WannaCry勒索病毒事件分析

WannaCry勒索病毒事件分析是一款专业杀毒分析软件，能帮你尽快找到所有感染并做出隔离，最大程度保护您的个人信息，有需要这款软件的小伙伴欢迎下载。

病毒介绍

5月12日晚开始，WannaCry勒索病毒席卷全球。目前至少有150个国家受到网络攻击，受入侵电脑超过20万，并且影响还在持续中，用户依然需要加强防护措施。

WannaCry勒索病毒事件最初在英国曝光，12日晚上10点，英国时间大约下午3点半，英国全国共16家医院同时遭到网络攻击。 所有被攻击的电脑都被锁定桌面。“你的电脑已经被锁，文件已经全部被加密，除非你支付价值300美元的比特币，否则你的文件将会被永久删除”。
很快，在英国地区遭受这些攻击的同时，全球多地发出告警，一场针对全球的网络攻击，瞬时展开。我国多个行业网络同样受到WannaCry勒索病毒攻击， 其中教育行业中的校园网受损尤为严重。目前，全球遭遇攻击的国家超过150个，幸免的国家，要么没有电脑，要么没有网络。

病毒分析

通过分析发现，WannaCry勒索软件是不法分子通过改造之前泄露的NSA黑客武器库中“永恒之蓝”攻击程序发起的网络攻击事件， 利用了微软基于445 端口传播扩散的 SMB 漏洞MS17-010。虽然微软已在今年3月份发布了该漏洞的补丁。但是依然有大量用户未升级补丁，导致电脑或服务器中招。
今年4月，方程式组织泄露addjob、swift、windows三个文件夹的数据，其中windows目录下是一些针对Windows系统的一些攻击工具和漏洞利用程序。 本次“永恒之蓝”攻击程序就是在此文件夹中的一个攻击程序。“永恒之蓝”攻击程序利用的是Windows SMB远程提权漏洞，可以攻击开放了445 端口的 Windows 系统并提升至系统权限。

漏洞影响

深信服防火墙早在一个月前就已经发布针对微软SMB漏洞的攻击防护。从公网上拦截的攻击来看，从5月12号晚上开始， 不到一天的时间，发现并拦截针对MS17-010 SMB漏洞的攻击多达4590次，其中受灾最严重的地区是杭州市，被攻击次数多达1612次。具体被攻击地区分布如下图所示：

其实，勒索病毒并不陌生，这几年也频繁出现，然而这次勒索病毒却联合微软SMB漏洞在全球网络制造出核弹级的网络攻击风波。 究其原因，是大家对漏洞认知较少，也不清楚是否需要防护，该如何去防护。

由于没有相关监测产品对其业务进行7*24小时的安全值守，导致很多用户对安全漏洞感知不足，使得攻击者通过漏洞对其业务进行勒索。

信服君希望未来能够帮助越来越多的用户加强安全预警的能力，提前将风险扼杀在“萌芽期”，避免安全风险带来的损失。