这几天，利用“EternalBlue”（永恒之蓝）漏洞进行传播的Wannacry病毒正在全球疯狂作恶，而我们的身边也开始受到这一新型勒索软件病毒带来的影响。

二手房源服务器被攻击：系统查询受影响

范先生创业的成都公司为一家小型二手房中介做信息系统服务。5月13日下午，接到客户反馈说怎么系统速度越来越慢了，范先生登录一看，服务器端被入侵了，要求支付价值300美元的比特币，如上图。

二手房中介的这个信息系统一般隔一周到半个月会进行一次数据本地保存。而最新的信息上传到服务器端保存，而服务器被攻击后，最新的信息目前就无法查看。因为涉及到几千条房源信息，导致中介的看房、查房工作都不能正常处理。

“1000万只草泥马飘过，大神救命。”范先生在朋友圈里求助，这两天也联系了圈内一些技术专家，但5月15日下午虎哥联系他时，其服务器系统仍然没有完全恢复。

大公司排队打补丁：一整天工作效率受影响

周一早上一上班，IT与金融机构的朋友纷纷反映公司都在忙着给机器打补丁，影响了工作效率。其实如果几十台电脑还好，那要是一个公司上千台电脑手工打补丁，请脑补一下这工作量。

春熙路附近一栋写字楼内入驻了一家大型国企，为防范该病毒，从今天早上上班开始该公司内网就断网维护。急需上网工作的部分公司职员，只好先去外面网吧上网工作。

楼内所有的公司职员们被要求先拔个人电脑网线再开机备份重要文件，之后公司网管统计好所有电脑的操作系统型号，再拿着装有针对系统的补丁的U盘，给公司电脑分批次挨个打补丁和封闭445端口。

必须吐槽的是，因为要一层层楼的恢复网络，而一层楼所有公司的电脑均完成打补丁并要签字确认，结果有子公司网管做完所有工作之后，发现隔壁兄弟公司的大量电脑还在缓慢进度条中，原来说好的12:00恢复网络，到下午近5点才恢复，真是想把作恶黑客揪出来暴打一顿的心都有了。

医院、交管、户籍系统忙维护：市民公共服务受影响

医院：

不仅是公司，在成都，勒索软件的危害还在不断加深，已经渗入医疗、交通、户籍等多个公共服务领域。

目前勒索软件已对成都市多家医院及相关单位造成影响，四川大学华西公共卫生学院官方网站就发布消息，该院已紧急切断外网的联接，院内所有电脑均先安装操作系统补丁进行预防。

到发稿前，虎哥了解的最新消息是，周末四川省内受过该病毒攻击的卫生单位已经恢复了正常办公，另外像川大华西第二医院这样在信息安全方面措施完善的单位，由于安装了堡垒机、防火墙、网匣等安全设备，勒索软件出现后并未受到影响。

此次勒索软件事件也是对四川医疗管理体系的一次大考。据媒体报道，四川省卫生和计划生育委员会信息统计处负责人表示，从5月12号晚上全球爆发大规模勒索软件后，次日四川省卫生和计划生育委员会便做好了应急预案的启动准备，同时紧急通知该单位的网站、健康四川等平台做好防范措施。5月13日傍晚，收到国家卫生计生委正式文件后，启动应急预案，关闭机关对外连接网络，并通知各市州卫生计生部门和省卫计委直属单位采取有效措施防范。

交管、户籍等民生服务：

昨天上午包括成都在内，四川多地交管、户籍等民生服务系统受到病毒影响，一些辖区的办证大厅电脑处于紧急维护中，耽误了不少市民的工作。

绵阳交警通过官方微博发布提示，交警大队对交管服务大厅的电脑、工作站进行了紧急维护。眉山东坡区党务政务服务中心也贴出通知，暂停办理所有户籍业务，展开计算机维护工作。达州各市县级车管所、各社会化考场、各机动车登记服务站，今日暂停办理各项车驾管业务......

不仅如此，成都市某地政务服务窗口也出现了“电子疫情”，办证中心的电脑紧急维护中，一时无法全面办理业务；从昨天开始成都东二环的一家中石油加油站就断网，顾客刷卡付款、加油卡充值等业务被迫暂停。

运营商提前堵住端口：SOC阻挡病毒传播

作为网络通信的总阀门，电信运营商在此次勒索软件事件中又有哪些措施呢？

针对本次勒索软件病毒传播的445端口，中国电信四川分公司在2010年已经实施封堵，有效避免病毒经过互联网途径传播到该公司用户，这也让中国电信四川分公司的公众上网用户受勒索软件影响不大。

早在2010年成立SOC（网络安全操作维护中心）就开始制定网络安全防护体系，对网络常见攻击进行深入研究，制定针对网络设备、操作系统、数据库、应用层安全防护策略、有效阻止各种病毒、木马的传播途径。鉴于本次病毒危害性较大，在病毒发生后中国电信也积极巡检设备、制定应急预案、普及防护措施，避免该公司的公众上网用户遭受该病毒入侵。

本地安全公司开发恢复工具：勒索病毒有2种加密方式

从事数据恢复的四川效率源信息安全技术股份公司5月14日在官微中公布，针对本次爆发的“永恒之蓝”勒索病毒，效率源科技连夜组织技术工程师对病毒进行研究和破解，分析出“永恒之蓝”勒索病毒的加密方式，并推出免费数据恢复产品。虎哥今天在电话咨询其技术人员时，被告知目前发布的工具主要针对数据库和文档文件，但并不能保证中招的电脑100%恢复。

这家公司成都设有研发中心，2017年4月曾发布了“勒索BT币服务器数据库恢复工具”，对感染了Wallet勒索病毒的多家企业进行关键数据恢复。对这次“永恒之蓝”勒索病毒的加密方式，其认为主要有两种：

1、对于大于0x180000字节（1.5MB）的文件，是按照正常文件总大小整除3，得到每个间隔块大小M，将文件分为M、2M大小的两个间隔块，每个间隔块的前512扇区被填0，被加密的512扇区都会被填0，并将加密的多个512扇区写入到文件尾部。

该类文件数据大多数没有被加密，特别是数据库之类的大文件，可以直接使用效率源“勒索BT币服务器数据库恢复工具”进行数据库记录提取，其准确率在93%以上。

针对特殊格式的文档，如docx文档，可进行碎片恢复。目前效率源已开发出免费工具——“永恒之蓝”比特币勒索Office数据恢复工具V1.0。

2、对于小于0x180000字节的文件，其全部内容都进行了加密，但是在加密小文件时，会先加密，再删除原文件。因此，如果计算机被加密，对于一些小文件，可以使用专业数据恢复软件，如效率源DRS数据恢复系统、R-Studio、WinHex等进行数据恢复。

需要注意的是：此类文件恢复成功率，会受到文件数量、时间、磁盘操作情况等因素影响。一般来说，中毒后越早恢复，成功的几率越高。

网络尖刀创始人曲子龙：建议不要交赎金

民间信息安全组织“网络尖刀”创始人、“知安”创始人曲子龙谈到了关于这一事件的很多新颖观点。虎哥经过其允许摘录如下：

1、漏洞命名

这个漏洞的名字是“Wannacry”，不建议叫比特币病毒，至于一些媒体提及这是“首例”大规模的比特币敲诈病毒，其实2015年就爆发过“CTB-Locker”，来自俄罗斯黑客。

2、受感染设备范围

影响微软全系列系统，Vista、XP、Win7、Win8.1、Win10、Server 2003、Server 2008、Server 2012、Server 2016几乎无一幸免，由于很多早期的终端机其实内置的都是WIN7 或者XP系统，除了电脑主机、服务器被感染外，一些机场取票机、电影院取票机、银行排号机、实验室控制演示终端、机场/高速公路/商场广告屏、医院/教育民众服务终端，这些都有可能因为使用了WIN7/XP系统导致躺枪或存在躺枪风险；

3、交赎金靠谱吗？

建议不要这样干，尤其是那些不连外网却又通过U盘感染蠕虫躺枪的设备，解密是外网的，你给了也没用，一堆人盯着勒索服务器，有关部门肯定不会让其优雅的联网。

4、容易抓到作者吗？

作者为了隐藏自己，所以支付赎金要在Tor中进行联络，由于Tor网络是随机匿名并且加密传输的，再加上比特币也是完全匿名，所以对敲诈者起到了一定的保护作用，以前规模不大的时候确实不是特别容易定位到人，侦破是有很高的难度，但是这次影响巨大，动用的资源和人力不同，还真的不好说，不过应该不是短时间能解决的问题；

5、苹果真的没事儿吗？

虎哥的朋友圈里也看到苹果的用户在为自己系统的安全性叫好。但曲子龙认为，除了iCloud账户泄露，Mac / iPhone 被锁死，其实苹果在去年3月份也一样遭遇过通过加密电脑文件、使用比特币作为赎金的勒索攻击，感兴趣的可以看“KeRanger”

应急处理

那么未中毒和已经中毒的用户需要如何处理呢？曲子龙给大家支招：

未中毒用户

大部分的建议都是关闭445及关联的135、137、138、139端口的外部网络访问权限；微软其实对此在3月中旬就已经出了补丁，家用电脑打补丁即可（360和电脑管家都推出了先关的补丁）。打开电脑第一件事儿是先断网，关闭端口后再恢复网络打补丁。

已中毒用户

如果有重要数据就找个闲置存储设备，备份一下被加密的文件，直接重新装个系统，土豪用户有重要数据，就直接换硬盘；

如果是使用WIN的云服务器，那么看看是否有快照，直接恢复快照然后打补丁最靠谱，避免因为遭受病毒攻击，业务持续无法恢复，导致时间推移产生更多的损失。

天虎科技 罗曙驰 杨程