此次爆发的“WannaCry”勒索软件来自“詠恒之蓝wannacry”（EternalBlue）主要利用微软Windows操作系统的MS17-010漏洞进行自动传播。相关数据显示每小时攻击次数高达4000余次。“永恒之蓝wannacry”是一种特洛伊加密软件（Onion Ransomware）利用Windows操作系统在445端口的安全漏洞（CNNVD- ~ CNNVD-）潜入电脑对多种文件类型加密并添加.onion后缀，使用户无法打开

二、“WannaCry”勒索软件技术特點及危害

据BBC等媒体报道，全球多国爆发wannacry电脑勒索病毒目前已经波及99个国家。

勒索蠕虫一旦成功入侵将加密系统内全部文档，并通过破壞硬盘快照的方式增加系统恢复难度不交付赎金（单机解密赎金300美元至600美元，一般通过比特币支付）无法解密自动传播。可利用Windows平台所有版本（winXP、Vista、Win7、Win8、Win2003、Win2008、Win10等）的漏洞进行自动传播未打补丁的机器极易感染并在内外网快速传播。无法解密勒索软件使用AES128加密文件，使用RSA2048公钥加密AES密钥据目前情况看，除美国外其他国家基本无法通过计算或碰撞的方式进行解密通信匿名。勒索软件进行攻击后会自動释放Tor网络组件，用于解密程序的网络通信赎金使用比特币支付，使勒索过程难以追踪溯源时间掐准。此次攻击发生正值周末据分析在我国爆发时间应为周五下午3点左右，恰逢国内各单位网络安全防范最松懈之时攻击意外中断。勒索软件中预留了终止机制即访问┅个超长域名成功攻击传播就会停止。美国洛杉矶威胁情报公司一名员工注册了该域名开启了停止机制域名启用后每秒访问IP过千。

此次網络攻击涉及百余个国家和地区的政府、电力、电信、医疗机构等重要信息系统及个人电脑遭受严重网络攻击最严重区域集中在美国、歐洲、澳洲等。截至目前全球攻击案例超过75000个。

1、个人用户安装漏洞修复补丁“WannaCry”勒索蠕虫利用的是微软官方的SMB漏洞，请个人用户及時检查安装MS17-010修复补丁与此同时，及时采取临时解决方案一是关闭计算机的445端口，二是配置主机级ACL 策略封堵445 端口三是打开“Windows防火墙”，进入“高级设置”在入站规则中禁用“文件和打印机共享”相关规则。

2、网络管理员修改网络配置监控网络接口。建议各网络管理員在网络防火墙上配置相关策略限制外部对445端口的访问，加强内网审计同时在接入交换机或核心交换机抓包，查看是否存在大量扫描內网139、135、445端口的网络行为及时定位扫描发起点，对扫描设备进行病毒查杀一旦发现被感染主机，立即断网防止进一步扩散

1）立即断網，防止扩散和蔓延对于已经感染“WannaCry”勒索蠕虫的计算机，尽快关机取出硬盘，通过专业数据恢复软件进行恢复立即切断内外网连接，避免感染网络中的其他计算机

2）启动恢复程序，及时修复补丁若计算机存在备份，应启动备份恢复程序及时安装修复补丁。