如何看待 WannaCrypt0r 還沒有結束？

01-07

The Hacker News 的最新顯示：It』s Not Over, WannaCry 2.0 Ransomware Just Arrived With No amp;#x27;Kill-Switchamp;#x27;
威脅情報的最新變種消息：https://zhuanlan.zhihu.com/p/26917340

看著很多人還在鼓吹關閉更新不打補丁，「補丁有害論」，去聽各種奇怪的方案，就能知道還遠沒有結束。

看著微博上藉機崛起的各類ID「xx黑客」，看著他們指點江山，就知道遠沒結束。

看著部分沒中招的高校和單位還是沒當回事，就知道還沒結束。

一個Wannacry結束了，還有千千萬萬個Wannacry要來，因為有利可圖，還如此「輕易」。

————

另:

非Windows用戶也別鬆一口氣，針對mac/Linux 的勒索病毒早就有了。

安全意識不行，用哪個平台都一樣。

——————

貼一張教主和雲舒的觀點，很直接。

2017年5月16日繼續更新：

確實還沒結束，現在各種奇怪的變種都出現了，有些甚至沒有傳染力，不知道製作者怎麼想的。

好消息是更大規模的爆發並沒有出現，也許是因為大家都有了準備，也或者是因為其他的漏洞沒有那麼容易傳播。

壞消息是之前公開NSA漏洞工具的「影子經紀人」宣布要繼續公開更多的漏洞和工具。

以下是2017年5月15日的更新：更新一下，多個不受域名控制的樣本被卡巴斯基自己承認是誤報，但不能排除後續不會出現類似變種，以及即使有域名控制，內網機器也可能無法訪問到域名。

以下是2017年5月14日的正文：

確實沒結束

1.明天是周一，病毒爆發後的第一個工作日，不少電腦這兩天處於關機狀態，明早一開機會如何，誰也不知道；

2.可能大家都太愛這種「危機時刻一個凡人英雄跳出來拯救世界」的戲碼了，但跟某些媒體宣傳的不同，「英國小哥」隨手註冊的域名並不能封殺所有的病毒變種，當前存在多個樣本不受域名的控制，未來也不能排除出現變種能夠對抗現有的其他控制措施；

3.美國國家安全局外泄的漏洞不止「永恆蔚藍」一個，可以用來製作勒索病毒的漏洞也不僅僅來自NSA，現在被大家看到的僅僅是冰山一角，潘多拉的魔盒一旦打開，想要把災禍收回去談何容易；

正如安在公眾號一個月前所預測的那樣：「暗網」和「比特幣」呵護下的黑產帝國，勒索漸成網路犯罪巨頭http://mp.weixin.qq.com/s/OX-yG-ru0FRDuYQvI_e1AA

這並不是結束，僅僅是一個開始，歡迎來到數字世界。

今天提到這件事，辦公室幾個同事的反應：

同事A：不就是美國國安局被幹了，中國沒事兒。

同事B：玩比特幣的才會中招，少玩那些東西就行了。

公司信息安全部的反應，全集團發郵件：

勒索病毒信息安全通告：

針對…………請大家

1、增強個人主機病毒防範意識，不隨意打開未知來源的文件；

2、關閉移動存儲自動播放功能；

3、不要點擊不明郵件內的鏈接信息。

也是沒啥好說的了……同事也上知乎，匿了

微博上的「圈內人」連rsa都能拼錯的時候我就知道這事沒完了。

看看人家病毒的漢化！多麼重視中國市場！

大陸同步首發，帶中文，不鎖區，不靠配置，大陸同步更新，還不漲價。

就連收費方式都是先免費體驗，然後一次付費。良心品質啊！

為滿足各種人群。收費價格還有多重摺扣！

稍微有點安全意識，升級系統到最新的win10，不要關閉win10的自動更新，那麼這次風波一點都不會關係到自己。不要大驚小怪，NSA的工具泄露也是偶然事件，並且這個漏洞在補丁都打了一個多月了，這個病毒是專針對未打補丁的機器的。對於那些把自動更新關閉的用戶，天知道還會有什麼樣的病毒再次侵襲你的電腦。

多嘴一句，從形式上來講，通過RSA加密文件進行敲詐勒索的病毒早就出現了，這本身是與RSA同期出現的事情了。

因此這不是第一個RSA加密勒索病毒，但也絕不會是最後一個，而eternal blue也不可能是最後一個被利用的漏洞...

回想起當年衝擊波和震蕩波的時候了。都是利用已經有補丁的漏洞，依然可以大殺特殺。整個互聯網的安全水平並沒有提高嘛。

黑客產業化這事也已經很多年了，出這種蠕蟲＋勒索是遲早的。

CPU里加入AES指令集之前估計沒人會這麼搞，畢竟純軟體的加密太慢了，一下就露餡了。

看到這句話莫名鬆了口氣。

這是我在朋友圈發的最後的警告,

也是我最後的預言.

雖然周圍人從一開始就不相信我。

從爆發到現在一直在追蹤，逆向，分析到現在，真的很累。

這次攻擊的核心不在於攻擊載荷，而是載具。

只要漏洞一天不補，各種的病毒都可以入侵。

二次攻擊比第一輪還危險。

而且，這個時候謠言和流氓軟體四起，謹防病急亂投醫。js驅動的勒索病毒同樣可怕。

補完漏洞的人往往會疏忽大意。

說實話，我感覺接下來的時間比病毒爆發的時候甚至更危險。最壞的情況下，這次爆發只是開始。

我告誡了我認識的所有人，做好防護措施，千萬別亂點。也別指望破解加密的軟體。

你看現在市面上的勒索軟體只有幾個比特幣地址，搞不好病毒源頭只有一個比特幣地址，被其它黑產者拿到之後改了下收款錢包地址又繼續放出來，這個新的變種根本不是原作者乾的也說不定。

微軟的每個高危漏洞都有可能被利用，只有我們自己防禦好，並且響應快，才能保證自己的安全，大規模蠕蟲以前有過，勒索病毒也出現了很長時間了，而且我想說的不僅僅是針對這個病毒，不同的病毒有不同的傳播方式和隱藏方式，來來來，下次白加黑病毒你怎麼防禦？下次碰上網站掛馬怎麼防禦，安全思想的麻痹導致後果如此慘痛，你是小白沒這本事？你以為360幹嘛的，全民防禦才是真的防禦，你去問問周圍的人這次事件的涉及的補丁號，埠號幾個說的準的，再來告訴我如何建立全民安全。願每天都有新的病毒來洗禮，讓裸奔的人玩完。

結束?看網上一群人還在刷無所畏懼，刷病毒儘管來鎖，反正沒值錢的資料什麼的，對網路安全沒有一點敬畏之心，這能結束只有一條路子，去朝鮮

很多人人就是這樣的，不管其他人情況多嚴重，反正自己不到懸崖是不怕死的

怕不是自己電腦都已經成了肉雞被人拿去網上賣，還在那無所畏懼呢

順便還有一個，補丁再強，也補不了有些人就喜歡手賤亂下插件（比如看小X片用的）的毛病

預測第二波WannaCry勒索病毒攻擊即將到來！

NSA黑客武器庫泄漏的「永恆之藍」發起的病毒攻擊事件。
解決方案：勒索蠕蟲病毒文件恢復工具
檢測工具下載

關於永恆之藍（MS17-010）漏洞

如果攻擊者向 Windows SMBv1 伺服器發送特殊設計的消息，那麼其中最嚴重的漏洞可能允許遠程執行代碼。

繼續呈高危感染態勢，雖然WannaCry蠕蟲傳播被臨時「制止」了，但這隻能阻止其通過網路繼續感染傳播，並不能防止本機中毒被加密勒索。而且，從當前情況來看，我國還在處於感染傳播嚴重階段，從malwaretech動態圖分析，我國華東多個地區內還繼續有WannaCry感染情況。

升級版的WannaCry2.0將會繼續發起攻擊，這還沒完，攻擊者可能還會發起第二波WannaCry攻擊，新一波的變異WannaCry程序將不會內置「緊急開關」（kill switch）了，到時這種WannaCry升級版的傳播感染態勢將不可預計。儘快利用這段時間及時處理修復阻止。

作為攻擊者來說，只需要使用十六進位編輯器簡單更新一下程序，刪除那個所謂的緊急開關或進行其它的功能更新，這就是一個升級版的WannaCry2.0，所以，下一波攻擊將難以避免。在未來幾周或數月內，我們將會看到不同的WannaCry變體傳播。WannaCry不僅僅可以當成蠕蟲病毒，它還可以被其它惡意軟體利用，或搭載漏洞利用Payload發起多種形式的攻擊。

借用一句經典。It is not even the beginning of the end.But it is perhaps the end of the beginning.

周一說不定出現這樣的場景，大家上班一開機，一聲聲哀壕響起，然後可以提前下班了好開心。不知道會不會出現新的變種，感染電腦之後，利用手機的漏洞攻擊同區域網內的手機，要知道應該也有很多人的手機常年不打補丁，而且這些人群重合度極高。安全的意識果然靠教育是沒有效果的，只有經歷了真真切切的恐懼才會引起重視

如果是戰爭，中國已經輸了。

我的很多初中同學，還在等救世的「紅客」

也許這事對我來說可有可無（win10 1703+粗散生) 但是當我到學校準備信息考試時老師用一句「怕中病毒」把我打發了。。。

為啥學校教務系統還不中毒。。。。急

觀念不變，傳播依然快，周圍很多人都完全不知道wannacry病毒在傳播，偶爾有人知道卻說不過是一個玩笑而已，顯然他們都沒有意識到事情的嚴重性

畢竟不是在自己電腦上出的問題

況且各路大佬依舊再說不用更新安全補丁balabala的言論

最關鍵一條！作者應該是沒有玩夠！玩心太大