WannaCry
WannaCry(直译“想哭”[2][3]、“想解密”[4],俗名“魔窟”[5][6],或称WannaCrypt[7]、WanaCrypt0r 2.0[8][9]、Wanna Decryptor[10])是一种利用NSA的“永恒之蓝”(EternalBlue)漏洞利用程序透過互联网对全球运行Microsoft Windows操作系统的计算机进行攻击的加密型勒索軟體兼蠕虫病毒(Encrypting Ransomware Worm)。该病毒利用AES-128和RSA算法恶意加密用户文件以勒索比特币,使用Tor进行通讯[11],为WanaCrypt0r 1.0的变种[12]。
解密程序截图,Wanna Decrypt0r 2.0。 | |
日期 | 2017年5月12日 | 迄今
---|---|
地点 | 全球 |
类型 | 加密性勒索软件、電腦蠕蟲 |
主题 | 网络攻击、漏洞利用 |
参与者 | The Shadow Brokers |
结果 | 超过230,000台计算机受到影响[1],但目前受控 |
2017年5月,此程式大规模感染包括西班牙電信在内的许多西班牙公司、英国國民保健署[13]、聯邦快遞和德国铁路股份公司。据报道,至少有99个国家的其他目标在同一时间遭到WanaCrypt0r 2.0的攻击(截至2018年,已有大约150个国家遭到攻击)。[14][15][16][17]俄罗斯联邦内务部、俄羅斯聯邦緊急情況部和俄罗斯电信公司MegaFon共有超过1000台计算机受到感染。[18]於中国的感染甚至波及到公安机关使用的内网[19],国家互联网应急中心亦发布通报[20][21]。
WannaCry被认为利用了美国国家安全局的“永恒之蓝”(EternalBlue)工具以攻击运行Microsoft Windows操作系统的计算机。[17][9]“永恒之蓝”传播的勒索病毒以ONION和WNCRY两个家族为主[22]。“永恒之蓝”利用了某些版本的微软伺服器訊息區塊(SMB)协议中的數個漏洞,而當中最嚴重的漏洞是允許遠端電腦執行程式碼。修复该漏洞的安全补丁已經于此前的2017年3月14日发布[23],但并非所有计算机都进行了安装[24]。
背景
此次爆发的电脑恶意程序对漏洞的利用基于“永恒之蓝”()工具。黑客组织“影子掮客”()在2017年4月14日发布了一批从方程式组织()泄露的工具,其中便包括“永恒之蓝”[25][26][27];而方程式集团据信是属于美国国家安全局[28][29]。
永恒之蓝利用了Windows服务器消息块1.0(SMBv1)的數個漏洞,這些漏洞在通用漏洞披露(CVE)網站中分別被列為CVE-2017-0143至CVE-2017-0148。而就这些漏洞,微软公司已于2017年3月14日在TechNet發佈“MS17-010”的資訊安全公告,並向用户推送了Windows系统修复补丁“KB4013389”封堵此漏洞。[23]但因该補丁只適用於仍提供服务支持的Windows Vista或更新的作業系統(注:此补丁不支持Windows 8),較舊的Windows XP等作業系統並不适用。[23]不少用户也因各种原因而未开启或完成系统补丁的自动安装。
2017年4月21日起,安全研究者检测到数以万计被安装DoublePulsar后门的计算机[30],该后门是另一款从NSA外泄的黑客工具[31]。截至4月25日,感染该后门的计算机估计有几十万台,数字每天还在呈指数增长[32][33]。除EternalBlue外,WannaCry的本轮攻击也利用了这一名为DoublePulsar的后门[34][35]。
2017年5月12日[36],WannaCry在国际互联网开始广泛传播,感染了全球很多运行Windows系统的设备。该病毒进入目标主机之后,就会对主机硬盘和存储装置中许多格式的文件进行加密[37][38],然后再利用网络文件共享系统的漏洞,传播到任意的其他联网的主机[39],而处于同一局域网的相邻主机也会被感染。[40]这个漏洞不是零日攻击的漏洞(还没有补丁的安全漏洞),而微软早在2017年3月14日就推送了更新,封堵了这个漏洞。[23]与此同时,微软也通告用户,不要再使用老旧的第一代服务器消息块,应该以最新的第三代服务器消息块取而代之。[41]
没有及时下载这个补丁的Windows主机很可能被感染,而到目前为止,没有证据显示攻击者是有目标的进行攻击。还在运行已被微软淘汰的Windows XP的主机则非常危险,因为微软早已不对Windows XP提供安全更新与支持。[42]但由于此次事件的严重性,微软后已为部分已经淘汰的系统发布了漏洞修复补丁,Windows XP、Windows Server 2003和Windows 8用户都可从微软网站下载修复补丁[43]。但部分腾讯电脑管家用户因补丁遭到屏蔽而未能接受到安全更新,事后据官方回应,部分第三方修改系统安装补丁后可能致使蓝屏、系统异常,因此有部分用户补丁被屏蔽[44][45]。
影响
中国大陆
2017年5月12日晚,中国大陆內地部分高校学生反映电脑被病毒攻击,檔案被加密。病毒疑似透過教育网传播[46]。随后,山东大学、南昌大学、广西师范大学、桂林電子科技大學、大连海事大学、东北财经大学等十几家高校发布通知,提醒师生上网时注意防范[47][48]。除了教育网、校园网以外,新浪微博上不少用户反馈,北京、上海、江苏、天津等多地的出入境、派出所等公安网和政企专网也遭遇了病毒袭击,许多公安机关和政府部门由於勒索软件的影响被迫停止工作[49][50][51][52]。中国国家互联网应急中心发布关于防范WannaCry的情况通报,称全球约101.1万个IP地址遭受“永恒之蓝”SMB漏洞攻击工具的攻击尝试,发起攻击尝试的IP地址数量9300余个[53]。由于中国大陆个人网络用户的445网络端口大多已被网络运营商屏蔽,故该病毒对一般家庭用户影响不大[54]。而且病毒首轮传播时,中国正值週五夜晚,事发后许多安全软件已立即呼吁用户完成更新以抵抗病毒。
香港
截至香港時間2017年5月16日為止,香港電腦保安事故協調中心收到受加密勒索軟件「WannaCry」攻擊的報告,增至31宗,比15日多14宗。新增個案一宗來自商業機構,其餘是家庭用戶,大部分都是使用微軟Windows軟件或伺服器。其中家庭用戶多使用Windows 7;商業用戶涉及Windows 7及Windows 2008系統[55]。香港警方亦接獲3宗有關報案。[56][57]
台湾
此病毒也重創臺灣,爆發初期,受到感染的電腦使用者於PTT、Dcard等社群發文,而後臺灣媒體在2017年5月13日對此新聞作出大篇幅報導。
2018年8月3日台積電發生成立以來重大資安事件,造成竹科、中科與南科廠區停工,此次事件肇因為新機台在安裝軟體的過程中發生操作失誤。3日安裝新機台時並未將此機台於連結網路前先隔離確保無病毒,造成「WannaCry」變種病毒進入公司網路,令機台當機或是重複開機。此次受到感染的機台與自動搬運系統,以及相關的電腦系統,主要是使用Windows 7卻未安裝修正軟體於機台自動化介面,以致受影響的機台無法運作以及部分自動搬運系統無法正常運作。[58]
英国
勒索软件影响了英国医疗系统的运作。[59]由於勒索软件导致的系统瘫痪,部分常规手术被临时取消,救护车也被迫分流到其他未受到影响的医院。[16][60]英国国民保健署在2016年仍然有上千台电脑在使用Windows XP,[61]而Windows XP直到本次感染爆发之前并没有任何修复服务器消息块漏洞的补丁,这成为英国医疗系统受到攻击的原因之一。
病毒功能
以下以2017年5月第一次大规模传播的病毒版本为主;该病毒早前的一个版本曾于4月透過电子邮件和有害Dropbox链接传播,但没有利用Windows漏洞进行主动传播的能力[83]。
通过利用漏洞,病毒不需要打搅用户,可以静默获得操作系统的特权,然后得以在本地网络中传染。[84]
简而言之,程序在加载完成后会调用Windows的CryptoAPI,新生成一对2048位的RSA密钥。密钥对包括私钥和公钥,它们会被存储至被感染计算机;但解密时需要的私钥在存储前会使用程序自带的另一RSA公钥加密,该公钥对应的私钥由攻击者持有。[85]
随后程序会遍历存储设备(部分系统文件夹等除外[12]),加密特定扩展名的文件;程序在加密文件时使用AES算法,会为每一个文件随机生成一个128位AES密钥,密钥随后会被程序加载完后生成的RSA公钥加密,并在当前文件加密完后存储在该文件的头部[11]。程序还会调用命令提示符删除设备上的卷影副本(Shadow copy)备份[86]。早先有报道认为这一操作可能会引起UAC弹框而被用户注意到[87],但后续分析指出,病毒是通过内核漏洞注入系统进程来执行的,传染过程中并不会有UAC弹窗出现[88]。
加密过程结束后,病毒会把系统壁纸替换成英语告示[87],并显示一封提供28种语言版本的勒索信[60],其中部分可能使用了机器翻译[89][90]。程序要求用户支付与300至600美元等值的比特币[87][91],并在勒索信中給予被感染者3天期限,如若超過贖金會翻倍,超过一周仍未付款則會“撕票”[92]。在勒索信中,病毒还声称今后可能举行免费复活动,对是运气好且“半年以上没钱付款的穷人”[93]。
程序透過Tor匿名网络与攻击者的服务器连接[87]。此外,程序还会在计算机所属局域网内,隨機其他電腦SMB使用的TCP/UDP 445與139等埠以自我传播[40],并尝试用同樣方式随机感染互联网上的其他计算机[39]。
据思科分析,病毒在感染其他计算机时会尝试透過DoublePulsar后门安装[94]。而根据《连线》的报道,此病毒也会同时在计算机上安装该后门[17],现已有脚本可检测并移除[39]。
攻击者在程序中硬编码了至少3个比特币地址(或称“钱包”),以接收受害者的赎金[95],这些钱包的真实拥有者身份不明,但交易情况和余额是公开的。有人在Twitter上设置了一个机器人,以实时追踪这三个钱包收到的转账。[96]截至2017年5月14日 ,攻击者已获得约合3.2万美元的比特币[97]。
应对措施
防御
若想有效防御此蠕虫的攻击,首先应立即部署Microsoft安全公告MS17-010中所涉及的所有安全更新。Windows XP、Windows Server 2003以及Windows 8应根据微软的用户指导安装更新。
当不具备条件安装安全更新,且没有与Windows XP (同期或更早期Windows)主机共享的需求时,应当根据Microsoft安全公告MS17-010[98]中的变通办法[99],禁用SMBv1协议,以免遭受攻击。虽然利用Windows防火墙阻止TCP 445端口也具备一定程度的防护效果,但这会导致Windows共享完全停止工作,并且可能会影响其它应用程序的运行,故应当按照微软公司提供的变通办法[100]来应对威胁。
2017年5月第一次大规模传播时,署名为MalwareTech的英国安全研究员在当时的病毒中发现了一个未注册的域名,主因是病毒內建有傳播開關(Kill Switch),會向該域名發出DNS請求,用於測試病毒是否處於防毒軟件的虛擬運作環境中,由於該域名並沒有設置DNS,所以正常情況是不會有回應,若有回應就說明處於虛擬環境下,病毒會停止傳播以防被防毒軟件清除[101][102][103]。这名安全研究员花费8.29英镑注册域名后发现每秒收到上千次请求。在该域名被注册后,部分计算机可能仍会被感染,但“WannaCry的这一版本不会继续传播了”[104]。
然而需要注意的是,在部分网络环境下,例如一些局域网、内部网,或是需要透過代理服务器才能访问互联网的网络,此域名仍可能无法正常连接[105][39]。另外,有报道称该病毒出现了新的变种,一些变种在加密与勒索时并不检查这一域名[106][107][108]。
复原数据
該病毒會「读取源文件并生成加密文件,直接把源文件作删除操作」[109]。2017年5月19日,安全研究人员Adrien Guinet发现病毒用来加密的Windows API存在的缺陷,在非最新版操作系统(Windows 10)中,所用私钥会暂时留在内存中而不会被立即清除。他开发并开源了一个名为wannakey的工具,并称这适用于为感染该病毒且运行Windows XP的计算机找回文件,前提是该计算机在感染病毒后并未重启,且私钥所在内存还未被覆盖(这需要运气)[110]。后有开发者基于此原理开发了名为「wanakiwi」的软件,使恢复过程更加自动化,并确认该方法适用于运行Windows XP至Windows 7时期间的多款Windows操作系统[111]。一些安全厂商也基于此原理或软件开发并提供了图形化工具以帮助用户恢复文件[112][113]。
评论
一些人士批评与此事件有关联的美国国家安全局(NSA)。棱镜计划告密人爱德华·斯诺登称,如果NSA“在发现用于此次对医院进行攻击的缺陷时就进行私下披露,而不是等到丢失时才说,(此次攻击)就可能不会发生”[60]。微软总裁布拉德·史密斯则表示:“政府手中的漏洞利用程序一次又一次地泄露到公共领域,造成广泛破坏。如果用常规武器来说,这种情况等同于美军的战斧导弹发生失窃。”[114][115]
也有人士聚焦于网络安全意识方面。德国联邦信息安全办公室主任Arne Schönbohm声明道:“现在发生的攻击突显出我们的信息社会是多么脆弱。这对公司是一次警醒,是时候认真考虑IT安全了。”[116][117]美国外交关系协会数字和网络政策项目负责人亚当·谢加尔认为政府和私营部门的补丁和更新系统运转不正常,不是所有人都会在第一时间为系统漏洞打上补丁[118];半岛电视台在文章中引述观点称,许多企业的员工缺乏网络安全方面的训练[117]。《福布斯》网站上的一篇专栏文章则认为,该攻击生动地证明了安全备份和良好安全习惯的重要性,包括及时安装最新的安全更新[119]。英国首相特雷莎·梅也就此次攻击发表讲话,称英国国家网络安全中心正在与所有受攻击的机构合作调查[120]。特雷莎·梅还表示:“这不是针对国民保健署的攻击,这是国际性的攻击,全世界数以千计的国家和组织都受到了影响[121]。”
调查
2017年5月29日,据CNET引述美国安全公司Flashpoint发布的报告称,根据对病毒附带的28种语言撰写的勒索信的文法分析研究,病毒制造者有可能是一名中文母语者[122],其中文版勒索信文法道地,而英文版有一些语法错误,其他语言版本则更像是借助Google翻译以机器翻译而得[123]。在早前的5月16日,Google、卡巴斯基、闪点(Flashpoint)等多家安全公司的安全研究员曾发文认为,病毒的幕后黑手可能是源自朝鲜的“拉撒路组”(Lazarus Group)黑客组织[124],而据传该组织成员居于中国[122]。但奇虎360和安天的安全工程师认为闪点网络情报公司仅以语言判断是十分不专业的臆测行为,質疑其只是為了吸引目光焦點[125]。
2017年6月17日,据《华盛顿邮报》报道,NSA的内部报告认为此恶意软件来自朝鲜情报机关赞助的黑客团体,并对这份报告有“中等信心(moderate confidence)”。[126]英国国家网络安全中心(NCSC)也发布报告将此事件源头指向北韓的黑客团队[127][128]。
2017年10月,微软总裁布莱德·史密斯(Brad Smith)接受ITV采访称,他非常相信北韓是影响全球150个国家摧毁20万台电脑的幕后黑手[129]。
参考资料
- Cameron, Dell. . [2017-05-13]. (原始内容存档于2019-04-09).
- . BBC中文网. 2017-05-13 [2017-05-14].
- . 人民网. 新华社. 2017-05-15 [2017-05-15].
- . 搜狐. [2017-05-24]. 外部链接存在于
|title=
(帮助) - . 中国交通新闻网. 2017-05-15 [2017-05-20].
- . 安天实验室. [2017-05-20].
- MSRC Team. . Microsoft. [2017-05-13]. (原始内容存档于2017-05-21).
- Jakub Kroustek. . Avast Security News. Avast Software, Inc. 2017-05-12 [2017-05-14]. (原始内容存档于2019-05-05).
- Fox-Brewster, Thomas. . Forbes. [2017-05-12]. (原始内容存档于2018-06-28).
- Woollaston, Victoria. . WIRED UK. [2017-05-13]. (原始内容存档于2017-05-13) (英国英语).
- . [2017-05-14].
- . www.trendmicro.com. [2017-05-14] (英语).
- Marsh, Sarah. . The Guardian. 2017-05-12 [2017-05-13]. ISSN 0261-3077. (原始内容存档于2017-05-15) (英国英语).
- . digital.nhs.uk. [2017-05-13]. (原始内容存档于2017-05-19) (英国英语).
- Hern, Alex; Gibbs, Samuel. . The Guardian. 2017-05-12 [2017-05-13]. ISSN 0261-3077. (原始内容存档于2017-05-12) (英国英语).
- . BBC News. 2017-05-13 [2017-05-13]. (原始内容存档于2017-05-12) (英国英语).
- Larson, Selena. . CNNMoney. 2017-05-12 [2017-05-13]. (原始内容存档于2017-05-21).
- . RT International. [2017-05-13]. (原始内容存档于2017-05-12) (美国英语).
- cnBeta. . cnbeta. [2017-05-13] (中文(中国大陆)).
- . 国家互联网应急中心. 2017-05-13 [2017-05-13].
- . 新浪科技. 2017-05-13 [2017-05-13].
- 花子健. . 凤凰网. 2017-05-13 [2017-05-13] (中文).
- . technet.microsoft.com. 微软. 2017-03-14 [2017-05-13]. (原始内容存档于2017-05-21) (英语).
- 15:58, 12 May 2017 at. . [2017-05-13]. (原始内容存档于2017-05-19).
- Menn, Joseph. . Reuters. 2015-02-17 [2015-11-24]. (原始内容存档于2015-09-24).
- . Ars Technica. [2017-04-15]. (原始内容存档于2017-05-13) (美国英语).
- . GitHub. [2017-04-15] (英语).
- Fox-Brewster, Thomas. . Forbes. 2015-02-16 [2015-11-24]. (原始内容存档于2015-11-19).
- . Medium. 2017-04-14 [2017-04-15]. (原始内容存档于2017-05-18).
- Goodin, Dan. . ARS Technica. [2017-05-14] (英语).
- . BleepingComputer. [2017-05-14] (英语).
- Goodin, Dan. . ARS Technica. [2017-05-14] (英语).
- Broersma, Matthew. . Silicon. [2017-05-14]. (原始内容存档于2017-05-06) (英语).
- Cameron, Dell. . Gizmodo. 2017-05-13 [2017-05-15]. (原始内容存档于2019-04-09) (英语).
- . Forbes. 2017-05-13 [2017-05-15] (英语).
- Newman, Lily Hay. . Wired.com. [2017-05-13]. (原始内容存档于2017-05-19).
- . The Telegraph. [2017-05-12]. (原始内容存档于2017-05-12) (英国英语).
- Bilefsky, Dan; Perlroth, Nicole. . The New York Times. 2017-05-12 [2017-05-12]. ISSN 0362-4331. (原始内容存档于2017-05-12).
- Clark, Zammis. . Malwarebytes Labs. malwarebytes.com. [2017-05-13]. (原始内容存档于2017-05-17).
- Samani, Raj. . McAfee. [2017-05-13]. (原始内容存档于2017-05-13).
- JoseBarreto. . 微软. 2015-04-21 [2017-05-13]. (原始内容存档于2017-05-21).
- . www.microsoft.com. [2017-05-13]. (原始内容存档于2016-11-08).
- The Microsoft Security Response Center (MSRC). . blogs.technet.microsoft.com/msrc. 微软. 2017-05-13 [2017-05-13]. (原始内容存档于2017-05-21).
- Team, Discuz! Team and Comsenz UI. . bbs.guanjia.qq.com. [2017-05-15].
- . www.pingwest.com. [2017-05-16].
在腾讯电脑管家论坛关于此次WannaCry的官方知识贴中,主动解释了“为何微软3月发布的补丁会被屏蔽”
- 马卡. . IT之家. 2017-05-12 [2017-05-13].
- 仲平. . IT之家. 2017-05-13 [2017-05-13]. (原始内容存档于2017-07-24).
- 何利权. . 澎湃新闻. 2017-05-13 [2017-05-13]. (原始内容存档于2017-05-17).
- 远洋. . IT之家. 2017-05-13 [2017-05-13]. (原始内容存档于2017-05-16).
- . www.zerohedge.com. 2017-05-13 [2017-05-14]. (原始内容存档于2017-05-16) (英语).
- . 腾讯科技. 澎湃新闻. 2017-05-15 [2017-05-15].
- . 新浪网. [2017-05-15].
- . CNCERT. 2017-05-13 [2017-05-13].
- . 网易. 钛媒体. 2017-05-13 [2017-05-16].
- . 明報. 2017-05-17.
- . 電視廣播有限公司. 2017-05-16 [2017-05-16].
- . 明報. 2017-05-16 [2017-05-16].
- 王宏仁. . iThome. 2018-08-10 [2019-06-04] (中文(台灣)).
- . cbsnews.com. [2017-05-13]. (原始内容存档于2017-05-17) (英语).
- Wong, Julia Carrie; Solon, Olivia. . The Guardian. London. 2017-05-12 [2017-05-12]. (原始内容存档于2017-05-21) (英语).
- . Motherboard. [2017-05-13]. (原始内容存档于2017-05-18) (英语).
- . 2017-05-18.
- . 2017-05-15.
- . 快科技. 2017-06-22 [2017-06-25] (中文).
- . O Povo. 2017-05-13 [2017-05-13]. (原始内容存档于2017-05-21) (葡萄牙语).
- . Thestar.com. 2017-05-13 [2017-05-22]. 已忽略文本“ Toronto Star ” (帮助)
- . 2017-05-13 [2017-05-14]. (原始内容存档于2017-05-16).
- . france24.com. 2017-05-13 [2017-05-13]. (原始内容存档于2017-05-21) (西班牙语).
- . faz.net. 2017-05-13 [2017-05-13]. (原始内容存档于2017-05-16) (德语).
- . Times of India. 2017-05-13 [2017-05-13]. (原始内容存档于2017-05-14) (英语).
- . elperiodico.com. 2017-05-13 [2017-05-14]. (原始内容存档于2017-05-20) (西班牙语).
- . repubblica.it. 2017-05-12 [2017-05-13]. (原始内容存档于2017-05-17) (意大利语).
- (罗马尼亚文) . Libertatea. 2017-05-12 [2017-05-14]. (原始内容存档于2017-05-17).
- (罗马尼亚文) . Pro TV. 2017-05-13 [2017-05-14]. (原始内容存档于2017-05-16).
- . news.com.au. [2017-05-13]. (原始内容存档于2017-05-19).
- . ABC News. [2017-05-13]. (原始内容存档于2017-05-20).
- . Radio Liberty. [2017-05-13]. (原始内容存档于2017-05-16).
- . elperiodico.com. 2017-05-12 [2017-05-13]. (原始内容存档于2017-05-12) (西班牙语).
- Balogh, Csaba. . HVG. 2017-05-12 [2017-05-13]. (原始内容存档于2017-05-13) (匈牙利语).
- . blognone.com. 2017-05-13 [2017-05-14] (泰语).
- .
- . Observador. 2017-05-12 [2017-05-13]. (原始内容存档于2017-05-12) (葡萄牙语).
- . TrendLabs Security Intelligence Blog. 2017-05-12 [2017-05-15] (英语).
- . [2017-05-13]. (原始内容存档于2017-05-13).
- Trustlook. . Trustlook. 2017-05-14 [2017-05-14]. (原始内容存档于2017-05-17) (英语).
- . Windows Security. [2017-05-15] (英语).
- . securelist.com. [2017-05-14] (英语).
- https://www.fireeye.com/blog/products-and-services/2017/05/wannacry-ransomware-campaign.html
- . . [2017-05-14] (日语).
- Lee, Dave. . BBC中文网. 2017-05-16 [2017-05-16] (中文(简体)).
而要求赎金的文本使用了机器翻译的英文
- . Ars Technica. [2017-05-14]. (原始内容存档于2017-05-12) (英语).
- . Symantec Security Response. [2017-05-14] (英语).
- . [2017-05-14] (英语).
- . blog.talosintelligence.com. [2017-05-15] (英语).
- (PDF). [2017-05-23]. (原始内容 (PDF)存档于2017-05-21).
- Collins, Keith. . Quartz. [2017-05-14] (英语).
- . 新浪科技. 2017-05-14 [2017-05-15].
- .
- .
- .
- . Unwire.hk. 2017-05-15 [2017-05-15]. (原始内容存档于2017-05-15) (中文).
- Francisco, Nadia Khomami Olivia Solon in San. . The Guardian. 2017-05-13 [2017-05-15]. ISSN 0261-3077. (原始内容存档于2019-05-23) (英语).
- . [2017-05-14].
- . [2017-05-14]. (原始内容存档于2017-05-13).
- McCausland, Phil; Petulla, Sam. . NBC News. [2017-05-14] (英语).
- Khandelwal, Swati. . The Hacker News. [2017-05-14] (英语).
- . SPIEGEL ONLINE. [2017-05-14] (英语).
- Shieber, Jonathan. . TechCrunch. [2017-05-14] (英语).
- . 搜狐. 2017-05-15 [2017-05-18]. (原始内容存档于2017-08-05).
- . 2017-05-19 [2017-05-21].
- . engadget. 2017-05-19.
- 安天发布魔窟WannaCry蠕虫解密工具,微信公众号文章的存档
- . 阿里云. [2017-05-21].
- . The Guardian. 2017-05-14 [2017-05-15] (英语).
- Smith, Brad. . microsoft.com. Microsoft. [2017-05-14]. (原始内容存档于2017-05-16) (英语).
- . heise online. [2017-05-14] (德语).
- . Al Jazeera. [2017-05-14]. (原始内容存档于2018-10-17) (英语).
- Helmore, Edward. . The Guardian. 2017-05-13 [2017-05-14] (英语).
- Coughlin, Tom. . Forbes. [2017-05-14] (英语).
- . 央视网. [2017-05-15] (中文(中国大陆)).
- Smith-Spark, Laura; Veselinovic, Milena; McGann, Hilary. . CNN. [2017-05-13].
- . 网易科技. [2017-05-29].
- . 东网. 东方报业. [2017-05-30].
- 威锋网. . 搜狐. 2017-05-16 [2017-05-29].
- . 中国日报网. 2017-06-10 [2017-06-17].
- . 华盛顿邮报. 2017-06-14 [2017-06-17].
- . [2017-06-17].
- IT之家. . 搜狐. [2017-06-17].
- N. Korea stole cyber tools from NSA, carried out WannaCry ransomware attack – Microsoft chief
- . 東森新聞. 2017-05-16.
- .
外部链接
维基共享资源中相关的多媒体资源:WannaCry |
- Microsoft安全公告MS17-010
- 用户指导 页面存档备份,存于(微软中国翻译)
- 微软恶意软件防护中心上Ransom:Win32/WannaCrypt相关资料(英文)
- 勒索软件席卷全球国内多种网络系统中招 - 新浪网专题(简体中文)
- MalwareTech网站发布的WannaCry世界各地感染实况(英文)
- 香港電腦保安事故協調中心WannaCry (WannaCrypt)加密勒索軟件加密受害者數據