关于WannaCryu蠕虫勒索病毒的思考

2022.10.05

李玮　丁莹亮

摘要：本文主要论述了wannaCry蠕虫病毒的概念、传播方式以及Windows系统的多种防范措施，实际应用效果良好。

关键词：WannaCry蠕虫病毒；比特币；防范

2017年5月12日起，WannaCry蠕虫病毒在全球大范围内爆发。据英国广播公司BBC报道，截至当前，全球超过150个国家至少30万台电脑中招，造成损失达80亿美元（约合人民币550亿元）。目前至少有美国、英国、中国、俄罗斯、巴西等上百个国家和地区受到严重影响。我国教育网内很多所大学不幸中招，还有很多企业内网甚至是专网也未能幸免，关系国内民生的行业，如医疗、企业、电力、能源、银行、交通等也遭受了不同程度的影响。目前，该勒索病毒仍在传播，不过速度已经明显放缓。不过据专家分析该勒索病毒很有可能很快出现变种，除危害Windows系统外，还可能危害到安卓、Linux等系统，所以对广大用户来说，对该病毒的防治依然不能放松。

1什么是WannaCry蠕虫病毒

WannaCry（又叫Wanna Decryptor）是一种“蠕虫式”的勒索病毒软件，大小3.3MB，由不法分子利用NSA（National Security Agency，美国国家安全局）泄露的危险漏洞“EternalBlue”（永恒之蓝）进行传播。

该恶意软件会扫描电脑上的TCP 445端口（Server Message Block/SMB），以类似于蠕虫病毒的方式传播，攻击主机并加密主机上存储的文件（存储文件包括照片、图片、文档、压缩包、音频、视频、可执行的程序等，中招后文件的后缀名被改为：“WNCRY”），然后要求以比特币的形式支付赎金。勒索金额为300至600美元。被加密的存储文件，打开时会出现提示如下图。

2为什么该勒索病毒传播速度如此迅猛

勒索蠕虫病毒的传播原理：首先，WannaCry蠕虫病毒利用的漏洞非常普遍，全世界绝大多数电脑用户使用的操作系统都是微软的Windows操作系统，而Windows系统默认打开了许多端口，如：139、135、445等端口，并且许多的Windows用户没有定期更新系统的习慣，这就给蠕虫的传播提供了大量的机会。其次，传统的勒索软件需要靠‘骗”，主要是通过哄骗的方式使受害者主动点击某个不明来历的附件或网址等。而此次蠕虫病毒采用了“主动”探测和传播的攻击方式，也就是说该蠕虫病毒进行自我传播和自动复制。从“被动”到“主动”的攻击方式的转化，造成了该蠕虫病毒能迅速席卷全球。

3WannaCry勒索病毒为何选择比特币

比特币具有独特的“优势”：首先，比特币有一定的匿名性，便于黑客隐藏身份；其次，比特币不受地域限制，可以全球范围收款、转账；再次，比特币可以让黑客通过程序自动处理受害者赎金。

4如何防范WannaCry勒索病毒？

使用Windows系统的用户，中毒风险是很大的。建议通过“三步法”提前排除这个风险：

第一步：关网络。该勒索蠕虫需要通过网络传播，关闭网络也就切断了病毒的传播途径。针对普通的台式机，最直接的方式就是拔掉网线；如果家里使用的是笔记本电脑，可以关闭本机的无线网卡；家中如果使用了无线路由器的，也可以关闭无线路由器；最后，还可以通过在已开机的PC中禁用网络的方法进行关闭。个人可以根据自己的实际情况，选择对应的方式来进行断网操作。

第二步：Windows系统中有些端口默认是开着的，例如：139、135、445等端口。这些端口平时我们用不到，但是这些开着的端口存在着不可预知的危险。WannaCryu蠕虫病毒就是通过入侵端口传播，现在主要是445端口。为了防止Windows系统用户免受攻击，可以手动关闭445端口防治WannaCryu勒索病毒入侵。

方法一：通过Windows防火墙关闭445端口。

具体方法：