WannaCry

WannaCry（直译“想哭”、“想解密”，俗名“魔窟”，或称WannaCrypt、WanaCrypt0r 2.0、Wanna Decryptor）是一种利用NSA的“永恒之蓝”（EternalBlue）漏洞利用程序透過互联网对全球运行Microsoft Windows操作系统的计算机进行攻击的加密型勒索軟體兼蠕虫病毒（Encrypting Ransomware Worm）。该病毒利用AES-128和RSA算法恶意加密用户文件以勒索比特币，使用Tor进行通讯，为WanaCrypt0r 1.0的变种。

2017年5月，此程式大规模感染包括西班牙電信在内的许多西班牙公司、英国國民保健署、聯邦快遞和德国铁路股份公司。据报道，至少有99个国家的其他目标在同一时间遭到WanaCrypt0r 2.0的攻击（截至2018年，已有大约150个国家遭到攻击）。俄罗斯联邦内务部、俄羅斯聯邦緊急情況部和俄罗斯电信公司MegaFon共有超过1000台计算机受到感染。於中国大陆的感染甚至波及到公安机关使用的内网，国家互联网应急中心亦发布通报。

WannaCry被认为利用了美国国家安全局的“永恒之蓝”（EternalBlue）工具以攻击运行Microsoft Windows操作系统的计算机。“永恒之蓝”传播的勒索病毒以ONION和WNCRY两个家族为主。“永恒之蓝”利用了某些版本的微软伺服器訊息區塊（SMB）协议中的數個漏洞，而當中最嚴重的漏洞是允許遠端電腦執行程式碼。修复该漏洞的安全补丁已經于此前的2017年3月14日发布，但并非所有计算机都进行了安装。

背景

此次爆发的电脑恶意程序对漏洞的利用基于“永恒之蓝”（EternalBlue）工具。黑客组织“影子掮客”（The Shadow Brokers）在2017年4月14日发布了一批从方程式组织（Equation Group）泄露的工具，其中便包括“永恒之蓝”；而方程式集团据信是属于美国国家安全局。

永恒之蓝利用了Windows服务器消息块1.0（SMBv1）的數個漏洞，這些漏洞在通用漏洞披露（CVE）網站中分別被列為CVE-2017-0143至CVE-2017-0148。而就这些漏洞，微软公司已于2017年3月14日在TechNet發佈“MS17-010”的資訊安全公告，並向用户推送了Windows系统修复补丁“KB4013389”封堵此漏洞。但因该補丁只適用於仍提供服务支持的Windows Vista或更新的作業系統（注：此补丁不支持Windows 8），較舊的Windows XP等作業系統並不适用。不少用户也因各种原因而未开启或完成系统补丁的自动安装。

2017年4月21日起，安全研究者检测到数以万计被安装DoublePulsar后门的计算机，该后门是另一款从NSA外泄的黑客工具。截至4月25日，感染该后门的计算机估计有几十万台，数字每天还在呈指数增长。除EternalBlue外，WannaCry的本轮攻击也利用了这一名为DoublePulsar的后门。