2017年5月12日，全球發作一種新型比特幣打單病毒家屬的進攻，該打單軟件名為Ransom.CryptXXX （ WannaCry）。該打單軟件由發作至今已在全球遍及流傳，并影響大量企業用戶，個中，歐洲用戶為重災區。

WannaCry打單軟件的特點：

傳染后，WannaCry打單軟件將會加密受害者的數據文件，并要求用戶付出約$300比特幣的贖金。進攻者表白，假如延遲付出，贖金將會在三天后增加一倍；假如延遲付款一個禮拜，加密文件將被刪除。

不只如此，進攻者還留下一個文件，文件名為“Plesae ReadMe!.txt”（請首先閱讀）：

文中提到，國外域名 免費域名，受害者的重要文件已被加密。受害者必需遵守進攻者的指示來解鎖文件 —— 按照指示付出$300贖金至特定所在。

值得留意的是，WannaCry打單軟件加密文件具有以下擴展名，并將.WCRY添加到文件名的末了：

?   .lay6

?   .sqlite3

?   .sqlitedb

?   .accdb

?   .java

?   .class

?   .mpeg

?   .djvu

?   .tiff

?   .backup

?   .vmdk

?   .sldm

?   .sldx

?   .potm

?   .potx

?   .ppam

?   .ppsx

?   .ppsm

?   .pptm

?   .xltm

?   .xltx

?   .xlsb

?   .xlsm

?   .dotx

?   .dotm

?   .docm

?   .docb

?   .jpeg

?   .onetoc2

?   .vsdx

?   .pptx

?   .xlsx

?   .docx

該打單軟件操作微軟已知SMBv2中的長途代碼執行裂痕：MS17-010 來舉辦流傳。

通過整合技能，利用賽門鐵克和諾頓產物的用戶可有效抵制WannaCry的進攻。

病毒：

?   Ransom.CryptXXX

?   Trojan.Gen.8!Cloud

?   Trojan.Gen.2

?   Ransom.Wannacry

入侵防止系統：

?   21179（OS進攻：Microsoft Windows SMB長途執行代碼3）

?   23737（進攻：下載的Shellcode勾當）

?   30018（OS進攻：MSRPC長途打點接口綁定）

?   23624（OS進攻：Microsoft Windows SMB長途執行代碼2）

?   23862（OS進攻：Microsoft Windows SMB長途執行代碼）

?   30010（OS進攻：Microsoft Windows SMB RCE CVE-2017-0144）

?   22534（系統傳染：惡意下載勾當9）

?   23875（OS進攻：微軟SMB MS17-010披露實驗）

?   29064（系統傳染：Ransom.Ransom32勾當）

賽門鐵克強烈發起，企業用戶應確保安裝最新微軟安詳更新措施，尤其是MS17-010，以防備該進攻的擴散。

受到影響最大的受害者？

全球很多組織受到該進攻的影響，個中大大都在歐洲。

這是否是針對性的進攻？

不，在現階段，并不能確認為針對性進攻。

為什么企業用戶面對如此之多的問題？

通過操作微軟已知的安詳裂痕，WannaCry在企業網絡內采納自流傳成果，而且無需用戶交互。假如用戶沒有舉辦最新的微軟安詳更新，其計較機或面對傳染風險。

加密文件是否可以規復？

今朝，解密加密的文件還無法實現，但賽門鐵克正在舉辦觀測。針對此次事件，賽門鐵克不發起付出贖金。

抵制打單軟件的最佳實踐：

?  打單軟件變種會不按期呈現，賽門鐵克發起用戶，始終保持安詳軟件為最新版本，從而抵制網絡進攻。

?  保持操縱系統和其他軟件為更新版本。軟件更新常常包羅大概被進攻者所操作的新型安詳裂痕補丁。這些裂痕大概被進攻者所操作。

?  賽門鐵克發明，電子郵件是當今主要熏染方法之一。用戶應鑒戒未知電子郵件，尤其是包括鏈接和/或附件的電子郵件。

?  用戶需要出格審慎看待那些發起啟用宏以查察附件的Microsoft Office子郵件。除非對來歷有絕對的掌握，不然請當即刪除來歷不明的電子郵件，而且務必不要啟動宏成果。

?  備份數據是沖擊打單進攻的最有效要領。進攻者通過加密受害者的名貴文件并使其無法會見，從而向受害者施加壓力。假如受害者擁有備份，當傳染被清理后，即可規復文件。對付企業用戶而言，備份該當被適當掩護，可能存儲在離線狀態，使進攻者無法刪除。