Veeam 术语表
什么是 WannaCry 勒索软件攻击？

什么是 WannaCry 勒索软件攻击？

WannaCry 是一种勒索软件加密蠕虫，最初出现于 2017 年 5 月 17 日。它也称为 WannaCrypt，WannaDecryptOr 2.0 和 WanaDecryptOr 2.0，并且专门针对运行任何版本的 Microsoft 操作系统的计算机。

网络犯罪分子欺骗用户或使用社会工程下载病毒并进入计算机和网络。它加密或“绑架”来自许多计算机网络的重要文件、应用程序和程序。然后，网络犯罪分子使用这种 WannaCry 勒索软件攻击要求付款（或支持赎金）才会为用户还原加密文件。

每次勒索软件事件可能会使贵企业损失高达 200 万美元。创建动态备份系统是防止网络遭到勒索的最佳方法之一。Veeam 可为贵企业提供帮助，如果您成为勒索软件攻击的受害者，那么它可以提供安全备份来保护最重要的数据。在大多数情况下，您可以快速恢复正常运行。

工作原理

WannaCry 利用了 Microsoft 操作系统的服务器消息块 (SBMv1) 中的一个漏洞。当 WannaCry 感染计算机或计算机网络时，用户的计算机上会出现一个屏幕，提示文件已被加密，用户需要在三天内支付$300 比特币赎金或在七天内支付$600 赎金。

或许最有趣的是，Microsoft 在警告所有企业定期更新软件的同时，自己发现了这个漏洞，并在 WannaCry 出现的两个月前为所有支持的系统发布了补丁。它后来发布了旧版本 Microsoft 系统的补丁。不幸的是，此修复程序并未阻止使用 WannaCry。

WannaCry 如何传播

WannaCry 专注于旧版本的 SMBv1。它将自身作为一个独立程序下载到计算机中，从而提取加密用户数据所需的组件。它可以在使用较旧的 Microsoft 机器的任何网络上快速传播，包括那些不再提供服务的机器，如 Windows XP 和 Windows 7。

WannaCry 还是一种能够自我传播的网络蠕虫。在它最初诱骗用户下载病毒后，它就可以使用传输代码自动传播。WannaCry 会搜出其他可能被感染的计算机，然后使用最初由美国国家安全局 (NSA) 开发的黑客技术来访问计算机。然后，它通过 DoublePulsar 访问计算机网络，DoublePulsar 是一种由 NSA 开发的“后门”软件，被一个称为影子经纪人（这个名字的灵感来自视频游戏《质量效应》中的角色）的黑客集团窃取，后来于 2017 年 4 月向公众发布。研究人员表示，DoublePulsar 在短短几天内就感染了几十万台计算机，并且正在迅速增长。

WannaCry 终止开关

启动后，WannaCry 会尝试访问称为终止开关的硬编码 URL。如果无法访问该 URL，它会加密计算机上的重要数据。如果此软件连接到该 URL，计算机就会关闭，并且不会进一步造成损害。

研究 WannaCry 的计算机专家不确定为什么会使用它。WannaCry 使用一个无意义的 URL（例如，iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea（dot）com）作为终止开关。英国安全研究员 Marcus Hutchins 几乎立即开始研究 WannaCry 病毒。他注意到此病毒试图联系该 URL，并得出结论，该软件的这种行为是为了迷惑研究人员，并使代码分析变得更加复杂。

然而，哈钦斯所做的不仅仅是研究这种病毒。他付费注册了这个 URL 并建立了一个网页，有效阻止了多个版本的 WannaCry 对全球其他计算机上的文件进行加密。随着网络犯罪分子继续在新版本中使用其他无意义的 URL，其他计算机研究人员通过注册 URL、创建网站并使 WannaCry 失效来效仿 Hutchins 的行为。在最初攻击后的几天内，WannaCry 勒索软件攻击已经放缓到涓涓细流。较新版本的 WannaCry 避免使用终止开关。

WannaCry 的历史

NSA 在 WannaCry 攻击前几个月发现了 SMBv1 漏洞。然后，它开发了一种黑客手段来利用名为 EternalBlue 的系统，但没有告诉 Microsoft 它发现了这个漏洞。2017 年 4 月，Shadow Brokers 入侵了 NSA，窃取了 EternalBlue 的代码并将其发布给公众。虽然在 2017 年 5 月的攻击之前，互联网上流传了几个月的 WannaCry 版本，但网络犯罪分子使用 EternalBlue 使其更加危险。

谁创造了 WannaCry？

从来没有一个团体公开声称拥有 WannaCry 的所有权。然而，网络安全企业的研究人员发现，WannaCry 中使用的代码与 Lazarus Group（他们也称自己为和平卫士）以前使用的代码有相似之处。据信，该组织与朝鲜政府有联系，并对 2014 年索尼影业的网络攻击负责，以回应索尼电影，该电影显示朝鲜独裁者金正恩被杀。

经过几个月的调查，美国政府正式指责朝鲜应对 WannaCry 攻击负责。朝鲜否认了所有指控。新西兰、日本和加拿大与美国一起指责朝鲜。后来，英国表示，美国的评估是正确的。

许多计算机研究专家和外国政府也批评 NSA（美国国家安全局）没有事先通知 Microsoft 它已经发现了 SBMv1 漏洞。许多人认为，美国国家安全局本可以悄悄地告诉 Microsoft 这个问题，而不公开。俄罗斯总统弗拉基米尔·普京（Vladimir Putin）直接将 WannaCry 病毒归咎于美国情报部门，因为它创造了 EternalBlue。

WannaCry 为何有效

WannaCry 之所以有效，是因为它依赖于几个关键因素：

许多企业使用较旧的、不受支持的 Windows 操作系统

每当新的 Microsoft 操作系统可用时，全球许多企业（尤其是发展中国家的企业）都买不起新软件。他们也买不起使用较新 Microsoft 操作系统的较新计算机。因此，全球许多计算机网络仍在使用带有 SBMv1 漏洞的 Microsoft 操作系统。因此，WannaCry 很容易在全球范围内感染计算机。

即使使用较新的操作系统，许多用户和企业也无法在 Microsoft 发布新补丁以修复漏洞时定期更新其系统

即使在拥有大型互联网安全运营的企业中也是如此。许多人以业务问题（例如网络停机或担心新补丁会导致其他软件无法使用）作为不下载补丁的原因。

许多企业不想花时间或花钱来创建其重要文档的安全备份

也许击败 WannaCry 等勒索软件的最好方法就是为最重要的文档建立一个安全的备份系统。不幸的是，许多受 WannaCry 影响的企业都没有这样做。他们不得不关闭业务的关键部分，在某些情况下包括关闭整个工厂，或者完全暂停生产几天。

影响

WannaCry 的影响是全球性的，而且相当大。根据不同研究小组的估计，在 150 个国家中，受感染的计算机数量在 200,000 至 250,000 之间。该病毒影响中国台湾、印度、乌克兰和俄罗斯，主要是因为它们使用的是较旧的 Microsoft 操作系统。由于防御措施，例如马库斯·哈钦斯（Marcus Hutchins）发现的终止开关，北美国家受到的影响较小。

也许受 WannaCry 病毒影响的最大机构是英格兰和苏格兰的国家卫生服务局。WannaCry 不仅影响计算机，还影响血液储存冰箱、手术室设备和 MRI 扫描仪。该病毒迫使 NHS 取消了数千次非紧急医院就诊，这使其损失了数百万英镑。

其他受到 WannaCry 打击的组织包括印度的警察局；希腊、加拿大和印度尼西亚的大学；俄罗斯、罗马尼亚和日本的汽车制造商；联邦快递；斯洛伐克和印度尼西亚的医院；葡萄牙和沙特阿拉伯的电信网络；俄罗斯铁路；甚至巴西的法院。这些只是受 WannaCry 影响的数百家企业和组织中的一小部分。虽然 WannaCry 仅要求支付 300 至 600 美元的小额赎金，但对企业造成的总体生产损失估计高达 40 亿美元。

防御性反应

毫无疑问，由于早期版本操作系统遭到攻击，Microsoft 在 Windows 10 和 Windows 11 中内置了反勒索软件工具。此工具称为受控文件夹访问，仅允许经过审查的应用程序下载到计算机上。

同样在最初的 WannaCry 攻击后的几天内，Microsoft 发布了补丁，以修复其较旧的，不受支持的操作系统中的此漏洞。虽然这对 Microsoft 来说是一个不寻常的步骤，但该企业认为有必要保护用户免受 WannaCry 的侵害。

许多人没有支付赎金。研究人员发现，WannaCry 病毒在完全准备好之前就已经释放了。因此，网络犯罪分子无法确定谁支付了赎金，也无法还原对加密文件的访问权限。此外，政府和执法机构意识到，向网络犯罪分子支付赎金只会鼓励他们制造更多的勒索软件攻击，而不能保证即使您支付了赎金也能取回数据。

WannaCry 仍然是一个威胁吗？

不幸的是，WannaCry 在 2023 年仍在影响计算机。许多安全专家认为，尽管 WannaCry 具有毁灭性的影响，但并没有对网络安全产生持久的改进。许多企业仍然使用较旧的 Microsoft 操作系统，并且未能使用防止 WannaCry 所需的补丁来更新软件。企业尚未对员工进行相关培训，因此他们无法识别网络钓鱼电子邮件或社会工程攻击。许多企业仍然没有安装安全备份系统，错误地认为这种情况永远不会发生在他们身上。

勒索软件防范策略

虽然近年来勒索软件攻击急剧增加，但正如关于这些攻击的《2024 年勒索软件趋势》报告所示，防范策略也有所改善。

防范勒索软件攻击的最佳方法之一是让员工接受相关培训，以便识别这些迹象。应培训员工识别包含危险附件的网络钓鱼电子邮件。一位计算机专家评论说：“如果在跳舞的企鹅和计算机安全之间做出选择，人们总是会选择跳舞的企鹅。”并非所有勒索软件都是网络蠕虫；大多数勒索软件都依赖于用户下载有害应用程序。

员工还应该学会发现社交工程攻击，此攻击使用来自所谓的政府或执法机构的官方电子邮件来鼓励用户下载这些附件。

其他缓解工具包括安全备份系统，例如 Veeam 提供的安全备份系统，这些系统可保护您的重要文档，并帮助您在数小时甚至数分钟内还原数据。

如何防范 WannaCry

有几种方法可以防止 WannaCry 感染您的计算机或网络：

更新您的系统，使其包含最新的补丁
安装阻止勒索软件的专用软件
阻止端口 445 以提高安全性。WannaCry 使用端口 445 进行许多通信，这有助于它开始加密文件
使用安全备份系统保护您最重要的数据

如何检测 WannaCry

也许检测 WannaCry 是否在您的网络上的最佳方法是检查您的计算机日志和网络流量。首先，如果 SMBv1 仍在您的计算机上运行，则应将其停用。SolarWinds 提供了有关如何使用服务器日志检测 WannaCry 的入门指南。注意端口 445 上的文件创建和出站流量（这是您应该阻止此端口的原因之一）。