WannaCry首次被发现于5月12日，位置为西班牙电信部门，之后被发现受影响地区为英国，接着扩散至全球各地。中国爆发时间为5月12日下午14点左右。WannaCry病毒愈演愈烈，据称，截止到中国时间5月14日21:53分，已经有126人对此蠕虫作者支付了比特币。各大安全厂商纷纷对利用MS17-010漏洞形成的WannaCry病毒进行了详尽分析。匡恩网络早在4月27日，就针对MS17-010漏洞进行了技术分析。

　　5月13日，匡恩网络首次在工业控制网络安全领域内对该病毒的破坏效果进行了分析，并结合匡恩网络的产品给出了相应的安全解决方案。

　　事件分析

　　经分析，勒索软件是一个名称为“Wannacry”的新家族，目前无法解密该勒索软件加密的文件。该恶意软件会扫描电脑上的TCP 445端口（Server Message Block/SMB），以类似于蠕虫病毒的方式传播，攻击主机并加密主机上存储的文件，要求以比特币的形式支付赎金。

　　WannaCry样本使用了DOUBLEPULSAR，这是一个由来已久的后门程序，通常被用于在以前被感染的系统上访问和执行代码，这一后门程序允许在系统上安装和激活恶意软件等其他软件，它通常在恶意软件成功利用SMB漏洞后被植入。

　　此外WannaCry似乎并不仅仅是利用与这一攻击框架相关的ETERNALBLUE（永恒之蓝）模块，它还会扫描可访问的服务器，检测是否存在DOUBLEPULSAR后门程序。如果发现有主机被植入了这一后门程序，它会利用现有的后门程序功能，并使用它来通过WannaCry感染系统。如果系统此前未被感染和植入DOUBLEPULSAR，该恶意软件将使用ETERNALBLUE尝试利用SMB漏洞。这就造成了近期在互联网上观察到的大规模类似蠕虫病毒的活动。

　　分析研究误区

　　绝大多数分析文章中，都将蠕虫运行时所连接的域名认为是所谓的“秘密开关”。匡恩网络安全研究人员针对本次勒索病毒的大量样本和变种进行研究发现，此事绝非如此简单。大部分的分析研究都存在误区。

　　“WannaCry运行时所连接的网站并非是秘密开关，也不是攻击者好心的控制开关，而是躲避沙箱、自动化分析系统等检测所留下的。”其原理在于，沙箱等自动化会模拟域名连接成功，达到模拟环境的目的，因为该蠕虫的域名是不存在的，所以连接肯定是不成功；如果连接成功，则代表自身在沙箱等程序中，会自动退出。

　　截至发稿时间，匡恩网络安全研究团队最新发现，已截取到新变种，利用地址为www.ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.com，跟上一域名地址仅相差2个字母，目前已发现多个变种。

　　亡羊补牢未为晚

　　一、立即组织内网检测，查找所有开放445 SMB服务端口的终端和服务器，一旦发现中毒机器，立即断网处置，目前看来对硬盘格式化可清除病毒。

　　二、目前微软已发布补丁MS17-010修复了“永恒之蓝”攻击的系统漏洞，请尽快为电脑安装此补丁，网址为https://technet.microsoft.com/ zh-cn/ library/ security/ MS17-010；对于XP、2003等微软已不再提供安全更新的机器，建议升级操作系统版本，或关闭受到漏洞影响的端口，可以避免遭到勒索软件等病毒的侵害。

　　三、一旦发现中毒机器，立即断网。

　　四、启用并打开“Windows防火墙”，进入“高级设置”，在入站规则里禁用“文件和打印机共享”相关规则。关闭TCP135 、445、139和UDP137 、138端口，关闭网络文件共享。

　　五、严格禁止使用U盘、移动硬盘等可执行摆渡攻击的设备。

　　六、尽快备份自己电脑中的重要文件资料到存储设备上。

　　七、及时更新操作系统和应用程序到最新的版本。

　　八、加强电子邮件安全，有效地阻拦掉钓鱼邮件，可以消除很多隐患。

　　九、安装正版操作系统、Office软件等。

　　十、内网管理员将www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com域名解析指向在线的内部web服务器。

　　抢救个人数据事不宜迟

　　通过文件系统删除恢复原理进行恢复。WannaCry蠕虫删除原文件与普通的文件删除过程情形一致，可以通过文件系统的删除恢复原理对数据尝试恢复。这也是目前国内有部分安全厂商提供工具的运行方法。但是此方式的局限性在于必须确保原文件删除后未被新的数据覆盖，如果后续文件读写操作较多，则可能造成数据恢复失败，数据恢复可能性较差。

　　通过卷影副本数据进行恢复。卷影副本服务是Windows系统默认开启的文件备份服务。该服务在Windows XP/2003开始引入，Windows 2003 Server/Vista 得到加强，并在Windows 7/8/8.1/10所有版本默认开启的，可以在一定条件下保存文件的历史版本数据。通过一定的方式读取并导出文件的历史版本，即可“恢复”出相关数据，若计算机在被感染前一天有开机系统默认备份过，更有可能实现100%数据恢复。

　　匡恩网络解决之道

　　安装匡恩网络工控卫士，解决工控主机的安全问题，它能实现对工控上位机与工控服务器全面的安全防护。

　　工控卫士能够监控工控主机的进程状态、网络端口状态、USB端口状态，以白名单的技术方式，全方位地保护主机的资源使用。根据白名单的配置，工控卫士会禁止非法进程的运行，禁止非法网络端口的打开与服务，禁止非法USB设备的接入，从而切断病毒和木马的传播与破坏路径，保障操作系统的全方位安全。

　　工控卫士是专业针对工控主机的防护软件，其依托匡恩网络在工控网络安全的技术优势，充分研究、吸收工控网络安全攻防技术的前沿成果，极具技术前瞻性。同时建议针对重要业务系统立即进行数据备份，针对重要业务终端进行系统镜像，制作足够的系统恢复盘。

(匡恩网络供稿，编辑丁晓宇)