资料整理自：安天实验室、360安全检测和响应中心、网络信息安全工作组，并对此表示感谢！

5月12日起，大规模勒索病毒软件在全球蔓延，我国大量行业企业内网受到攻击，教育网受损严重，据悉，大量学校电脑感染勒索病毒，重要文件被加密。

这是不法分子利用NSA黑客武器库泄露的“永恒之蓝”发起的蠕虫病毒攻击传播勒索恶意事件。恶意代码会扫描开放445文件共享端口的Windows机器，无需用户任何操作，只要开机上网，不法分子就能在电脑和服务器中植入勒索软件，远程控制木马、虚拟货币挖矿机等恶意程序。

经过安天CERT紧急分析，判定该勒索软件是一个名称为“WannaCry”的新家族，目前无法解密该勒索软件加密的文件。该勒索软件迅速感染全球大量主机的原因是利用了基于445端口传播扩散的SMB漏洞MS17-101，微软在今年3月份发布了该漏洞的补丁。2017年4月14日黑客组织Shadow Brokers（影子经纪人）公布的Equation Group（方程式组织）使用的“网络军火”中包含了该漏洞的利用程序，而该勒索软件的攻击者或攻击组织在借鉴了该“网络军火”后进行了些次全球性的大规模攻击事件。

当系统被该勒索软件入侵后，弹出勒索对话框：

图 1 勒索界面

加密系统中的照片、图片、文档、压缩包、音频、视频、可执行程序等几乎所有类型的文件，被加密的文件后缀名被统一修改为“.WNCRY”。

图 2 加密后的文件名

攻击者极其嚣张，号称“除攻击者外，就算老天爷来了也不能恢复这些文档”（该勒索软件提供免费解密数个加密文件以证明攻击者可以解密加密文件，“点击 <Decrypt> 按钮，就可以免费恢复一些文档。”该勒索软件作者在界面中发布的声明表示，“3天内付款正常，三天后翻倍，一周后不提供恢复”。）。现实情况非常悲观，勒索软件的加密强度大，没有密钥的情况下，暴力破解需要极高的运算量，基本不可能成功解密。

图 3 可解密数个文件

该勒索软件采用包括英语、简体中文、繁体中文等28种语言进行“本地化”。

图 4  28种语言

该勒索软件会将自身复制到每个文件夹下，并重命名为“@WanaDecryptor@.exe”。并衍生大量语言配置等文件：

c:\Users\gxb\Desktop\@Please_Read_Me@.txt

c:\Users\gxb\Desktop\@WanaDecryptor@.exe

c:\Users\gxb\Desktop\@WanaDecryptor@.exe.lnk

c:\Users\gxb\Desktop\b.wnry

c:\Users\gxb\Desktop\c.wnry

c:\Users\gxb\Desktop\f.wnryc:\Users\gxb\Desktop\msg\m_bulgarian.wnry

c:\Users\gxb\Desktop\msg\m_chinese(simplified).wnry

c:\Users\gxb\Desktop\msg\m_chinese(traditional).wnry

c:\Users\gxb\Desktop\msg\m_croatian.wnry

c:\Users\gxb\Desktop\msg\m_czech.wnry

c:\Users\gxb\Desktop\msg\m_danish.wnry

c:\Users\gxb\Desktop\msg\m_dutch.wnry

c:\Users\gxb\Desktop\msg\m_english.wnry

c:\Users\gxb\Desktop\msg\m_filipino.wnry

c:\Users\gxb\Desktop\msg\m_finnish.wnry

c:\Users\gxb\Desktop\msg\m_french.wnry

c:\Users\gxb\Desktop\msg\m_german.wnry

c:\Users\gxb\Desktop\msg\m_greek.wnry

c:\Users\gxb\Desktop\msg\m_indonesian.wnry

c:\Users\gxb\Desktop\msg\m_italian.wnry

c:\Users\gxb\Desktop\msg\m_japanese.wnry

c:\Users\gxb\Desktop\msg\m_korean.wnry

c:\Users\gxb\Desktop\msg\m_latvian.wnry

c:\Users\gxb\Desktop\msg\m_norwegian.wnry

c:\Users\gxb\Desktop\msg\m_polish.wnry

c:\Users\gxb\Desktop\msg\m_portuguese.wnry

c:\Users\gxb\Desktop\msg\m_romanian.wnry

c:\Users\gxb\Desktop\msg\m_russian.wnry

c:\Users\gxb\Desktop\msg\m_slovak.wnry

c:\Users\gxb\Desktop\msg\m_spanish.wnry

c:\Users\gxb\Desktop\msg\m_swedish.wnry

c:\Users\gxb\Desktop\msg\m_turkish.wnry

c:\Users\gxb\Desktop\msg\m_vietnamese.wnry

c:\Users\gxb\Desktop\r.wnry

c:\Users\gxb\Desktop\s.wnry

c:\Users\gxb\Desktop\t.wnry

c:\Users\gxb\Desktop\taskdl.exe

c:\Users\gxb\Desktop\taskse.exe

该勒索软件AES和RSA加密算法，加密的文件以“WANACRY!”开头：

加密如下后缀名的文件：

.PNG.PGD.PSPIMAGE.TGA.THM.TIF.TIFF.YUV.AI.EPS.PS.SVG.INDD.PCT.PDF

.XLR.XLS.XLSX.ACCDB.DB.DBF.MDB.PDB.SQL.APK.APP.BAT.CGI.COM.EXE

.GADGET.JAR.PIF.WSF.DEM.GAM.NES.ROM.SAV.CAD.DWG.DXF.GPX.KML

.KMZ.ASP.ASPX.CER.CFM.CSR.CSS.HTM.HTML.JS.JSP.PHP.RSS.XHTML.DOC

.DOCX.LOG.MSG.ODT.PAGES.RTF.TEX.TXT.WPD.WPS.CSV.DAT.GED.KEY

.KEYCHAIN.PPS.PPT.PPTX.INI.PRF.HQX.MIM.UUE.7Z.CBR.DEB.GZ.PKG.RAR

.RPM.SITX.TAR.GZ.ZIP.ZIPX.BIN.CUE.DMG.ISO.MDF.TOAST.VCD.TAR.TAX2014

.TAX2015.VCF.XML.AIF.IFF.M3U.M4A.MID.MP3.MPA.WAV.WMA.3G2.3GP.ASF

.AVI.FLV.M4V.MOV.MP4.MPG.RM.SRT.SWF.VOB.WMV.3DM.3DS.MAX.OBJ.BMP

.DDS.GIF.JPG.CRX.PLUGIN.FNT.FOX.OTF.TTF.CAB.CPL.CUR.DESKTHEMEPACK

.DLL.DMP.DRV.ICNS.ICO.LNK.SYS.CFG

注：该勒索软件的部分版本在XP系统下因文件释放未成功而未加密用户文件。