5月12日晚，一款名為Wannacry 的蠕蟲(chóng)勒索軟件襲擊全球網(wǎng)絡(luò)，這被認(rèn)為是迄今為止最巨大的勒索交費(fèi)活動(dòng)，影響到近百個(gè)國(guó)家上千家企業(yè)及公共組織。 該軟件被認(rèn)為是一種蠕蟲(chóng)變種（也被稱為“Wannadecrypt0r”、“wannacryptor”或“ wcry”）。 像其他勒索軟件的變種一樣，WannaCry也阻止用戶訪問(wèn)計(jì)算機(jī)或文件，要求用戶需付費(fèi)解鎖。 
一旦電腦感染了Wannacry病毒，受害者要高達(dá)300美元比特幣的勒索金才可解鎖。否則，電腦就無(wú)法使用，且文件會(huì)被一直封鎖。  
研究人員還發(fā)現(xiàn)了大規(guī)模惡意電子郵件傳播，以每小時(shí)500封郵件的速度傳播杰夫勒索軟件，攻擊世界各地的計(jì)算機(jī)。
大量國(guó)內(nèi)高校中招，其他行業(yè)也受到影響
5月12日晚，國(guó)內(nèi)有不少高校學(xué)生反映電腦被惡意的病毒攻擊，文檔被加密。 

勒索者源頭來(lái)自暗網(wǎng)，攻擊具備兼容性、多語(yǔ)言支持，多個(gè)行業(yè)受到影響，國(guó)內(nèi)的ATM機(jī)、火車站、自助終端、郵政、醫(yī)院、政府辦事終端、視頻監(jiān)控都可能遭受攻擊。據(jù)報(bào)道，今日全國(guó)多地的中石油加油站無(wú)法進(jìn)行網(wǎng)絡(luò)支付，只能進(jìn)行現(xiàn)金支付。中石油有關(guān)負(fù)責(zé)人表示，懷疑受到病毒攻擊，具體情況還在核查。而截至目前，一些公安系統(tǒng)已經(jīng)遭到入侵。



勒索軟件利用NSA爆出的漏洞迅速傳播
軟件利用美國(guó)國(guó)家安全局黑客武器庫(kù)泄露的ETERNALBLUE（永恒之藍(lán)）發(fā)起病毒攻擊。遠(yuǎn)程利用代碼和4月14日黑客組織Shadow Brokers（影子經(jīng)紀(jì)人）公布的Equation Group（方程式組織）使用黑客工具包有關(guān)。其中ETERNALBLUE模塊是SMB 漏洞利用程序，可以攻擊開(kāi)放了 445 端口的 Windows 機(jī)器，實(shí)現(xiàn)遠(yuǎn)程命令執(zhí)行。 蠕蟲(chóng)軟件正是利用 SMB服務(wù)器漏洞，通過(guò)2008 R2滲透到未打補(bǔ)丁的Windows XP版本計(jì)算機(jī)中，實(shí)現(xiàn)大規(guī)模迅速傳播。 一旦你所在組織中一臺(tái)計(jì)算機(jī)受攻擊，蠕蟲(chóng)會(huì)迅速尋找其他有漏洞的電腦并發(fā)起攻擊。
事實(shí)上，微軟已經(jīng)在三月份發(fā)布相關(guān)漏洞（MS17-010）修復(fù)補(bǔ)丁，但很多用戶都沒(méi)有及時(shí)修復(fù)更新，因而遭到此次攻擊。 
全球受攻擊情況 
僅僅幾個(gè)小時(shí)內(nèi)，該勒索軟件已經(jīng)攻擊了99個(gè)國(guó)家近萬(wàn)臺(tái)電腦。英國(guó)、美國(guó)、俄羅斯、德國(guó)、土耳其、意大利、中國(guó)、菲律賓等國(guó)家都已中招。且攻擊仍在蔓延。 
據(jù)報(bào)道，勒索攻擊導(dǎo)致16家英國(guó)醫(yī)院業(yè)務(wù)癱瘓，西班牙某電信公司有85%的電腦感染該惡意程序。至少1600家美國(guó)組織， 11200家俄羅斯組織和6500家中國(guó)組織和企業(yè)都受到了攻擊。 

Wana-Decrypt0r-WannaCry-勒索軟件
來(lái)自英國(guó)、西班牙、意大利等多個(gè)國(guó)家的用戶在網(wǎng)上分享了被攻擊的截圖。據(jù)報(bào)道，Wannacry相關(guān)的比特幣錢包已經(jīng)開(kāi)始填充現(xiàn)金。

 
西班牙計(jì)算機(jī)應(yīng)急組織還針對(duì)WannaCry發(fā)布了警告：”WannaCry勒索軟件侵入計(jì)算機(jī)，將文件加密并通過(guò)SMB執(zhí)行遠(yuǎn)程命令。現(xiàn)在已經(jīng)侵入了其他Windows系統(tǒng)的機(jī)器。”
目前還不清楚WannaCry的幕后黑手到底是誰(shuí)。但大部分攻擊來(lái)自釣魚(yú)郵件，或是受害者訪問(wèn)的含有惡意軟件的網(wǎng)站。早在今年二月，WannaCry的前身WeCry就已發(fā)起過(guò)攻擊，向用戶勒索比特幣。 
解決方案
該攻擊涉及MS17-010漏洞，我們可以采用以下方案進(jìn)行解決
漏洞名稱：
Microsoft Windows SMB遠(yuǎn)程任意代碼執(zhí)行漏洞 (MS17-010)
包含如下CVE：
CVE-2017-0143 嚴(yán)重 遠(yuǎn)程命令執(zhí)行
CVE-2017-0144 嚴(yán)重 遠(yuǎn)程命令執(zhí)行
CVE-2017-0145 嚴(yán)重 遠(yuǎn)程命令執(zhí)行
CVE-2017-0146 嚴(yán)重 遠(yuǎn)程命令執(zhí)行
CVE-2017-0147 重要 信息泄露
CVE-2017-0148 嚴(yán)重 遠(yuǎn)程命令執(zhí)行
漏洞描述：
SMBv1 server是其中的一個(gè)服務(wù)器協(xié)議組件。
Microsoft Windows中的SMBv1服務(wù)器存在遠(yuǎn)程代碼執(zhí)行漏洞。
遠(yuǎn)程攻擊者可借助特制的數(shù)據(jù)包利用該漏洞執(zhí)行任意代碼。
以下版本受到影響：
Microsoft Windows Vista SP2
Windows Server 2008 SP2和R2 SP1
Windows 7 SP1
Windows 8.1
Windows Server 2012 Gold和R2
Windows RT 8.1
Windows 10 Gold
1511和1607
Windows Server 2016
解決方法：
1.防火墻屏蔽445端口
2.利用 Windows Update 進(jìn)行系統(tǒng)更新
3.關(guān)閉 SMBv1 服務(wù)
3.1 適用于運(yùn)行 Windows 8.1 或 Windows Server 2012 R2 及更高版本的客戶
對(duì)于客戶端操作系統(tǒng)：
打開(kāi)“控制面板”，單擊“程序”，然后單擊“打開(kāi)或關(guān)閉 Windows 功能”。
在“Windows 功能”窗口中，清除“SMB 1.0/CIFS 文件共享支持”復(fù)選框，然后單擊“確定”以關(guān)閉此窗口。
重啟系統(tǒng)。
3.2 對(duì)于服務(wù)器操作系統(tǒng)