小编针对这个课题花了约两天的时间去理解这起网络攻击的事故，这篇新闻相比之前的资讯新闻要来得严肃许多，因为Wanna Cry这个病毒是目前全球最严重的的网络攻击事件，而且造成的损失非常重大，大部分资料也无法恢复。尽管网传有很多解决方法，但由于小编未一一试过，所以还未知是否可行。总之，在这里需要大家留意：虽然马来西亚尚未有任何中毒的消息，但这个病毒非常危险，每个人，请务必打起十二分精神来理解这个病毒和网络攻击事件！

Wanna Cry：WanaCrypt0r 2.0 病毒科普

Wanna Cry，或称WanaCrypt0r 2.0，是一种利用了从美国国家安全局（NSA）泄露的EternalBlue技术而开发的RansomWare（勒索病毒）。EternalBlue技术是美国安全局基于Microsoft的安全漏洞，进而可以通过网路对全球运行Microsoft Windows的电脑进行控制、监控等行为。EternalBlue这项技术，被网络骇客组织The Shadow Brokers于4月14日从美国国家安全局发现并泄露出去，造成全球网络攻击事件的主角就是以这项技术为基础的Wanna Cry蠕虫病毒了！

Wanna Cry中毒方式和现象

骇客以1秒 / 500封电邮的方式，将附上了该病毒的附件传给世界各地的电脑mailbox，并将邮件伪装成急件（如FedEx，DHL等货物运输失败）等，让用户在点击附件检查详情时，无意下载了该病毒。虽然如此，也有民众表明Wanna Cry勒索病毒的入侵方式不明，因为有些中毒者表示他们最近未曾下载可疑的软件或附件。目前可以肯定的是，Wanna Cry是基于Microsoft Windows在SMBv1的网络安全漏洞进行攻击。（注意：SMBv1的网络安全漏洞早已被淘汰，目前是使用SMBv3，但很多电脑都因为某些原因并没更新至SMBv3，下面会解释。）

同时，只要一台电脑中毒，那么在与该电脑连接同样Wifi的电脑都会自动受到感染（已更新安全补丁包的电脑除外，下面会解释）！小编就这么解释吧：只要其中一台电脑在Starbucks的Wifi中了毒，那么其它连接Starbucks Wifi的电脑也会相继中毒！

一旦电脑感染上Wanna Cry勒索病毒，该病毒会搜查电脑里所有资料（Drive C、D、E……所有硬盘！）然后根据下列文件的格式进行加锁处理（Encrypt）：

ldf, .sln, .suo, .cpp, .pas, .asm, .cmd, .bat, .vbs, .dip, .dch, .sch, .brd, .jsp, .php, .class, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .asf, .avi, .mov, .mkv, .flv, .wma, .mid, .djvu, .svg, .psd, .nef, .tiff, .tif, .cgm, .raw, .gif, .png, .bmp, .jpg, .jpeg, .vcd, .iso, .backup, .zip, .rar, .tgz, .tar, .bak, .tbk, .PAQ, .ARC, .aes, .gpg, .vmx, .vmdk, .vdi, .sldm, .sldx, .sti, .sxi, .hwp, .snt, .onetoc2, .dwg, .pdf, .wks, .rtf, .csv, .txt, .vsdx, .vsd, .edb, .odp, .otp, .sxd, .std, .uop, .odg, .otg, .sxm, .mml, .lay, .lay6, .asc, .sqlite3, .sqlitedb, .sql, .accdb, .mdb, .dbf, .odb, .frm, .myd, .myi, .ibd, .mdf, .msg, .ost, .pst, .potm, .potx .eml, .der, .pfx, .key, .crt, .csr, .pem, .odt, .ott, .sxw, .stw, .uot, .max, .ods, .ots, .sxc, .stc, .dif, .slk, .asp, .java, .ppam, .ppsx, .ppsm, .pps, .pot, .pptm, .pptx, .ppt, .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotx, .dotm, .dot, .docm, .docb, .docx, .doc, .jar,

只要留心看到一两行，你就会发现上述文件的格式都是我们平常在用的格式。没错！Wanna Cry就会根据以上的文件格式，一一进行加锁处理！所有文件被加锁了以后，你的主页面就会变成被勒索的画面，而且还会多了Wana等软件：

Wana软件里写着教大家如何解锁资料的方法，根据说法，你可以恢复一些资料，但要恢复所有资料，你就必须在限定时间内付给他们值300美金（约RM1302）的Bitcoin（网络虚拟纸币），如果不在限定时间内过账，赎金就会翻倍至600美金！在这里呼吁大家，中了毒的话，千万不要真的汇款过去，以下是原因：

1. 由于接受付款的户口网站只有一个，骇客无法正确得知究竟是谁付了赎金，因此未必会为你的电脑解锁；
2. 助长网络勒索的歪风。

目前，虽然网传有很多解锁方案，但是还未真正核实（至少小编没试过，亦不敢在此先附上以免造成问题），所以只要中了毒，资料·基·本·上·是·拿·不·回·了！这就是这个病毒的危险性！

如何预防中毒？

中毒了的电脑基本无救，那么我们该如何预防呢？其实早在今年3月，Microsoft就已经针对SMBv1的安全漏洞进行了修补（淘汰SMBv1，使用SMBv3的网络接口），更新补丁包为MS17-010，并且Micorsoft罕有地把已经停止更新服务的Windows XP、Windows 8和Windows Server 2003也进行了更新！尽管如此，依然还是有很多电脑中招，因为很多人和公司为了电脑的稳定，而关闭了Windows的自动更新服务，导致电脑暴露于被感染的风险中。

至于哪款Windows有被感染的风险？请看以下列表：

1. Windows XP
2. Windows Vista
3. Windows 7
4. Windows 8 / 8.1
5. Windows Server

Windows 10由于无法取消自动更新，所以你的电脑只要没有长久关机，就会自动更新至目前最安全的版本，感染的风险亦比较低，虽然如此，盗版的Windows 10，因为没有更新的服务，还是必须注意被感染的风险！

其它预防方式，不外乎不要胡乱下载来历不明的软件和附件、不要点入不明或可疑的网站等，最重要的是，要随时对自己的资料进行备份（External Hardisk或Cloud），资料被攻击时可以避免损失惨重。

如果你使用Windows XP，请使用下列方式进行445 Port关闭程序，可预防Wanna Cry病毒侵袭

• 开启Control Panel>Security Centre>Windows Firewall并确定已经Enabled（如果有安装其它Antivirus，可能会无法显示，要各自从特定的Antivirus设定下手）
• 按Win+R，然后输入cmd，在黑色操作页面上输入“netstat -an”检查445 Port是否在listening。

• 如果445 Port是在listening当中，请依照顺序输入“net stop rdr > net stop srv > net stop netbt”关闭445 Port。
• 再输入 netstat -an检查445Port是否已关闭。

国外灾情和事件进展

Wanna Cry事件在5月12日晚上开始爆发并扩散，一开始从英国各大医院、国民健保署等开始发现中毒，而西班牙也报道称该国的电信商Telefónica也受到影响。截至现在，已有上百个国家受到影响，其中以俄罗斯、欧洲、中国、台湾受到感染的情况最为严重，而台湾成为全球灾情第二严重的国家！大家可透过这个网址查看目前灾情的状况。（网站安全）

5月13日晚上，一名来自英国，化名为Malware Tech的资料安全研究人员，发现WannaCry 会透过一个未被注册的网域名称：iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com 作为判断是否扩散的依据，只要该网域不存在，病毒就会继续扩散，因此这名研究人员把网域注册起来，意外地阻止了 WannaCry 的扩散！Malware Tech猜测，Wanna Cry的这个机制也许是开发者的糊涂或懒散，但他相信这是作为Wanna Cry停止继续扩散的“紧急刹车键”，只是无意间被发现而已。尽管Wanna Cry的扩散暂停了几个小时，但根据Kaspersky全球研究总监的报告，修复了这个“安全刹车键”的新版Wanna Cry已经出现而且持续扩散，因此Wanna Cry危机还未解除！

小编与TechNave中文版将会持续留意Wanna Cry的新闻，因此留守TechNave中文版，以获取更详细的WannaCry报道！

【资料来源】

重大事件记录：Wanna Cry事件记录和解析