提醒:本文最后更新于2025-06-19 10:40,文中所关联的信息可能已发生改变,请知悉!
WannaCry病毒说明
2017年5月12日20时起,全球范围内爆发基于Windows网络共享协议进行攻击传播的蠕虫恶意代码,这是不法分子通过改造之前泄露的NSA黑客武器库中“永恒之蓝”攻击程序发起的网络攻击事件,用户只要开机上网就可被攻击。五个小时内,影响覆盖美国、俄罗斯、整个欧洲等100多个国家,国内多个高校校内网、大型企业内网和政府机构专网中招,被勒索支付高额赎金才能解密恢复文件,对重要数据造成严重损失,全球超10万台机器被感染。截止5月13日下午19:00,发布了“永恒之蓝”勒索蠕虫态势,国内有28388个机构被“永恒之蓝”勒索蠕虫感染,覆盖了国内几乎所有地区。 为防范于未然,现将WannaCry"永恒之蓝"的补丁(windows 7、winwindows XP、windowsserver2003)的补丁发出来,方便大家下载安装。
WannaCry病毒相关信息
1、漏洞产生
勒索软件是通过445端口并利用SMB服务漏洞而进行的攻击,基本确定是基于此前“Shadow Brokers”披露多款涉及Windows SMB服务漏洞而产生的勒索攻击,对应微软的漏洞公告是MS17-010;
2、漏洞命名
更正很多媒体和一些“安全圈”朋友的病毒命名,这个漏洞的名字是“Wannacry”,不建议叫他比特币病毒,至于一些媒体提及的这是“首例”大规模的比特币敲诈病毒,建议还是负责任一些,如果感兴趣可以了解一下15年爆发的“CTB-Locker”,来自俄罗斯黑客;
3、应急处理
未中毒用户
大部分的建议都是关闭445及关联的135、137、138、139端口的外部网络访问权限;微软其实对此在3月中旬就已经出了补丁,家用电脑打补丁即可,值得注意的是,打开电脑第一件事儿是先断网,关闭端口后再恢复网络打补丁;
已中毒用户
目前基本没看到哪个发出来特别靠谱的解决方案,建议暂时不要乱折腾,如果有重要数据那么就找个闲置存储设备,备份一下被加密的文件,直接重新装个系统,土豪用户有重要数据,就直接换硬盘吧;
如果是使用WIN的云服务器,那么看看是否有快照,直接恢复快照然后打补丁最靠谱,避免因为遭受病毒攻击,业务持续无法恢复,导致时间推移产生更多的损失;
4、受感染设备范围
影响微软全系列系统,Vista、XP、Win7、Win8.1、Win10、Server 2003、Server 2008、Server 2012、Server 2016几乎无一幸免,由于很多早期的终端机其实内置的都是WIN7 或者XP系统,除了电脑主机、服务器被感染外,一些机场取票机、电影院取票机、银行排号机、实验室控制演示终端、机场/高速公路/商场广告屏、医院/教育民众服务终端,这些都有可能因为使用了WIN7/XP系统导致躺枪或存在躺枪风险;
5、几种病毒的区别?
CTB-Locker主要是通过邮件附件进行定向传播,主要针对国内一些商务/白领进行定向攻击,不小心触发的话,结果和现在的Wannacry差不多,都是对电脑中的文件进行加密然后勒索,CTB-Locker的加密数量大概是114种文件,要求中毒者在96小时内支付8比特币;
Wannacry利用的是主机的445端口,这个相比CTB-Locker要高级很多,算是可以理解为“指哪打哪”的一个病毒,被扫到445端口又没打补丁基本没跑,但是中毒后结果一样,对电脑上所有的可执行文件进行加密,命名后缀为“WNCRY”,同样要求用比特币当赎金,有医院被爆出要300比特币;
KeRanger是针对于Mac OX进行攻击的勒索软件,其传播途径是通过感染下载工具Transmission,获取其合法签名然后再进行感染和加密的,勒索价格是1比特币;
为了应对此次的病毒灾害,微软破例为Windows XP、Windows 8和 Windows Server 2003 提供了紧急安全补丁更新。
blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/
粗略收集了一些链接
32位系统
Windows 7
http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x86_6bb04d3971bb58ae4bac44219e7169812914df3f.msu
Windows 10
http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4013198
Windows 2012 R2
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012213
Windows Server 2003 SP2
http://catalog.update.microsoft.com/v7/site/ScopedViewInline.aspx?updateid=fdb0df5f-8994-4e43-a37b-82544a1eff68
Windows xp sp3
http://catalog.update.microsoft.com/v7/site/ScopedViewInline.aspx?updateid=9e189800-f354-4dc8-8170-7bd0ad7ca09
Windows XP Embedded SP3
http://catalog.update.microsoft.com/v7/site/ScopedViewInline.aspx?updateid=d4d15d30-e775-4f6f-b838-d3caca05a5e9
Windows 8
http://catalog.update.microsoft.com/v7/site/ScopedViewInline.aspx?updateid=ec4f955a-2fe7-45e6-bde1-1de91cbe874f
64位系统
Windows 7
http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu
Windows 10
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4013198
Windows 2008 R2
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212
Windows Server 2003 SP2
http://catalog.update.microsoft.com/v7/site/ScopedViewInline.aspx?updateid=6e52528b-7754-49ba-b39e-2a2a2b7c8c3a
Windows xp sp2
http://catalog.update.microsoft.com/v7/site/ScopedViewInline.aspx?updateid=a679cafc-d8da-4c2a-9709-17a6e6a93f4f
Windows 8
http://catalog.update.microsoft.com/v7/site/ScopedViewInline.aspx?updateid=22699699-94c3-4677-99e5-38cb4fb66401
