WannaCry病毒的危害及应对

2017年5月12日开始，一款名为WannaCry病毒已经攻击了全球上百个国家和地区超过百万台电脑，被感染电脑的系统文档、图片资料等常见文件都会被病毒加密，然后向用户勒索高额比特币赎金。已知的感染用户最开始主要集中在企业、高校等内网环境，很多公共部门的终端，包括政府、医院、机场、火车站等都被殃及。

目前已知因此次勒索病毒事件而导致业务遭受严重影响的企业包括联邦快递和西班牙电信等大公司，以及英国国家医疗服务体系（NHS）的多家医院，其中部分医院的运营已暂停，X光机无法使用，检测报告和患者医疗记录无法获取，而电话也难以接通。

该病毒已经有若干种变种在网络上快速传播，其造成的影响尚在进一步扩大。

WannaCry病毒的影响

电脑被WannaCry病毒感染后，磁盘文件会被病毒加密，由于加密使用了高强度的加密算法而难以破解，被攻击者除了支付高达300美元比特币的勒索金外，往往没有其他办法解密文件，进而对存储在电脑的个人资料和企业数据造成严重损失。此外，Wannacry病毒还存在蔓延到智能移动终端的严重隐患，智能电视、智能汽车，甚至工控领域的移动感知终端等物联网设备都可能会成为勒索软件“Wannacry”新变种的攻击目标。

WannaCry病毒的攻击原理

WannaCry，也被称为“Wannadecrypt0r”、“Wannacryptor”或“wcry”，属于一种典型的恶意勒索软件，它会扫描开放 445文件共享端口的Windows机器，无需用户任何操作，只要开机上网，就可能被感染。Wannacry病毒利用了美国国家安全局黑客武器库泄露的“永恒之蓝”发起病毒攻击。事实上，微软已经在今年三月份发布相关漏洞（MS17-010）修复补丁，但很多用户都没有及时修复更新，因而遭到此次攻击。

Wannacry病毒将受感染电脑里的文件使用AES-128算法加密，感染后的文件扩展名会变为.UIWIX，.WNCRY扩展名，由于病毒使用了RSA非对称算法，没有私钥就无法解密文件。在文件被加密的同时，会弹出一个名为WannaDecryptor 2.0的弹出窗口。

紧急应对措施

以下是针对此次事件的紧急应对建议：

1. 进行全面的网络检测，查找所有开放445 SMB服务端口的终端和服务器，一旦发现中毒机器，立即断网处置，对硬盘格式化可清除病毒。
2. 目前微软已发布补丁MS17-010修复了“永恒之蓝”攻击的系统漏洞，请尽快为电脑安装此补丁，网址为https://technet.microsoft.com/zh-cn/library/security/MS17-010；对于XP、2003等微软已不再提供安全更新的机器，建议升级操作系统版本，或关闭受到漏洞影响的端口，可以避免遭到勒索软件等病毒的侵害。
3. 尽快备份自己电脑中的重要文件资料到存储设备上。
4. 及时更新操作系统和应用程序到最新的版本。
5. 加强电子邮件安全，有效的阻拦掉钓鱼邮件，可以消除很多隐患。

除此之外，我们也建议企业应立足长远，建立必要的安全风险防范机制来提高网络健壮性和抗攻击能力：

1. 高级管理层应对当前业务遭受网络安全事件攻击的可能性以及其对业务造成的冲击有充分认识，保证在网络安全防范的投入，形成企业自顶向下的安全战略并予以贯彻落实，提高全员安全意识；
2. 企业应持续识别关键业务数据，全面分析并掌握其面临的网络安全风险，基于数据对业务的重要性以及所面临的风险程度，采取多种管理措施和技术防护手段的组合来应对可能的网络安全冲击，避免单一手段失效导致的数据损失和业务中断；
3. 网络安全攻击行为的快速蔓延要求企业需迅速了解相关情报，对内则需采取必要的安全监控与综合分析手段，及时掌握企业网络安全动态，缩短响应时间窗口，降低潜在损失；
4. 针对类似网络安全事件的应急响应和恢复处置，已成为保障企业业务连续运营的必备能力，从数据备份、灾备站点等技术能力的恢复以及内部业务复原、应对公众和媒体的既定程序，企业应未雨绸缪，防患未然；

德勤中国风险咨询部门的技术风险团队在网络安全方面有着丰富的经验和出色的专业团队。我们的以下服务将能帮助组织提升应对类似网络安全攻击事件的抗攻击能力，提高业务的健壮性：

网络安全战略和治理

• 网络安全规划
• 网络安全治理
• 安全意识教育

安全服务

• 网络安全诊断和评估
• 网络安全管理体系
• 数据安全和隐私保护
• 外包商安全评估和外包安全体系

警戒服务

• 网络渗透性测试和弱点侦测
  
• 安全事故和事件分析（SIEM）
• 网络安全运维（SOC）
  
• 安全情报智能分析（CIC）

恢复服务

• 业务连续性
• 容灾和备份
• 网络危机管理