WannaCry
WannaCry(直譯「想哭」[2][3]、「想解密」[4],俗名「魔窟」[5][6],或稱WannaCrypt[7]、WanaCrypt0r 2.0[8][9]、Wanna Decryptor[10])是一種利用NSA的「永恆之藍」(EternalBlue)漏洞利用程序透過互聯網對全球運行Microsoft Windows操作系統的計算機進行攻擊的加密型勒索軟體兼蠕蟲病毒(Encrypting Ransomware Worm)。該病毒利用AES-128和RSA算法惡意加密用戶文件以勒索比特幣,使用Tor進行通訊[11],為WanaCrypt0r 1.0的變種[12]。
日期 | 2017年5月12日 | -2017年5月15日
---|---|
地點 | 全球 |
類型 | 加密性勒索軟件、電腦蠕蟲 |
主題 | 網絡攻擊、漏洞利用 |
參與者 | The Shadow Brokers |
結果 | 超過230,000台計算機受到影響[1],但目前受控 |
2017年5月,此程式大規模感染包括西班牙電信在內的許多西班牙公司、英國國民保健署[13]、聯邦快遞和德國鐵路股份公司。據報道,至少有99個國家的其他目標在同一時間遭到WanaCrypt0r 2.0的攻擊(截至2018年,已有大約150個國家遭到攻擊)。[14][15][16][17]俄羅斯聯邦內務部、俄羅斯聯邦緊急情況部和俄羅斯電信公司MegaFon共有超過1000台計算機受到感染。[18]於中國大陸的感染甚至波及到公安機關使用的內網[19],國家互聯網應急中心亦發布通報[20][21]。
WannaCry被認為利用了美國國家安全局的「永恆之藍」(EternalBlue)工具以攻擊運行Microsoft Windows操作系統的計算機。[17][9]「永恆之藍」傳播的勒索病毒以ONION和WNCRY兩個家族為主[22][需要較佳來源]。「永恆之藍」利用了某些版本的微軟伺服器訊息區塊(SMB)協議中的數個漏洞,而當中最嚴重的漏洞是允許遠端電腦執行程式碼。修復該漏洞的安全補丁已經於此前的2017年3月14日發布[23],但並非所有計算機都進行了安裝[24]。
背景
編輯此次爆發的電腦惡意程序對漏洞的利用基於「永恆之藍」(EternalBlue)工具。黑客組織「影子掮客」(The Shadow Brokers)在2017年4月14日發布了一批從方程式組織(Equation Group)泄露的工具,其中便包括「永恆之藍」[25][26][27];而方程式集團據信是屬於美國國家安全局[28][29]。
永恆之藍利用了Windows服務器消息塊1.0(SMBv1)的數個漏洞,這些漏洞在通用漏洞披露(CVE)網站中分別被列為CVE-2017-0143至CVE-2017-0148。而就這些漏洞,微軟公司已於2017年3月14日在TechNet發佈「MS17-010」的資訊安全公告,並向用戶推送了Windows系統修復補丁「KB4013389」封堵此漏洞。[23]但因該補丁只適用於仍提供服務支持的Windows Vista或更新的作業系統(註:此補丁不支持Windows 8),較舊的Windows XP等作業系統並不適用。[23]不少用戶也因各種原因而未開啟或完成系統補丁的自動安裝。
2017年4月21日起,安全研究者檢測到數以萬計被安裝DoublePulsar後門的計算機[30],該後門是另一款從NSA外泄的黑客工具[31]。截至4月25日,感染該後門的計算機估計有幾十萬台,數字每天還在呈指數增長[32][33]。除EternalBlue外,WannaCry的本輪攻擊也利用了這一名為DoublePulsar的後門[34][35]。
2017年5月12日[36],WannaCry在國際互聯網開始廣泛傳播,感染了全球很多運行Windows系統的設備。該病毒進入目標主機之後,就會對主機硬盤和存儲裝置中許多格式的文件進行加密[37][38],然後再利用網絡文件共享系統的漏洞,傳播到任意的其他聯網的主機[39],而處於同一局域網的相鄰主機也會被感染。[40]這個漏洞不是零日攻擊的漏洞(還沒有補丁的安全漏洞),而微軟早在2017年3月14日就推送了更新,封堵了這個漏洞。[23]與此同時,微軟也通告用戶,不要再使用老舊的第一代服務器消息塊,應該以最新的第三代服務器消息塊取而代之。[41]
沒有及時下載這個補丁的Windows主機很可能被感染,而到目前為止,沒有證據顯示攻擊者是有目標的進行攻擊。還在運行已被微軟淘汰的Windows XP的主機則非常危險,因為微軟早已不對Windows XP提供安全更新與支持。[42]但由於此次事件的嚴重性,微軟後已為部分已經淘汰的系統發布了漏洞修復補丁,Windows XP、Windows Server 2003和Windows 8用戶都可從微軟網站下載修復補丁[43]。但部分騰訊電腦管家用戶因補丁遭到屏蔽而未能接受到安全更新,事後據官方回應,部分第三方修改系統安裝補丁後可能致使藍屏、系統異常,因此有部分用戶補丁被屏蔽[44][45]。
影響
編輯中國大陸
編輯2017年5月12日晚,中國大陸內地部分高校學生反映電腦被病毒攻擊,檔案被加密。病毒疑似透過教育網傳播[46]。隨後,山東大學、南昌大學、廣西師範大學、桂林電子科技大學、大連海事大學、東北財經大學等十幾家高校發布通知,提醒師生上網時注意防範[47][48]。除了教育網、校園網以外,新浪微博上不少用戶反饋,北京、上海、江蘇、天津等多地的出入境、派出所等警方內部網和政企專網也遭遇了病毒襲擊,許多警方部門和政府部門由於勒索軟件的影響被迫停止工作[49][50][51][52]。中國國家互聯網應急中心發布關於防範WannaCry的情況通報,稱全球約101.1萬個IP地址遭受「永恆之藍」SMB漏洞攻擊工具的攻擊嘗試,發起攻擊嘗試的IP地址數量9300餘個[53]。由於中國大陸個人網絡用戶的445網絡端口大多已被網絡運營商屏蔽,故該病毒對一般家庭用戶影響不大[54]。而且病毒首輪傳播時,中國大陸正值週五夜晚,事發後許多安全軟件已立即呼籲用戶完成更新以抵抗病毒。
香港
編輯截至香港時間2017年5月16日為止,香港電腦保安事故協調中心收到受加密勒索軟件「WannaCry」攻擊的報告,增至31宗,比15日多14宗。新增個案一宗來自商業機構,其餘是家庭用戶,大部分都是使用微軟Windows軟件或伺服器。其中家庭用戶多使用Windows 7;商業用戶涉及Windows 7及Windows Server 2008系統[55]。香港警方亦接獲3宗有關報案。[56][57]
台灣
編輯此病毒也重創臺灣,爆發初期,受到感染的電腦使用者於PTT、Dcard等社群發文,而後臺灣媒體在2017年5月13日對此新聞作出大篇幅報導。
2018年8月3日台積電發生成立以來重大資安事件,造成竹科、中科與南科廠區停工,此次事件肇因為新機台在安裝軟體的過程中發生操作失誤。3日安裝新機台時並未將此機台於連結網路前先隔離確保無病毒,造成「WannaCry」變種病毒進入公司網路,令機台當機或是重複開機。此次受到感染的機台與自動搬運系統,以及相關的電腦系統,主要是使用Windows 7卻未安裝修正軟體於機台自動化介面,以致受影響的機台無法運作以及部分自動搬運系統無法正常運作。[58]
英國
編輯勒索軟件影響了英國醫療系統的運作。[59]由於勒索軟件導致的系統癱瘓,部分常規手術被臨時取消,救護車也被迫分流到其他未受到影響的醫院。[16][60]英國國民保健署在2016年仍然有上千台電腦在使用Windows XP,[61]而Windows XP直到本次感染爆發之前並沒有任何修復服務器消息塊漏洞的補丁,這成為英國醫療系統受到攻擊的原因之一。
日本
編輯據日本警察廳聲稱,截至5月18日,在日本境內被確認的受害事件共21件。具體為東京、大阪等地共4個企業、神奈川縣內的行政機關、茨城縣的一家醫院等。[62]當地時間15日,日本政府於首相官邸危機管理中心設置「情報聯絡室」。[63]6月19日,本田在狹山市的汽車工廠受WannaCry影響停工一天。[64]
其他
編輯此外,巴西聖保羅法院[65]、加拿大公共衛生服務機構湖嶺醫療網絡[66]、哥倫比亞國立衛生研究院[67]、法國雷諾[68]、德國鐵路系統[69]、印度安得拉邦警察局[70]、印度尼西亞的多家醫院[71]、意大利米蘭比科卡大學[72]、羅馬尼亞外交部[73][74]、俄羅斯通訊運營商MegaFon[75]、俄羅斯聯邦內務部[76]、俄羅斯鐵路[77]以及西班牙[78]、瑞典[71]、匈牙利[79]、泰國[80]、荷蘭[81]、葡萄牙[82]等將近一百個國家的機構院所也受到波及。
病毒功能
編輯以下以2017年5月第一次大規模傳播的病毒版本為主;該病毒早前的一個版本曾於4月透過電子郵件和有害Dropbox鏈接傳播,但沒有利用Windows漏洞進行主動傳播的能力[83]。
通過利用漏洞,病毒不需要打攪用戶,可以靜默獲得操作系統的特權,然後得以在本地網絡中傳染。[84]
簡而言之,程序在加載完成後會調用Windows的CryptoAPI,新生成一對2048位的RSA密鑰。密鑰對包括私鑰和公鑰,它們會被存儲至被感染計算機;但解密時需要的私鑰在存儲前會使用程序自帶的另一RSA公鑰加密,該公鑰對應的私鑰由攻擊者持有。[85]
隨後程序會遍歷存儲設備(部分系統文件夾等除外[12]),加密特定擴展名的文件;程序在加密文件時使用AES算法,會為每一個文件隨機生成一個128位AES密鑰,密鑰隨後會被程序加載完後生成的RSA公鑰加密,並在當前文件加密完後存儲在該文件的頭部[11]。程序還會調用命令提示符刪除設備上的卷影副本(Shadow copy)備份[86]。早先有報道認為這一操作可能會引起UAC彈框而被用戶注意到[87],但後續分析指出,病毒是通過內核漏洞注入系統進程來執行的,傳染過程中並不會有UAC彈窗出現[88]。
加密過程結束後,病毒會把系統壁紙替換成英語告示[87],並顯示一封提供28種語言版本的勒索信[60],其中部分可能使用了機器翻譯[89][90]。程序要求用戶支付與300至600美元等值的比特幣[87][91],並在勒索信中給予被感染者3天期限,如若超過贖金會翻倍,超過一周仍未付款則會「撕票」[92]。在勒索信中,病毒還聲稱今後可能舉行免費恢復活動,對象是運氣好且「半年以上沒錢付款的窮人」[93]。
程序透過Tor匿名網絡與攻擊者的服務器連接[87]。此外,程序還會在計算機所屬局域網內,隨機連結其他電腦SMB使用的TCP/UDP 445與139等埠以自我傳播[40],並嘗試用同樣方式隨機感染互聯網上的其他計算機[39]。
據思科分析,病毒在感染其他計算機時會嘗試透過DoublePulsar後門安裝[94]。而根據《連線》的報道,此病毒也會同時在計算機上安裝該後門[17],現已有腳本可檢測並移除[39]。
攻擊者在程序中硬編碼了至少3個比特幣地址(或稱「錢包」),以接收受害者的贖金[95],這些錢包的真實擁有者身份不明,但交易情況和餘額是公開的。有人在Twitter上設置了一個機器人,以實時追蹤這三個錢包收到的轉賬。[96]截至2017年5月14日[update],攻擊者已獲得約合3.2萬美元的比特幣[97]。
應對措施
編輯防禦
編輯若想有效防禦此蠕蟲的攻擊,首先應立即部署Microsoft安全公告MS17-010中所涉及的所有安全更新。Windows XP、Windows Server 2003以及Windows 8應根據微軟的用戶指導安裝更新。
當不具備條件安裝安全更新,且沒有與Windows XP (同期或更早期Windows)主機共享的需求時,應當根據Microsoft安全公告MS17-010[98]中的變通辦法[99],禁用SMBv1協議,以免遭受攻擊。雖然利用Windows防火牆阻止TCP 445端口也具備一定程度的防護效果,但這會導致Windows共享完全停止工作,並且可能會影響其它應用程序的運行,故應當按照微軟公司提供的變通辦法[99]來應對威脅。
2017年5月第一次大規模傳播時,署名為MalwareTech的英國安全研究員在當時的病毒中發現了一個未註冊的域名,主因是病毒內建有傳播開關(Kill Switch),會向該域名發出DNS請求,用於測試病毒是否處於防毒軟件的虛擬運作環境中,由於該域名並沒有設置DNS,所以正常情況是不會有回應,若有回應就說明處於虛擬環境下,病毒會停止傳播以防被防毒軟件清除[100][101][102]。這名安全研究員花費8.29英鎊註冊域名後發現每秒收到上千次請求。在該域名被註冊後,部分計算機可能仍會被感染,但「WannaCry的這一版本不會繼續傳播了」[103]。
然而需要注意的是,在部分網絡環境下,例如一些局域網、內部網,或是需要透過代理服務器才能訪問互聯網的網絡,此域名仍可能無法正常連接[104][39]。另外,有報道稱該病毒出現了新的變種,一些變種在加密與勒索時並不檢查這一域名[105][106][107]。
復原數據
編輯該病毒會「讀取源文件並生成加密文件,直接把源文件作刪除操作」[108]。2017年5月19日,安全研究人員Adrien Guinet發現病毒用來加密的Windows API存在的缺陷,在Windows10以下版本的操作系統中,所用私鑰會暫時留在內存中而不會被立即清除。他開發並開源了一個名為wannakey的工具,並稱這適用於為感染該病毒且運行Windows XP的計算機找回文件,前提是該計算機在感染病毒後並未重啟,且私鑰所在內存還未被覆蓋(這需要運氣)[109]。後有開發者基於此原理開發了名為「wanakiwi」的軟件,使恢復過程更加自動化,並確認該方法適用於運行Windows XP至Windows 7時期間的多款Windows操作系統[110]。一些安全廠商也基於此原理或軟件開發並提供了圖形化工具以幫助用戶恢復文件[111][112]。
評論
編輯一些人士批評與此事件有關聯的美國國家安全局(NSA)。稜鏡計劃告密人愛德華·斯諾登稱,如果NSA「在發現用於此次對醫院進行攻擊的缺陷時就進行私下披露,而不是等到丟失時才說,(此次攻擊)就可能不會發生」[60]。微軟總裁布拉德·史密斯則表示:「政府手中的漏洞利用程序一次又一次地泄露到公共領域,造成廣泛破壞。如果用常規武器來說,這種情況等同於美軍的戰斧導彈發生失竊。」[113][114]
也有人士聚焦於網絡安全意識方面。德國聯邦信息安全辦公室主任Arne Schönbohm聲明道:「現在發生的攻擊突顯出我們的信息社會是多麼脆弱。這對公司是一次警醒,是時候認真考慮IT安全了。」[115][116]美國外交關係協會數字和網絡政策項目負責人亞當·謝加爾認為政府和私營部門的補丁和更新系統運轉不正常,不是所有人都會在第一時間為系統漏洞打上補丁[117];半島電視台在文章中引述觀點稱,許多企業的員工缺乏網絡安全方面的訓練[116]。《福布斯》網站上的一篇專欄文章則認為,該攻擊生動地證明了安全備份和良好安全習慣的重要性,包括及時安裝最新的安全更新[118]。英國首相特雷莎·梅也就此次攻擊發表講話,稱英國國家網絡安全中心正在與所有受攻擊的機構合作調查[119]。特雷莎·梅還表示:「這不是針對國民保健署的攻擊,這是國際性的攻擊,全世界數以千計的國家和組織都受到了影響[120]。」
調查
編輯2017年5月29日,據CNET引述美國安全公司閃點(Flashpoint)發布的報告稱,根據對病毒附帶的28種語言撰寫的勒索信的文法分析研究,病毒製造者有可能是一名中文母語者[121],其中文版勒索信文法道地,而英文版有一些語法錯誤,其他語言版本則更像是藉助Google翻譯以機器翻譯而得[122]。在早前的5月16日,Google、卡巴斯基、閃點等多家安全公司的安全研究員曾發文認為,病毒的幕後黑手可能是源自朝鮮的「拉撒路組」(Lazarus Group)黑客組織[123],而據傳該組織成員居於中國[121]。但奇虎360和安天的安全工程師認為閃點網絡情報公司僅以語言判斷是十分不專業的臆測行為,質疑其只是為了吸引目光焦點[124]。
2017年6月17日,據《華盛頓郵報》報道,NSA的內部報告認為此惡意軟件來自朝鮮情報機關贊助的黑客團體,並對這份報告有「中等信心(moderate confidence)」。[125]英國國家網絡安全中心(NCSC)也發布報告將此事件源頭指向北韓的黑客團隊[126][127]。
2017年10月,微軟總裁布萊德·史密斯(Brad Smith)接受ITV採訪稱,他非常相信北韓是影響全球150個國家摧毀20萬台電腦的幕後黑手[128]。
軼事
編輯2017年5月15日,臺灣一名Windows XP使用者遭受WannaCry的攻擊後,因電腦配備老舊,導致WannaCry程式運作到一半,突然「停止回應」而無法運作。[129][130]
參見
編輯參考資料
編輯- ^ Cameron, Dell. Today's Massive Ransomware Attack Was Mostly Preventable; Here's How To Avoid It. [2017-05-13]. (原始內容存檔於2019-04-09).
- ^ 不哭! 有办法对付“想哭”电脑勒索病毒了!. BBC中文網. 2017-05-13 [2017-05-14]. (原始內容存檔於2021-08-19).
- ^ 勒索软件威胁远未消失15日开机面临考验. 人民網. 新華社. 2017-05-15 [2017-05-15]. (原始內容存檔於2017-08-05).
- ^ 揭秘勒索病毒威力有多大:不到十秒所有文件被加密. 搜狐. [2017-05-24]. (原始內容存檔於2019-06-28).
- ^ 病毒来袭!交通行业网安专家权威答疑支招. 中國交通新聞網. 2017-05-15 [2017-05-20]. (原始內容存檔於2021-06-21).
- ^ 勒索蠕虫“魔窟(WannaCry)”FAQ之三. 安天實驗室. [2017-05-20]. (原始內容存檔於2019-06-19).
- ^ MSRC Team. Customer Guidance for WannaCrypt attacks. Microsoft. [2017-05-13]. (原始內容存檔於2017-05-21).
- ^ Jakub Kroustek. Avast reports on WanaCrypt0r 2.0 ransomware that infected NHS and Telefonica.. Avast Security News. Avast Software, Inc. 2017-05-12 [2017-05-14]. (原始內容存檔於2019-05-05).
- ^ 9.0 9.1 Fox-Brewster, Thomas. An NSA Cyber Weapon Might Be Behind A Massive Global Ransomware Outbreak. Forbes. [2017-05-12]. (原始內容存檔於2018-06-28).
- ^ Woollaston, Victoria. Wanna Decryptor: what is the 'atom bomb of ransomware' behind the NHS attack?. WIRED UK. [2017-05-13]. (原始內容存檔於2017-05-13) (英國英語).
- ^ 11.0 11.1 Global WannaCry ransomware outbreak uses known NSA exploits. [2017-05-14]. (原始內容存檔於2021-02-11).
- ^ 12.0 12.1 RANSOM_WCRY.C - Threat Encyclopedia - Trend Micro USA. www.trendmicro.com. [2017-05-14]. (原始內容存檔於2021-06-18) (英語).
- ^ Marsh, Sarah. The NHS trusts hit by malware – full list. The Guardian. 2017-05-12 [2017-05-13]. ISSN 0261-3077. (原始內容存檔於2017-05-15) (英國英語).
- ^ Statement on reported NHS cyber attack. digital.nhs.uk. [2017-05-13]. (原始內容存檔於2017-05-19) (英國英語).
- ^ Hern, Alex; Gibbs, Samuel. What is 'WanaCrypt0r 2.0' ransomware and why is it attacking the NHS?. The Guardian. 2017-05-12 [2017-05-13]. ISSN 0261-3077. (原始內容存檔於2017-05-12) (英國英語).
- ^ 16.0 16.1 NHS cyber-attack: GPs and hospitals hit by ransomware. BBC News. 2017-05-13 [2017-05-13]. (原始內容存檔於2017-05-12) (英國英語).
- ^ 17.0 17.1 17.2 Larson, Selena. Massive ransomware attack hits 99 countries. CNNMoney. 2017-05-12 [2017-05-13]. (原始內容存檔於2017-05-21).
- ^ Ransomware virus plagues 75k computers across 99 countries. RT International. [2017-05-13]. (原始內容存檔於2017-05-12) (美國英語).
- ^ cnBeta. 勒索病毒国内蔓延 多地出入境系统受影响瘫痪_警告!_cnBeta.COM. cnbeta. [2017-05-13]. (原始內容存檔於2021-08-01) (中文(中國大陸)).
- ^ 国家互联网应急中心关于防范Windows操作系统勒索软件Wannacry的情况通报. 國家互聯網應急中心. 2017-05-13 [2017-05-13]. (原始內容存檔於2022-04-19).
- ^ 国家互联网应急中心发布勒索软件情况通报. 新浪科技. 2017-05-13 [2017-05-13]. (原始內容存檔於2021-08-01).
- ^ 花子健. 这次全球规模的网络病毒攻击 每天动动手指就能解决. 鳳凰網. 2017-05-13 [2017-05-13]. (原始內容存檔於2021-06-23) (中文).
- ^ 23.0 23.1 23.2 23.3 Microsoft Security Bulletin MS17-010 - Critical. technet.microsoft.com. 微軟. 2017-03-14 [2017-05-13]. (原始內容存檔於2017-05-21) (英語).
- ^ 15:58, 12 May 2017 at. WanaCrypt ransomware snatches NSA exploit, fscks over Telefónica, other orgs in Spain. [2017-05-13]. (原始內容存檔於2017-05-19).
- ^ Menn, Joseph. Russian researchers expose breakthrough U.S. spying program. Reuters. 2015-02-17 [2015-11-24]. (原始內容存檔於2015-09-24).
- ^ NSA-leaking Shadow Brokers just dumped its most damaging release yet. Ars Technica. [2017-04-15]. (原始內容存檔於2017-05-13) (美國英語).
- ^ misterch0c. GitHub. [2017-04-15]. (原始內容存檔於2022-04-09) (英語).
- ^ Fox-Brewster, Thomas. Equation = NSA? Researchers Uncloak Huge 'American Cyber Arsenal'. Forbes. 2015-02-16 [2015-11-24]. (原始內容存檔於2015-11-19).
- ^ Latest Shadow Brokers dump—owning SWIFT Alliance Access, Cisco and Windows. Medium. 2017-04-14 [2017-04-15]. (原始內容存檔於2017-05-18).
- ^ Goodin, Dan. >10,000 Windows computers may be infected by advanced NSA backdoor. ARS Technica. [2017-05-14]. (原始內容存檔於2017-07-18) (英語).
- ^ Over 36,000 Computers Infected with NSA's DoublePulsar Malware. BleepingComputer. [2017-05-14]. (原始內容存檔於2021-09-26) (英語).
- ^ Goodin, Dan. NSA backdoor detected on >55,000 Windows boxes can now be remotely removed. ARS Technica. [2017-05-14]. (原始內容存檔於2017-07-10) (英語).
- ^ Broersma, Matthew. NSA Malware 'Infects Nearly 200,000 Systems'. Silicon. [2017-05-14]. (原始內容存檔於2017-05-06) (英語).
- ^ Cameron, Dell. Today's Massive Ransomware Attack Was Mostly Preventable; Here's How To Avoid It. Gizmodo. 2017-05-13 [2017-05-15]. (原始內容存檔於2019-04-09) (英語).
- ^ How One Simple Trick Just Put Out That Huge Ransomware Fire. Forbes. 2017-05-13 [2017-05-15]. (原始內容存檔於2021-06-04) (英語).
- ^ Newman, Lily Hay. The Ransomware Meltdown Experts Warned About Is Here. Wired.com. [2017-05-13]. (原始內容存檔於2017-05-19).
- ^ Russian-linked cyber gang blamed for NHS computer hack using bug stolen from US spy agency. The Telegraph. [2017-05-12]. (原始內容存檔於2017-05-12) (英國英語).
- ^ Bilefsky, Dan; Perlroth, Nicole. Hackers Hit Dozens of Countries Exploiting Stolen N.S.A. Tool. The New York Times. 2017-05-12 [2017-05-12]. ISSN 0362-4331. (原始內容存檔於2017-05-12).
- ^ 39.0 39.1 39.2 39.3 Clark, Zammis. The worm that spreads WanaCrypt0r. Malwarebytes Labs. malwarebytes.com. [2017-05-13]. (原始內容存檔於2017-05-17).
- ^ 40.0 40.1 Samani, Raj. An Analysis of the WANNACRY Ransomware outbreak. McAfee. [2017-05-13]. (原始內容存檔於2017-05-13).
- ^ JoseBarreto. The Deprecation of SMB1 – You should be planning to get rid of this old SMB dialect. 微軟. 2015-04-21 [2017-05-13]. (原始內容存檔於2017-05-21).
- ^ Windows XP End of Support. www.microsoft.com. [2017-05-13]. (原始內容存檔於2016-11-08).
- ^ The Microsoft Security Response Center (MSRC). Customer Guidance for WannaCrypt attacks. blogs.technet.microsoft.com/msrc. 微軟. 2017-05-13 [2017-05-13]. (原始內容存檔於2017-05-21).
- ^ Team, Discuz! Team and Comsenz UI. 腾讯电脑管家论坛. bbs.guanjia.qq.com. [2017-05-15]. (原始內容存檔於2017-08-05).
- ^ 勒索病毒肆虐背后:互联网“变得更安全了”只是一种错觉| PingWest品玩. www.pingwest.com. [2017-05-16]. (原始內容存檔於2018-06-16).
在騰訊電腦管家論壇關於此次WannaCry的官方知識貼中,主動解釋了「為何微軟3月發布的補丁會被屏蔽」
- ^ 馬卡. 全国部分高校校园网受大规模病毒攻击:传播迅猛、勒索比特币. IT之家. 2017-05-12 [2017-05-13]. (原始內容存檔於2021-06-03).
- ^ 仲平. 中国多所校园网发紧急通知:提醒防范勒索软件攻击. IT之家. 2017-05-13 [2017-05-13]. (原始內容存檔於2017-07-24).
- ^ 何利權. “勒索软件病毒”肆虐中国多所高校:一旦中招便无法“挽救”. 澎湃新聞. 2017-05-13 [2017-05-13]. (原始內容存檔於2017-05-17).
- ^ 遠洋. 勒索软件蔓延,国内多地出入境系统疑受影响瘫痪. IT之家. 2017-05-13 [2017-05-13]. (原始內容存檔於2017-05-16).
- ^ Bank of China ATMs Go Dark As Ransomware Attack Cripples China | Zero Hedge. www.zerohedge.com. 2017-05-13 [2017-05-14]. (原始內容存檔於2017-05-16) (英語).
- ^ 中西部交管部门受勒索病毒影响山西部分交管业务暂停. 騰訊科技. 澎湃新聞. 2017-05-15 [2017-05-15]. (原始內容存檔於2021-06-16).
- ^ 为应对勒索病毒!珠海紧急停办公积金业务加固升级内外网络. 新浪網. [2017-05-15]. (原始內容存檔於2017-08-05).
- ^ 关于防范Windows操作系统勒索软件Wannacry的情况通报. CNCERT. 2017-05-13 [2017-05-13]. (原始內容存檔於2021-06-20).
- ^ 勒索病毒肆掠全球100国,中国高校大量沦陷. 網易. 鈦媒體. 2017-05-13 [2017-05-16]. (原始內容存檔於2017-08-05).
- ^ 港增14宗WannaCry攻擊. 明報. 2017-05-17 [2017-05-17]. (原始內容存檔於2017-08-05).
- ^ 本港遭WannaCry攻擊增至31宗警接3宗報案. 電視廣播有限公司. 2017-05-16 [2017-05-16]. (原始內容存檔於2021-06-15).
- ^ 【WannaCry殺到】電腦保安事故協調中心:今日新增14攻擊個案. 明報. 2017-05-16 [2017-05-16]. (原始內容存檔於2017-08-05).
- ^ 王宏仁. 【臺灣史上最大資安事件】深度剖析台積產線中毒大當機始末(下). iThome. 2018-08-10 [2019-06-04]. (原始內容存檔於2021-06-15) (中文(臺灣)).
- ^ Global cyberattack strikes dozens of countries, cripples U.K. hospitals. cbsnews.com. [2017-05-13]. (原始內容存檔於2017-05-17) (英語).
- ^ 60.0 60.1 60.2 Wong, Julia Carrie; Solon, Olivia. Massive ransomware cyber-attack hits 74 countries around the world. The Guardian. London. 2017-05-12 [2017-05-12]. (原始內容存檔於2017-05-21) (英語).
- ^ NHS Hospitals Are Running Thousands of Computers on Unsupported Windows XP. Motherboard. [2017-05-13]. (原始內容存檔於2017-05-18) (英語).
- ^ サイバー攻撃 日本での被害 21件確認. 2017-05-18.[永久失效連結]
- ^ 政府サイバー攻撃対策の「情報連絡室」を設置. 2017-05-15.[永久失效連結]
- ^ WannaCry勒索病毒阴魂不散:本田汽车工厂遭殃了. 快科技. 2017-06-22 [2017-06-25]. (原始內容存檔於2019-06-10) (中文).
- ^ WannaCry no Brasil e no mundo. O Povo. 2017-05-13 [2017-05-13]. (原始內容存檔於2017-05-21) (葡萄牙語).
- ^ Ontario health ministry on high alert amid global cyberattack | Toronto Star. Thestar.com. 2017-05-13 [2017-05-22]. (原始內容存檔於2021-06-04).
- ^ Instituto Nacional de Salud, entre víctimas de ciberataque mundial. 2017-05-13 [2017-05-14]. (原始內容存檔於2017-05-16).
- ^ France’s Renault hit in worldwide ‘ransomware’ cyber attack. france24.com. 2017-05-13 [2017-05-13]. (原始內容存檔於2017-05-21) (西班牙語).
- ^ Weltweite Cyberattacke trifft Computer der Deutschen Bahn. faz.net. 2017-05-13 [2017-05-13]. (原始內容存檔於2017-05-16) (德語).
- ^ Andhra police computers hit by cyberattack. Times of India. 2017-05-13 [2017-05-13]. (原始內容存檔於2017-05-14) (英語).
- ^ 71.0 71.1 Global cyber attack: A look at some prominent victims. elperiodico.com. 2017-05-13 [2017-05-14]. (原始內容存檔於2017-05-20) (西班牙語).
- ^ Il virus Wannacry arrivato a Milano: colpiti computer dell'università Bicocca. repubblica.it. 2017-05-12 [2017-05-13]. (原始內容存檔於2017-05-17) (意大利語).
- ^ (羅馬尼亞文) UPDATE. Atac cibernetic la MAE. Cine sunt hackerii de elită care au falsificat o adresă NATO. Libertatea. 2017-05-12 [2017-05-14]. (原始內容存檔於2017-05-17).
- ^ (羅馬尼亞文) Atacul cibernetic global a afectat și Uzina Dacia de la Mioveni. Renault a anunțat că a oprit producția și în Franța. Pro TV. 2017-05-13 [2017-05-14]. (原始內容存檔於2017-05-16).
- ^ Massive cyber attack creates chaos around the world. news.com.au. [2017-05-13]. (原始內容存檔於2017-05-19).
- ^ Researcher 'accidentally' stops spread of unprecedented global cyberattack. ABC News. [2017-05-13]. (原始內容存檔於2017-05-20).
- ^ Компьютеры РЖД подверглись хакерской атаке и заражены вирусом. Radio Liberty. [2017-05-13]. (原始內容存檔於2017-05-16).
- ^ Un ataque informático masivo con 'ransomware' afecta a medio mundo. elperiodico.com. 2017-05-12 [2017-05-13]. (原始內容存檔於2017-05-12) (西班牙語).
- ^ Balogh, Csaba. Ideért a baj: Magyarországra is elért az óriási kibertámadás. HVG. 2017-05-12 [2017-05-13]. (原始內容存檔於2017-05-13) (匈牙利語).
- ^ เซิร์ฟเวอร์เกม Blade & Soul ของ Garena ประเทศไทยถูก WannaCrypt โจมตี. blognone.com. 2017-05-13 [2017-05-14]. (原始內容存檔於2021-06-04) (泰語).
- ^ Parkeerbedrijf Q-Park getroffen door ransomware-aanval.
- ^ PT Portugal alvo de ataque informático internacional. Observador. 2017-05-12 [2017-05-13]. (原始內容存檔於2017-05-12) (葡萄牙語).
- ^ Massive WannaCry/Wcry Ransomware Attack Hits Various Countries - TrendLabs Security Intelligence Blog. TrendLabs Security Intelligence Blog. 2017-05-12 [2017-05-15]. (原始內容存檔於2020-08-09) (英語).
- ^ 存档副本. [2017-05-13]. (原始內容存檔於2017-05-13).
- ^ Trustlook. WannaCry Ransomware Scanner and Vaccine Toolkit. Trustlook. 2017-05-14 [2017-05-14]. (原始內容存檔於2017-05-17) (英語).
- ^ WannaCrypt ransomware worm targets out-of-date systems. Windows Security. [2017-05-15]. (原始內容存檔於2021-02-11) (英語).
- ^ 87.0 87.1 87.2 87.3 WannaCry ransomware used in widespread attacks all over the world - Securelist. securelist.com. [2017-05-14]. (原始內容存檔於2017-06-03) (英語).
- ^ 存档副本. [2017-10-20]. (原始內容存檔於2022-04-07).
- ^ WanaCrypt0rランサムウェア身代金ウイルス.wncry拡張子ファイル変更 - 無題な濃いログ. 無題な濃いログ. [2017-05-14]. (原始內容存檔於2018-10-15) (日語).
- ^ Lee, Dave. 勒索软件WannaCry网络攻击:“或与朝鲜有关”?. BBC中文網. 2017-05-16 [2017-05-16]. (原始內容存檔於2021-05-21) (中文(簡體)).
而要求贖金的文本使用了機器翻譯的英文
- ^ An NSA-derived ransomware worm is shutting down computers worldwide. Ars Technica. [2017-05-14]. (原始內容存檔於2017-05-12) (英語).
- ^ What you need to know about the WannaCry Ransomware. Symantec Security Response. [2017-05-14]. (原始內容存檔於2021-06-04) (英語).
- ^ What You Need to Know About WannaCry Now – Safe and Savvy Blog by F-Secure. [2017-05-14]. (原始內容存檔於2017-10-20) (英語).
- ^ Player 3 Has Entered the Game: Say Hello to 'WannaCry'. blog.talosintelligence.com. [2017-05-15]. (原始內容存檔於2021-06-04) (英語).
- ^ 安天对勒索者蠕虫“魔窟”WannaCry支付解密流程分析 (PDF). [2017-05-23]. (原始內容 (PDF)存檔於2017-05-21).
- ^ Collins, Keith. Watch as these bitcoin wallets receive ransomware payments from the global cyberattack. Quartz. [2017-05-14]. (原始內容存檔於2021-06-04) (英語).
- ^ 勒索病毒黑客获利达3.2万美元预计周一将大幅增加. 新浪科技. 2017-05-14 [2017-05-15]. (原始內容存檔於2019-06-11).
- ^ Microsoft安全公告MS17-010.
- ^ 99.0 99.1 如何在Windows和Windows Server中启用和禁用SMBv1、SMBv2和SMBv3. [2017-06-07]. (原始內容存檔於2017-06-27).
- ^ 原來WannaCry 2.0是失敗試作品 ! 真3.0變種版本已開始感染. Unwire.hk. 2017-05-15 [2017-05-15]. (原始內容存檔於2017-05-15) (中文).
- ^ Francisco, Nadia Khomami Olivia Solon in San. 'Accidental hero' halts ransomware attack and warns: this is not over. The Guardian. 2017-05-13 [2017-05-15]. ISSN 0261-3077. (原始內容存檔於2019-05-23) (英語).
- ^ 英国小哥意外拯救世界8.29英镑阻止网络病毒蔓延. [2017-05-14]. (原始內容存檔於2021-06-15).
- ^ 勒索病毒全球蔓延 他利用几美元成功阻止灾难. [2017-05-14]. (原始內容存檔於2017-05-13).
- ^ McCausland, Phil; Petulla, Sam. After Huge Global Cyberattack, Countries Scramble to Halt Spread of Ransomware. NBC News. [2017-05-14]. (原始內容存檔於2021-06-20) (英語).
- ^ Khandelwal, Swati. It’s Not Over, WannaCry 2.0 Ransomware Just Arrived With No 'Kill-Switch'. The Hacker News. [2017-05-14]. (原始內容存檔於2021-06-04) (英語).
- ^ Erpressungssoftware: Experten fürchten neue "WannaCry"-Attacken – SPIEGEL ONLINE – Netzwelt. SPIEGEL ONLINE. [2017-05-14]. (原始內容存檔於2021-06-18) (英語).
- ^ Shieber, Jonathan. Companies, governments brace for a second round of cyberattacks in WannaCry’s wake. TechCrunch. [2017-05-14]. (原始內容存檔於2021-06-04) (英語).
- ^ 【美亚柏科】针对"WannaCry"勒索病毒推出数据恢复方案. 搜狐. 2017-05-15 [2017-05-18]. (原始內容存檔於2017-08-05).
- ^ Researcher Open Sources WannaKey Tool That Cracks WannaCry Ransomware Encryption. 2017-05-19 [2017-05-21]. (原始內容存檔於2021-06-20).
- ^ Wanakiwi是WannaCry勒索病毒的快速解法(只要你还没重启...). engadget. 2017-05-19 [2017-05-20]. (原始內容存檔於2019-06-12).
- ^ 安天發布魔窟WannaCry蠕蟲解密工具,微信公眾號文章的存檔
- ^ 阿里云安全团队发布WannaCry“一键解密和修复”工具. 阿里雲. [2017-05-21]. (原始內容存檔於2019-06-10).
- ^ Ransomware attack 'like having a Tomahawk missile stolen', says Microsoft boss. The Guardian. 2017-05-14 [2017-05-15]. (原始內容存檔於2022-04-07) (英語).
- ^ Smith, Brad. The need for urgent collective action to keep people safe online. microsoft.com. Microsoft. [2017-05-14]. (原始內容存檔於2017-05-16) (英語).
- ^ WannaCry: BSI ruft Betroffene auf, Infektionen zu melden. heise online. [2017-05-14]. (原始內容存檔於2022-04-08) (德語).
- ^ 116.0 116.1 WannaCry: What is ransomware and how to avoid it. Al Jazeera. [2017-05-14]. (原始內容存檔於2018-10-17) (英語).
- ^ Helmore, Edward. Ransomware attack reveals breakdown in US intelligence protocols, expert says. The Guardian. 2017-05-13 [2017-05-14]. (原始內容存檔於2021-06-04) (英語).
- ^ Coughlin, Tom. WannaCry Ransomware Demonstrations The Value Of Better Security and Backups. Forbes. [2017-05-14]. (原始內容存檔於2022-04-07) (英語).
- ^ 专家揭勒索病毒:1台电脑染毒将攻击网内其他电脑. 央視網. [2017-05-15]. (原始內容存檔於2019-06-10) (中文(中國大陸)).
- ^ Smith-Spark, Laura; Veselinovic, Milena; McGann, Hilary. UK prime minister: Ransomware attack is global. CNN. [2017-05-13]. (原始內容存檔於2021-09-01).
- ^ 121.0 121.1 WannaCry勒索病毒再研究:攻击者的母语或是中文. 網易科技. [2017-05-29]. (原始內容存檔於2017-08-05).
- ^ 美專家分析WannaCry 幕後黑手通曉中文. 東網. 東方報業. [2017-05-30]. (原始內容存檔於2021-06-19).
- ^ 威鋒網. 谷歌卡巴斯基等发现:勒索病毒幕后黑手或来自朝鲜. 搜狐. 2017-05-16 [2017-05-29]. (原始內容存檔於2019-06-02).
- ^ 美网络情报公司臆测勒索软件与中国有关专家:分析极不专业且不靠谱. 中國日報網. 2017-06-10 [2017-06-17]. (原始內容存檔於2021-06-22).
- ^ The NSA has linked the WannaCry computer worm to North Korea. 華盛頓郵報. 2017-06-14 [2017-06-17]. (原始內容存檔於2021-06-04).
- ^ WannaCry ransomware attack 'linked to North Korea'. [2017-06-17]. (原始內容存檔於2022-05-04).
- ^ IT之家. 英美安全机构同发报告:朝鲜黑客应对勒索病毒事件负责. 搜狐. [2017-06-17].[永久失效連結]
- ^ N. Korea stole cyber tools from NSA, carried out WannaCry ransomware attack – Microsoft chief. [2017-10-15]. (原始內容存檔於2022-03-05).
- ^ 入侵「骨董電腦」踢鐵板 WannaCry遭XP「強制中止」只能Cry. 東森新聞. 2017-05-16 [2017-12-12]. (原始內容存檔於2017-12-13).
- ^ Windows XP computers were mostly immune to WannaCry. [2020-07-17]. (原始內容存檔於2021-02-11).
外部連結
編輯- Microsoft安全公告MS17-010 (頁面存檔備份,存於網際網路檔案館)
- 用戶指導(頁面存檔備份,存於網際網路檔案館)(微軟中國翻譯 (頁面存檔備份,存於網際網路檔案館))
- 微軟惡意軟件防護中心上Ransom:Win32/WannaCrypt相關資料 (頁面存檔備份,存於網際網路檔案館)(英文)
- 勒索軟件席捲全球國內多種網絡系統中招 - 新浪網專題 (頁面存檔備份,存於網際網路檔案館)(簡體中文)
- MalwareTech網站發布的WannaCry世界各地感染實況(英文)
- 香港電腦保安事故協調中心WannaCry (WannaCrypt)加密勒索軟件加密受害者數據 (頁面存檔備份,存於網際網路檔案館)