WannaCry 比特币勒索软件概述

2017年4月16日，CNCERT主办的CNVD发布了《关于加强防范Windows操作系统及相关软件漏洞攻击风险的公告》，披露了影子经纪人“影子”披露的涉及Windows操作系统SMB服务的多项SMB服务经纪人”。 通报了漏洞攻击工具情况（相关工具列表如下），并给出了可能发生大规模攻击的警告：

当用户主机系统被勒索软件入侵时，会弹出如下勒索对话框，提示勒索目的，并向用户索要比特币。

对于用户主机上的重要文件，如照片、图片、文档、压缩文件、音频、视频、可执行程序等几乎所有类型的文件比特币病毒捉到人了吗，加密后的文件扩展名统一改为“.WNCRY”。

目前，安全行业还未能有效破解勒索病毒的恶意加密行为。 一旦用户主机被勒索病毒侵入，清除勒索病毒的唯一方法就是重新安装操作系统，但无法直接恢复用户的重要数据文件。

WannaCry主要是利用微软“Windows”系统的漏洞获得自动传播能力，可以在数小时内感染一个系统内的所有计算机。 勒索病毒被漏洞远程执行后，会从资源文件夹中释放一个压缩包，压缩包会在内存中解密释放，密码为：WNcry@2ol7。

这些文件包括弹出勒索框的exe、桌面背景图片的bmp、各种语言的勒索字体，以及两个协助攻击的exe文件。 这些文件将被释放到本地目录并设置为隐藏。

需要说明的是，“永恒之蓝”是NSA泄露的漏洞利用工具名称，并非病毒名称。 “永恒之蓝”指的是美国国家安全局泄露的危险漏洞“永恒之蓝”。 此次勒索病毒WannaCry就是利用该漏洞进行传播。 当然，其他病毒也可能通过“永恒之蓝”漏洞进行传播。 需要补丁。

2017年5月12日，WannaCry蠕虫病毒通过MS17-010漏洞在全球范围内爆发，感染了大量计算机。 蠕虫病毒感染计算机后，会在计算机中植入勒索病毒，导致大量计算机文件被加密。 受害者电脑被黑客锁定后，病毒会提示支付等值300美元（约合人民币2069元）的比特币解锁。

2017年5月13日晚，英国研究人员无意中发现了WannaCry隐藏开关（Kill Switch）域名，意外遏制了病毒进一步大规模传播。

2017年5月14日，监控发现WannaCry勒索病毒出现变种：WannaCry 2.0。 与上一版本不同的是，该变种取消了Kill Switch，变种勒索病毒的传播无法通过注册域名来关闭。 传输速度可能会更快。 请广大网友尽快升级安装Windows操作系统相关补丁比特币病毒捉到人了吗，并立即断开被感染机器的网络连接，避免病毒进一步传播。