信息来源：比特网

当你看到这个界面时，你就已经“中招”了。

近日，全球多家组织和机构遭到了严重的勒索软件攻击，西班牙的Telefonica、英国的国民保健署以及美国的FedEx等组织纷纷中招。发起这一攻击的恶意软件是一种名为“WannaCry”的勒索软件变种。思科网络安全专家团队Talos的专家Martin Lee撰文，从技术角度分析了“WannaCry”勒索软件的入侵手段和应对措施。

该恶意软件会扫描电脑上的TCP 445端口，以类似于蠕虫病毒的方式传播，攻击主机并加密主机上存储的文件，然后要求以比特币的形式支付“赎金”。

此外，Talos还注意到WannaCry样本使用了DOUBLEPULSAR，这是一个由来已久的后门程序，通常被用于在以前被感染的系统上访问和执行代码。这一后门程序允许在系统上安装和激活恶意软件等其他软件。它通常在恶意软件成功利用SMB漏洞后被植入，后者已在Microsoft安全公告MS17-010中被修复。在Shadow Brokers近期向公众开放的工具包中，一种攻击性漏洞利用框架可利用此后门程序。自这一框架被开放以来，安全行业以及众多地下黑客论坛已对其进行了广泛的分析和研究。

WannaCry似乎并不仅仅是利用与这一攻击框架相关的ETERNALBLUE（永恒之蓝）模块，它还会扫描可访问的服务器，检测是否存在DOUBLEPULSAR后门程序。如果发现有主机被植入了这一后门程序，它会利用现有的后门程序功能，并使用它来通过WannaCry感染系统。如果系统此前未被感染和植入DOUBLEPULSAR，该恶意软件将使用ETERNALBLUE尝试利用SMB漏洞。这就造成了近期在互联网上出现的大规模类似蠕虫病毒的活动。

组织和机构应确保运行Windows操作系统的设备均安装了全部补丁，并在部署时遵循了最佳实践。此外，组织和机构还应确保关闭所有外部可访问的主机上的SMB端口（139和445）。

请注意，针对这一威胁我们当前还处于调查阶段，随着我们获知更多信息，或者攻击者根据我们的行动作出响应，实际情况将可能发生变化。Talos将继续积极监控和分析这一情况，以发现新的进展并采取相应行动。因此，我们可能会制定出新的规避办法，或在稍后调整和修改现有的规避办法。