要过程）

说到实际的恶意软件--WannaCry是以滴管的形式出现的，它将各种组件作为ZIP存档，由密码保护。在执行过程中，将使用硬编码密码解压缩此归档文件，并将其放到执行该文件的目录中。

WannaCry Ransomware在其执行过程中使用两种加密方法：RSA和AES-128-CBC。为了混淆研究人员，包含在t.wnry文件中的加密场景实际上是以与恶意软件用于加密受感染计算机上的数据的方式完全相同的方式加密的。使用自定义加载程序将模块加载到内存中，因此文件的未加密版本永远不必记录在受害者的硬盘上。

在执行过程开始时，恶意软件使用RSA密钥解压缩t.wnry文件并对其进行解密。然后生成一个新的RSA密钥，并将其发送到C&C服务器，同时将公钥的副本保存在受感染的计算机上。

这是加密过程开始的地方，病毒在受感染的机器上搜索具有受支持扩展名的文件。然后，根据为加密选择的每个文件创建一个128位AES密钥，并使用前面创建的RSA密钥进行加密。RSA加密的AES密钥被放置在加密文件的头中.之后，恶意软件使用AES密钥加密文件中的数据。

加密是以这样一种方式执行的，即如果不访问存储在控制服务器中的私钥，则几乎不可能恢复丢失的数据。这意味着，对于受害者来说，重新获得他们的信息的唯一途径是满足攻击者提出的赎金要求。

为了持久化，WannaCry将自身写入注册表中的自动运行项，并创建几个服务。

第一个 worm 名为 Morris worm ，由Robert Tappan Morris于1988年11月2日创造。Morris worm通过利用Unix finger、rsh和sendmail命令中的漏洞传播。它没有造成任何损害，只是用来确定互联网的规模。

宏病毒是病毒制造者利用Microsoft Office的开放性，即Office中提供的 BASIC编程接口，专门开发的一个或多个具有病毒特点的宏集合。这种病毒宏的集合会影响到计算机使用，并能通过DOC文档及DOT模板进行自我复制及传播。一旦打开感染宏病毒的文档，其宏就会被执行，宏病毒就会被激活，进一步转移到计算机上，并驻留在Normal模板上。从此以后，所有自动保存的文档都会“感染”上这种宏病毒，而且如果其他用户打开了感染病毒的文档，宏病毒又会转移到他的计算机上。

“Computer virus”一词诞生于20世纪80年代初，当时是南加州大学的博士生 Fred Cohen 提出了使用自我复制软件的想法，这种软件通过附加到现有程序上来传播，以此来攻击多用户计算系统的安全性。他把这个想法告诉了 Len Adleman，这是他的论文顾问。 Len Adleman指出，这种病毒与生物病毒有相似之处，生物病毒利用它攻击的细胞资源进行自我繁殖，“computer virus”一词开始了它进入日常英语的旅程。

Fred Cohen在这一点上创造了“virus”一词，并被认为是我们今天所知的计算机病毒之父。他在一句话中总结为“a program that can infect other programs by modifying them to include a, possibly evolved, version of itself（一个程序，可以通过修改它们来感染其他程序，包括一个可能已经进化的自身版本）。”