WannaCry

此條目介紹的是2017年5月12日開始流行的電腦軟體。關於有勒索行為的軟體，請見「勒索軟體」。

WannaCry（直譯「想哭」^[2][3]、「想解密」^[4]，俗名「魔窟」^[5][6]，或稱WannaCrypt^[7]、WanaCrypt0r 2.0^[8][9]、Wanna Decryptor^[10]）是一種利用NSA的「永恆之藍」（EternalBlue）漏洞利用程式透過網際網路對全球執行Microsoft Windows作業系統的電腦進行攻擊的加密型勒索軟體兼蠕蟲病毒（Encrypting Ransomware Worm）。該病毒利用AES-128和RSA演算法惡意加密使用者檔案以勒索比特幣，使用Tor進行通訊^[11]，為WanaCrypt0r 1.0的變種^[12]。

WannaCry

解密程式截圖，Wanna Decrypt0r 2.0。
日期	2017年5月12日 (2017-05-12)－2017年5月15日 (2017-05-15)
地點	全球
類型	加密性勒索軟體、電腦蠕蟲
主題	網路攻擊、漏洞利用
參與者	The Shadow Brokers
結果	超過230,000台電腦受到影響[1]，但目前受控

2017年5月，此程式大規模感染包括西班牙電信在內的許多西班牙公司、英國國民保健署^[13]、聯邦快遞和德國鐵路股份公司。據報道，至少有99個國家的其他目標在同一時間遭到WanaCrypt0r 2.0的攻擊（截至2018年，已有大約150個國家遭到攻擊）。^{[14][15][16][17]}俄羅斯聯邦內務部、俄羅斯聯邦緊急情況部和俄羅斯電信公司MegaFon（英語：MegaFon）共有超過1000台電腦受到感染。^[18]於中國大陸的感染甚至波及到公安機關使用的內網^[19]，國家互聯網應急中心亦發布通報^[20][21]。

WannaCry被認為利用了美國國家安全局的「永恆之藍」（EternalBlue）工具以攻擊執行Microsoft Windows作業系統的電腦。^[17][9]「永恆之藍」傳播的勒索病毒以ONION和WNCRY兩個家族為主^{[22][需要較佳來源]}。「永恆之藍」利用了某些版本的微軟伺服器訊息區塊（SMB）協定中的數個漏洞，而當中最嚴重的漏洞是允許遠端電腦執行程式碼。修復該漏洞的安全修補程式已經於此前的2017年3月14日發布^[23]，但並非所有電腦都進行了安裝^[24]。

背景

此次爆發的電腦惡意程式對漏洞的利用基於「永恆之藍」（EternalBlue）工具。駭客組織「影子掮客」（The Shadow Brokers）在2017年4月14日發布了一批從方程式組織（Equation Group）洩露的工具，其中便包括「永恆之藍」^[25][26][27]；而方程式集團據信是屬於美國國家安全局^[28][29]。

永恆之藍利用了Windows伺服器訊息區塊1.0（SMBv1）的數個漏洞，這些漏洞在通用漏洞披露（CVE）網站中分別被列為CVE-2017-0143至CVE-2017-0148。而就這些漏洞，微軟公司已於2017年3月14日在TechNet發佈「MS17-010」的資訊安全公告，並向使用者推播了Windows系統修復修補程式「KB4013389」封堵此漏洞。^[23]但因該補丁只適用於仍提供服務支援的Windows Vista或更新的作業系統（註：此修補程式不支援Windows 8），較舊的Windows XP等作業系統並不適用。^[23]不少使用者也因各種原因而未開啟或完成系統修補程式的自動安裝。

2017年4月21日起，安全研究者檢測到數以萬計被安裝DoublePulsar（英語：DoublePulsar）後門的電腦^[30]，該後門是另一款從NSA外洩的駭客工具^[31]。截至4月25日，感染該後門的電腦估計有幾十萬台，數字每天還在呈指數增長^[32][33]。除EternalBlue外，WannaCry的本輪攻擊也利用了這一名為DoublePulsar的後門^[34][35]。

2017年5月12日^[36]，WannaCry在國際網際網路開始廣泛傳播，感染了全球很多執行Windows系統的裝置。該病毒進入目標主機之後，就會對主機硬碟和儲存裝置中許多格式的檔案進行加密^[37][38]，然後再利用網路檔案分享系統的漏洞，傳播到任意的其他聯網的主機^[39]，而處於同一區域網路的相鄰主機也會被感染。^[40]這個漏洞不是零日攻擊的漏洞（還沒有修補程式的安全漏洞），而微軟早在2017年3月14日就推播了更新，封堵了這個漏洞。^[23]與此同時，微軟也通告使用者，不要再使用老舊的第一代伺服器訊息區塊，應該以最新的第三代伺服器訊息區塊取而代之。^[41]

沒有及時下載這個修補程式的Windows主機很可能被感染，而到目前為止，沒有證據顯示攻擊者是有目標的進行攻擊。還在執行已被微軟淘汰的Windows XP的主機則非常危險，因為微軟早已不對Windows XP提供安全更新與支援。^[42]但由於此次事件的嚴重性，微軟後已為部份已經淘汰的系統發布了漏洞修復修補程式，Windows XP、Windows Server 2003和Windows 8使用者都可從微軟網站下載修復修補程式^[43]。但部份騰訊電腦管家使用者因修補程式遭到封鎖而未能接受到安全更新，事後據官方回應，部份第三方修改系統安裝修補程式後可能致使藍畫面、系統異常，因此有部份使用者修補程式被封鎖^[44][45]。

影響

首輪受到攻擊的國家及地區

中國大陸

2017年5月12日晚，中國大陸內地部份高校學生反映電腦被病毒攻擊，檔案被加密。病毒疑似透過教育網傳播^[46]。隨後，山東大學、南昌大學、廣西師範大學、桂林電子科技大學、大連海事大學、東北財經大學等十幾家高校發布通知，提醒師生上網時注意防範^[47][48]。除了教育網、校園網路以外，新浪微博上不少使用者回饋，北京、上海、江蘇、天津等多地的出入境、派出所等警方內部網路和政企專網也遭遇了病毒襲擊，許多警方部門和政府部門由於勒索軟體的影響被迫停止工作^{[49][50][51][52]}。中國國家互聯網應急中心發布關於防範WannaCry的情況通報，稱全球約101.1萬個IP位址遭受「永恆之藍」SMB漏洞攻擊工具的攻擊嘗試，發起攻擊嘗試的IP位址數量9300餘個^[53]。由於中國大陸個人區域網路絡使用者的445網路埠大多已被網路業者封鎖，故該病毒對一般家庭使用者影響不大^[54]。而且病毒首輪傳播時，中國大陸正值週五夜晚，事發後許多安全軟體已立即呼籲使用者完成更新以抵抗病毒。

香港

截至香港時間2017年5月16日為止，香港電腦保安事故協調中心收到受加密勒索軟體「WannaCry」攻擊的報告，增至31宗，比15日多14宗。新增個案一宗來自商業機構，其餘是家庭使用者，大部份都是使用微軟Windows軟體或伺服器。其中家庭使用者多使用Windows 7；商業使用者涉及Windows 7及Windows Server 2008系統^[55]。香港警方亦接獲3宗有關報案。^[56][57]

台灣

此病毒也重創臺灣，爆發初期，受到感染的電腦使用者於PTT、Dcard等社群發文，而後臺灣媒體在2017年5月13日對此新聞作出大篇幅報導。

2018年8月3日台積電發生成立以來重大資安事件，造成竹科、中科與南科廠區停工，此次事件肇因為新機台在安裝軟體的過程中發生操作失誤。3日安裝新機台時並未將此機台於連結網路前先隔離確保無病毒，造成「WannaCry」變種病毒進入公司網路，令機台當機或是重複開機。此次受到感染的機台與自動搬運系統，以及相關的電腦系統，主要是使用Windows 7卻未安裝修正軟體於機台自動化介面，以致受影響的機台無法運作以及部份自動搬運系統無法正常運作。^[58]

英國

勒索軟體影響了英國醫療系統的運作。^[59]由於勒索軟體導致的系統癱瘓，部份常規手術被臨時取消，救護車也被迫分流到其他未受到影響的醫院。^[16][60]英國國民保健署在2016年仍然有上千台電腦在使用Windows XP，^[61]而Windows XP直到本次感染爆發之前並沒有任何修復伺服器訊息區塊漏洞的修補程式，這成為英國醫療系統受到攻擊的原因之一。

日本

據日本警察廳聲稱，截至5月18日，在日本境內被確認的受害事件共21件。具體為東京、大阪等地共4個企業、神奈川縣內的行政機關、茨城縣的一家醫院等。^[62]當地時間15日，日本政府於首相官邸危機管理中心設定「情報聯絡室」。^[63]6月19日，本田在狹山市的汽車工廠受WannaCry影響停工一天。^[64]

其他

此外，巴西聖保羅法院^[65]、加拿大公共衛生服務機構湖嶺醫療網路（英語：Lakeridge Health）^[66]、哥倫比亞國立衛生研究院^[67]、法國雷諾^[68]、德國鐵路系統^[69]、印度安得拉邦警察局^[70]、印度尼西亞的多家醫院^[71]、義大利米蘭比科卡大學^[72]、羅馬尼亞外交部^[73][74]、俄羅斯通訊運營商MegaFon（英語：MegaFon）^[75]、俄羅斯聯邦內務部^[76]、俄羅斯鐵路^[77]以及西班牙^[78]、瑞典^[71]、匈牙利^[79]、泰國^[80]、荷蘭^[81]、葡萄牙^[82]等將近一百個國家的機構院所也受到波及。

病毒功能

以下以2017年5月第一次大規模傳播的病毒版本為主；該病毒早前的一個版本曾於4月透過電子郵件和有害Dropbox連結傳播，但沒有利用Windows漏洞進行主動傳播的能力^[83]。

通過利用漏洞，病毒不需要打攪使用者，可以靜默獲得作業系統的特權，然後得以在本機網路中傳染。^[84]

簡而言之，程式在載入完成後會呼叫Windows的CryptoAPI，新生成一對2048位元的RSA金鑰。金鑰對包括私鑰和公鑰，它們會被儲存至被感染電腦；但解密時需要的私鑰在儲存前會使用程式內建的另一RSA公鑰加密，該公鑰對應的私鑰由攻擊者持有。^[85]

隨後程式會遍歷儲存裝置（部份系統資料夾等除外^[12]），加密特定副檔名的檔案；程式在加密檔案時使用AES演算法，會為每一個檔案隨機生成一個128位元AES金鑰，金鑰隨後會被程式載入完後生成的RSA公鑰加密，並在當前檔案加密完後儲存在該檔案的頭部^[11]。程式還會呼叫命令提示字元刪除裝置上的卷影副本（Shadow copy）備份^[86]。早先有報道認為這一操作可能會引起UAC彈框而被使用者注意到^[87]，但後續分析指出，病毒是通過核心漏洞注入系統處理程序來執行的，傳染過程中並不會有UAC彈窗出現^[88]。

加密過程結束後，病毒會把系統桌布替換成英語告示^[87]，並顯示一封提供28種語言版本的勒索信^[60]，其中部份可能使用了機器翻譯^[89][90]。程式要求使用者支付與300至600美元等值的比特幣^[87][91]，並在勒索信中給予被感染者3天期限，如若超過贖金會翻倍，超過一周仍未付款則會「撕票」^[92]。在勒索信中，病毒還聲稱今後可能舉行免費恢復活動，對象是運氣好且「半年以上沒錢付款的窮人」^[93]。

程式透過Tor匿名網路與攻擊者的伺服器連接^[87]。此外，程式還會在電腦所屬區域網路內，隨機連結其他電腦SMB使用的TCP/UDP 445與139等埠以自我傳播^[40]，並嘗試用同樣方式隨機感染網際網路上的其他電腦^[39]。

據思科分析，病毒在感染其他電腦時會嘗試透過DoublePulsar（英語：DoublePulsar）後門安裝^[94]。而根據《連線》的報道，此病毒也會同時在電腦上安裝該後門^[17]，現已有指令碼可檢測並移除^[39]。

攻擊者在程式中寫死了至少3個比特幣位址（或稱「錢包」），以接收受害者的贖金^[95]，這些錢包的真實擁有者身分不明，但交易情況和餘額是公開的。有人在Twitter上設定了一個機器人（英語：Twitterbot），以即時追蹤這三個錢包收到的轉帳。^[96]截至2017年5月14日 (2017-05-14)^[update]，攻擊者已獲得約合3.2萬美元的比特幣^[97]。

應對措施

防禦

若想有效防禦此蠕蟲的攻擊，首先應立即部署Microsoft安全公告MS17-010中所涉及的所有安全更新。Windows XP、Windows Server 2003以及Windows 8應根據微軟的使用者指導安裝更新。

當不具備條件安裝安全更新，且沒有與Windows XP (同期或更早期Windows)主機共用的需求時，應當根據Microsoft安全公告MS17-010^[98]中的變通辦法^[99]，停用SMBv1協定，以免遭受攻擊。雖然利用Windows防火牆阻止TCP 445埠也具備一定程度的防護效果，但這會導致Windows共用完全停止工作，並且可能會影響其它應用程式的執行，故應當按照微軟公司提供的變通辦法^[99]來應對威脅。

2017年5月第一次大規模傳播時，署名為MalwareTech的英國安全研究員在當時的病毒中發現了一個未註冊的網域名稱，主因是病毒內建有傳播開關（Kill Switch），會向該網域名稱發出DNS請求，用於測試病毒是否處於防毒軟體的虛擬運作環境中，由於該網域名稱並沒有設定DNS，所以正常情況是不會有回應，若有回應就說明處於虛擬環境下，病毒會停止傳播以防被防毒軟體清除^{[100][101][102]}。這名安全研究員花費8.29英鎊註冊網域名稱後發現每秒收到上千次請求。在該網域名稱被註冊後，部份電腦可能仍會被感染，但「WannaCry的這一版本不會繼續傳播了」^[103]。

然而需要注意的是，在部份網路環境下，例如一些區域網路、內部網路，或是需要透過代理伺服器才能訪問網際網路的網路，此網域名稱仍可能無法正常連接^[104][39]。另外，有報道稱該病毒出現了新的變種，一些變種在加密與勒索時並不檢查這一網域名稱^{[105][106][107]}。

復原資料

該病毒會「讀取原始檔並生成加密檔案，直接把原始檔作刪除操作」^[108]。2017年5月19日，安全研究人員Adrien Guinet發現病毒用來加密的Windows API存在的缺陷，在Windows10以下版本的作業系統中，所用私鑰會暫時留在主記憶體中而不會被立即清除。他開發並開源了一個名為wannakey的工具，並稱這適用於為感染該病毒且執行Windows XP的電腦找回檔案，前提是該電腦在感染病毒後並未重新啟動，且私鑰所在主記憶體還未被覆蓋（這需要運氣）^[109]。後有開發者基於此原理開發了名為「wanakiwi」的軟體，使恢復過程更加自動化，並確認該方法適用於執行Windows XP至Windows 7時期間的多款Windows作業系統^[110]。一些安全廠商也基於此原理或軟體開發並提供了圖形化工具以說明使用者恢復檔案^[111][112]。

評論

一些人士批評與此事件有關聯的美國國家安全局（NSA）。稜鏡計劃告密人愛德華·史諾登稱，如果NSA「在發現用於此次對醫院進行攻擊的缺陷時就進行私下披露（英語：Responsible disclosure），而不是等到遺失時才說，（此次攻擊）就可能不會發生」^[60]。微軟總裁布拉德·史密斯則表示：「政府手中的漏洞利用程式一次又一次地洩露到公共領域，造成廣泛破壞。如果用常規武器來說，這種情況等同於美軍的戰斧飛彈發生失竊。」^[113][114]

也有人士聚焦於網路安全意識方面。德國聯邦資訊安全辦公室主任Arne Schönbohm聲明道：「現在發生的攻擊突顯出我們的資訊社會是多麼脆弱。這對公司是一次警醒，是時候認真考慮IT安全了。」^[115][116]美國外交關係協會數字和網路政策專案負責人亞當·謝加爾（英語：Adam Segal）認為政府和私營部門的修補程式和更新系統運轉不正常，不是所有人都會在第一時間為系統漏洞打上修補程式^[117]；半島電視台在文章中引述觀點稱，許多企業的員工缺乏網路安全方面的訓練^[116]。《福布斯》網站上的一篇專欄文章則認為，該攻擊生動地證明了安全（英語：Storage security）備份和良好安全習慣的重要性，包括及時安裝最新的安全更新^[118]。英國首相特雷莎·梅也就此次攻擊發表講話，稱英國國家網路資訊安全中心（英語：National Cyber Security Centre (United Kingdom)）正在與所有受攻擊的機構合作調查^[119]。特雷莎·梅還表示：「這不是針對國民保健署的攻擊，這是國際性的攻擊，全世界數以千計的國家和組織都受到了影響^[120]。」

調查

2017年5月29日，據CNET引述美國安全公司閃點（Flashpoint）發布的報告稱，根據對病毒附帶的28種語言撰寫的勒索信的文法分析研究，病毒製造者有可能是一名中文母語者^[121]，其中文版勒索信文法道地，而英文版有一些語法錯誤，其他語言版本則更像是藉助Google翻譯以機器翻譯而得^[122]。在早前的5月16日，Google、卡巴斯基、閃點等多家安全公司的安全研究員曾發文認為，病毒的幕後黑手可能是源自北韓的「拉撒路組（英語：Lazarus Group）」（Lazarus Group）駭客組織^[123]，而據傳該組織成員居於中國^[121]。但奇虎360和安天的安全工程師認為閃點網路情報公司僅以語言判斷是十分不專業的臆測行為，質疑其只是為了吸引目光焦點^[124]。

2017年6月17日，據《華盛頓郵報》報道，NSA的內部報告認為此惡意軟體來自北韓情報機關贊助的駭客團體，並對這份報告有「中等信心（moderate confidence）」。^[125]英國國家網路資訊安全中心（英語：National Cyber Security Centre (United Kingdom)）（NCSC）也發布報告將此事件源頭指向北韓的駭客團隊^[126][127]。

2017年10月，微軟總裁布萊德·史密斯（Brad Smith）接受ITV採訪稱，他非常相信北韓是影響全球150個國家摧毀20萬台電腦的幕後黑手^[128]。

軼事

2017年5月15日，臺灣一名Windows XP使用者遭受WannaCry的攻擊後，因電腦配備老舊，導致WannaCry程式運作到一半，突然「停止回應」而無法運作。^[129][130]

參見

• 知名病毒及蠕蟲的歷史年表
• Petya
• WannaRen

參考資料

1. Cameron, Dell. Today's Massive Ransomware Attack Was Mostly Preventable; Here's How To Avoid It. [2017-05-13]. （原始內容存檔於2019-04-09）.
2. 不哭! 有办法对付“想哭”电脑勒索病毒了！. BBC中文網. 2017-05-13 [2017-05-14]. （原始內容存檔於2021-08-19）.
3. 勒索软件威胁远未消失15日开机面临考验. 人民網. 新華社. 2017-05-15 [2017-05-15]. （原始內容存檔於2017-08-05）.
4. 揭秘勒索病毒威力有多大：不到十秒所有文件被加密. 搜狐. [2017-05-24]. （原始內容存檔於2019-06-28）.
5. 病毒来袭！交通行业网安专家权威答疑支招. 中國交通新聞網. 2017-05-15 [2017-05-20]. （原始內容存檔於2021-06-21）.
6. 勒索蠕虫“魔窟（WannaCry）”FAQ之三. 安天實驗室. [2017-05-20]. （原始內容存檔於2019-06-19）.
7. MSRC Team. Customer Guidance for WannaCrypt attacks. Microsoft. [2017-05-13]. （原始內容存檔於2017-05-21）.
8. Jakub Kroustek. Avast reports on WanaCrypt0r 2.0 ransomware that infected NHS and Telefonica.. Avast Security News. Avast Software, Inc. 2017-05-12 [2017-05-14]. （原始內容存檔於2019-05-05）.
9. Fox-Brewster, Thomas. An NSA Cyber Weapon Might Be Behind A Massive Global Ransomware Outbreak. Forbes. [2017-05-12]. （原始內容存檔於2018-06-28）.
10. Woollaston, Victoria. Wanna Decryptor: what is the 'atom bomb of ransomware' behind the NHS attack?. WIRED UK. [2017-05-13]. （原始內容存檔於2017-05-13） （英國英語）.
11. Global WannaCry ransomware outbreak uses known NSA exploits. [2017-05-14]. （原始內容存檔於2021-02-11）.
12. RANSOM_WCRY.C - Threat Encyclopedia - Trend Micro USA. www.trendmicro.com. [2017-05-14]. （原始內容存檔於2021-06-18） （英語）.
13. Marsh, Sarah. The NHS trusts hit by malware – full list. The Guardian. 2017-05-12 [2017-05-13]. ISSN 0261-3077. （原始內容存檔於2017-05-15） （英國英語）.
14. Statement on reported NHS cyber attack. digital.nhs.uk. [2017-05-13]. （原始內容存檔於2017-05-19） （英國英語）.
15. Hern, Alex; Gibbs, Samuel. What is 'WanaCrypt0r 2.0' ransomware and why is it attacking the NHS?. The Guardian. 2017-05-12 [2017-05-13]. ISSN 0261-3077. （原始內容存檔於2017-05-12） （英國英語）.
16. NHS cyber-attack: GPs and hospitals hit by ransomware. BBC News. 2017-05-13 [2017-05-13]. （原始內容存檔於2017-05-12） （英國英語）.
17. Larson, Selena. Massive ransomware attack hits 99 countries. CNNMoney. 2017-05-12 [2017-05-13]. （原始內容存檔於2017-05-21）.
18. Ransomware virus plagues 75k computers across 99 countries. RT International. [2017-05-13]. （原始內容存檔於2017-05-12） （美國英語）.
19. cnBeta. 勒索病毒国内蔓延　多地出入境系统受影响瘫痪_警告!_cnBeta.COM. cnbeta. [2017-05-13]. （原始內容存檔於2021-08-01） （中文（中國大陸））.
20. 国家互联网应急中心关于防范Windows操作系统勒索软件Wannacry的情况通报. 國家互聯網應急中心. 2017-05-13 [2017-05-13]. （原始內容存檔於2022-04-19）.
21. 国家互联网应急中心发布勒索软件情况通报. 新浪科技. 2017-05-13 [2017-05-13]. （原始內容存檔於2021-08-01）.
22. 花子健. 这次全球规模的网络病毒攻击　每天动动手指就能解决. 鳳凰網. 2017-05-13 [2017-05-13]. （原始內容存檔於2021-06-23） （中文）.
23. Microsoft Security Bulletin MS17-010 - Critical. technet.microsoft.com. 微軟. 2017-03-14 [2017-05-13]. （原始內容存檔於2017-05-21） （英語）.
24. 15:58, 12 May 2017 at. WanaCrypt ransomware snatches NSA exploit, fscks over Telefónica, other orgs in Spain. [2017-05-13]. （原始內容存檔於2017-05-19）.
25. Menn, Joseph. Russian researchers expose breakthrough U.S. spying program. Reuters. 2015-02-17 [2015-11-24]. （原始內容存檔於2015-09-24）.
26. NSA-leaking Shadow Brokers just dumped its most damaging release yet. Ars Technica. [2017-04-15]. （原始內容存檔於2017-05-13） （美國英語）.
27. misterch0c. GitHub. [2017-04-15]. （原始內容存檔於2022-04-09） （英語）.
28. Fox-Brewster, Thomas. Equation = NSA? Researchers Uncloak Huge 'American Cyber Arsenal'. Forbes. 2015-02-16 [2015-11-24]. （原始內容存檔於2015-11-19）.
29. Latest Shadow Brokers dump—owning SWIFT Alliance Access, Cisco and Windows. Medium. 2017-04-14 [2017-04-15]. （原始內容存檔於2017-05-18）.
30. Goodin, Dan. >10,000 Windows computers may be infected by advanced NSA backdoor. ARS Technica. [2017-05-14]. （原始內容存檔於2017-07-18） （英語）.
31. Over 36,000 Computers Infected with NSA's DoublePulsar Malware. BleepingComputer. [2017-05-14]. （原始內容存檔於2021-09-26） （英語）.
32. Goodin, Dan. NSA backdoor detected on >55,000 Windows boxes can now be remotely removed. ARS Technica. [2017-05-14]. （原始內容存檔於2017-07-10） （英語）.
33. Broersma, Matthew. NSA Malware 'Infects Nearly 200,000 Systems'. Silicon. [2017-05-14]. （原始內容存檔於2017-05-06） （英語）.
34. Cameron, Dell. Today's Massive Ransomware Attack Was Mostly Preventable; Here's How To Avoid It. Gizmodo. 2017-05-13 [2017-05-15]. （原始內容存檔於2019-04-09） （英語）.
35. How One Simple Trick Just Put Out That Huge Ransomware Fire. Forbes. 2017-05-13 [2017-05-15]. （原始內容存檔於2021-06-04） （英語）.
36. Newman, Lily Hay. The Ransomware Meltdown Experts Warned About Is Here. Wired.com. [2017-05-13]. （原始內容存檔於2017-05-19）.
37. Russian-linked cyber gang blamed for NHS computer hack using bug stolen from US spy agency. The Telegraph. [2017-05-12]. （原始內容存檔於2017-05-12） （英國英語）.
38. Bilefsky, Dan; Perlroth, Nicole. Hackers Hit Dozens of Countries Exploiting Stolen N.S.A. Tool. The New York Times. 2017-05-12 [2017-05-12]. ISSN 0362-4331. （原始內容存檔於2017-05-12）.
39. Clark, Zammis. The worm that spreads WanaCrypt0r. Malwarebytes Labs. malwarebytes.com. [2017-05-13]. （原始內容存檔於2017-05-17）.
40. Samani, Raj. An Analysis of the WANNACRY Ransomware outbreak. McAfee. [2017-05-13]. （原始內容存檔於2017-05-13）.
41. JoseBarreto. The Deprecation of SMB1 – You should be planning to get rid of this old SMB dialect. 微軟. 2015-04-21 [2017-05-13]. （原始內容存檔於2017-05-21）.
42. Windows XP End of Support. www.microsoft.com. [2017-05-13]. （原始內容存檔於2016-11-08）.
43. The Microsoft Security Response Center (MSRC). Customer Guidance for WannaCrypt attacks. blogs.technet.microsoft.com/msrc. 微軟. 2017-05-13 [2017-05-13]. （原始內容存檔於2017-05-21）.
44. Team, Discuz! Team and Comsenz UI. 腾讯电脑管家论坛. bbs.guanjia.qq.com. [2017-05-15]. （原始內容存檔於2017-08-05）.
45. 勒索病毒肆虐背后：互联网“变得更安全了”只是一种错觉|  PingWest品玩. www.pingwest.com. [2017-05-16]. （原始內容存檔於2018-06-16）. 在騰訊電腦管家論壇關於此次WannaCry的官方知識貼中，主動解釋了「為何微軟3月發布的修補程式會被封鎖」
46. 馬卡. 全国部分高校校园网受大规模病毒攻击：传播迅猛、勒索比特币. IT之家. 2017-05-12 [2017-05-13]. （原始內容存檔於2021-06-03）.
47. 仲平. 中国多所校园网发紧急通知：提醒防范勒索软件攻击. IT之家. 2017-05-13 [2017-05-13]. （原始內容存檔於2017-07-24）.
48. 何利權. “勒索软件病毒”肆虐中国多所高校：一旦中招便无法“挽救”. 澎湃新聞. 2017-05-13 [2017-05-13]. （原始內容存檔於2017-05-17）.
49. 遠洋. 勒索软件蔓延，国内多地出入境系统疑受影响瘫痪. IT之家. 2017-05-13 [2017-05-13]. （原始內容存檔於2017-05-16）.
50. Bank of China ATMs Go Dark As Ransomware Attack Cripples China | Zero Hedge. www.zerohedge.com. 2017-05-13 [2017-05-14]. （原始內容存檔於2017-05-16） （英語）.
51. 中西部交管部门受勒索病毒影响山西部分交管业务暂停. 騰訊科技. 澎湃新聞. 2017-05-15 [2017-05-15]. （原始內容存檔於2021-06-16）.
52. 为应对勒索病毒！珠海紧急停办公积金业务加固升级内外网络. 新浪網. [2017-05-15]. （原始內容存檔於2017-08-05）.
53. 关于防范Windows操作系统勒索软件Wannacry的情况通报. CNCERT. 2017-05-13 [2017-05-13]. （原始內容存檔於2021-06-20）.
54. 勒索病毒肆掠全球100国，中国高校大量沦陷. 網易. 鈦媒體. 2017-05-13 [2017-05-16]. （原始內容存檔於2017-08-05）.
55. 港增14宗WannaCry攻擊. 明報. 2017-05-17 [2017-05-17]. （原始內容存檔於2017-08-05）.
56. 本港遭WannaCry攻擊增至31宗警接3宗報案. 電視廣播有限公司. 2017-05-16 [2017-05-16]. （原始內容存檔於2021-06-15）.
57. 【WannaCry殺到】電腦保安事故協調中心：今日新增14攻擊個案. 明報. 2017-05-16 [2017-05-16]. （原始內容存檔於2017-08-05）.
58. 王宏仁. 【臺灣史上最大資安事件】深度剖析台積產線中毒大當機始末（下）. iThome. 2018-08-10 [2019-06-04]. （原始內容存檔於2021-06-15） （中文（臺灣））.
59. Global cyberattack strikes dozens of countries, cripples U.K. hospitals. cbsnews.com. [2017-05-13]. （原始內容存檔於2017-05-17） （英語）.
60. Wong, Julia Carrie; Solon, Olivia. Massive ransomware cyber-attack hits 74 countries around the world. The Guardian. London. 2017-05-12 [2017-05-12]. （原始內容存檔於2017-05-21） （英語）.
61. NHS Hospitals Are Running Thousands of Computers on Unsupported Windows XP. Motherboard. [2017-05-13]. （原始內容存檔於2017-05-18） （英語）.
62. サイバー攻撃 日本での被害 ２１件確認. 2017-05-18.^{[永久失效連結]}
63. 政府サイバー攻撃対策の「情報連絡室」を設置. 2017-05-15.^{[永久失效連結]}
64. WannaCry勒索病毒阴魂不散：本田汽车工厂遭殃了. 快科技. 2017-06-22 [2017-06-25]. （原始內容存檔於2019-06-10） （中文）.
65. WannaCry no Brasil e no mundo. O Povo. 2017-05-13 [2017-05-13]. （原始內容存檔於2017-05-21） （葡萄牙語）.
66. Ontario health ministry on high alert amid global cyberattack | Toronto Star. Thestar.com. 2017-05-13 [2017-05-22]. （原始內容存檔於2021-06-04）.
67. Instituto Nacional de Salud, entre víctimas de ciberataque mundial. 2017-05-13 [2017-05-14]. （原始內容存檔於2017-05-16）.
68. France’s Renault hit in worldwide ‘ransomware’ cyber attack. france24.com. 2017-05-13 [2017-05-13]. （原始內容存檔於2017-05-21） （西班牙語）.
69. Weltweite Cyberattacke trifft Computer der Deutschen Bahn. faz.net. 2017-05-13 [2017-05-13]. （原始內容存檔於2017-05-16） （德語）.
70. Andhra police computers hit by cyberattack. Times of India. 2017-05-13 [2017-05-13]. （原始內容存檔於2017-05-14） （英語）.
71. Global cyber attack: A look at some prominent victims. elperiodico.com. 2017-05-13 [2017-05-14]. （原始內容存檔於2017-05-20） （西班牙語）.
72. Il virus Wannacry arrivato a Milano: colpiti computer dell'università Bicocca. repubblica.it. 2017-05-12 [2017-05-13]. （原始內容存檔於2017-05-17） （義大利語）.
73. （羅馬尼亞文） UPDATE. Atac cibernetic la MAE. Cine sunt hackerii de elită care au falsificat o adresă NATO. Libertatea. 2017-05-12 [2017-05-14]. （原始內容存檔於2017-05-17）.
74. （羅馬尼亞文） Atacul cibernetic global a afectat și Uzina Dacia de la Mioveni. Renault a anunțat că a oprit producția și în Franța. Pro TV. 2017-05-13 [2017-05-14]. （原始內容存檔於2017-05-16）.
75. Massive cyber attack creates chaos around the world. news.com.au. [2017-05-13]. （原始內容存檔於2017-05-19）.
76. Researcher 'accidentally' stops spread of unprecedented global cyberattack. ABC News. [2017-05-13]. （原始內容存檔於2017-05-20）.
77. Компьютеры РЖД подверглись хакерской атаке и заражены вирусом. Radio Liberty. [2017-05-13]. （原始內容存檔於2017-05-16）.
78. Un ataque informático masivo con 'ransomware' afecta a medio mundo. elperiodico.com. 2017-05-12 [2017-05-13]. （原始內容存檔於2017-05-12） （西班牙語）.
79. Balogh, Csaba. Ideért a baj: Magyarországra is elért az óriási kibertámadás. HVG. 2017-05-12 [2017-05-13]. （原始內容存檔於2017-05-13） （匈牙利語）.
80. เซิร์ฟเวอร์เกม Blade & Soul ของ Garena ประเทศไทยถูก WannaCrypt โจมตี. blognone.com. 2017-05-13 [2017-05-14]. （原始內容存檔於2021-06-04） （泰語）.
81. Parkeerbedrijf Q-Park getroffen door ransomware-aanval.
82. PT Portugal alvo de ataque informático internacional. Observador. 2017-05-12 [2017-05-13]. （原始內容存檔於2017-05-12） （葡萄牙語）.
83. Massive WannaCry/Wcry Ransomware Attack Hits Various Countries - TrendLabs Security Intelligence Blog. TrendLabs Security Intelligence Blog. 2017-05-12 [2017-05-15]. （原始內容存檔於2020-08-09） （英語）.
84. 存档副本. [2017-05-13]. （原始內容存檔於2017-05-13）.
85. Trustlook. WannaCry Ransomware Scanner and Vaccine Toolkit. Trustlook. 2017-05-14 [2017-05-14]. （原始內容存檔於2017-05-17） （英語）.
86. WannaCrypt ransomware worm targets out-of-date systems. Windows Security. [2017-05-15]. （原始內容存檔於2021-02-11） （英語）.
87. WannaCry ransomware used in widespread attacks all over the world - Securelist. securelist.com. [2017-05-14]. （原始內容存檔於2017-06-03） （英語）.
88. 存档副本. [2017-10-20]. （原始內容存檔於2022-04-07）.
89. WanaCrypt0rランサムウェア身代金ウイルス.wncry拡張子ファイル変更 - 無題な濃いログ. 無題な濃いログ. [2017-05-14]. （原始內容存檔於2018-10-15） （日語）.
90. Lee, Dave. 勒索软件WannaCry网络攻击：“或与朝鲜有关”？. BBC中文網. 2017-05-16 [2017-05-16]. （原始內容存檔於2021-05-21） （中文（簡體））. 而要求贖金的文字使用了機器翻譯的英文
91. An NSA-derived ransomware worm is shutting down computers worldwide. Ars Technica. [2017-05-14]. （原始內容存檔於2017-05-12） （英語）.
92. What you need to know about the WannaCry Ransomware. Symantec Security Response. [2017-05-14]. （原始內容存檔於2021-06-04） （英語）.
93. What You Need to Know About WannaCry Now – Safe and Savvy Blog by F-Secure. [2017-05-14]. （原始內容存檔於2017-10-20） （英語）.
94. Player 3 Has Entered the Game: Say Hello to 'WannaCry'. blog.talosintelligence.com. [2017-05-15]. （原始內容存檔於2021-06-04） （英語）.
95. 安天对勒索者蠕虫“魔窟”WannaCry支付解密流程分析 (PDF). [2017-05-23]. （原始內容 (PDF)存檔於2017-05-21）.
96. Collins, Keith. Watch as these bitcoin wallets receive ransomware payments from the global cyberattack. Quartz. [2017-05-14]. （原始內容存檔於2021-06-04） （英語）.
97. 勒索病毒黑客获利达3.2万美元预计周一将大幅增加. 新浪科技. 2017-05-14 [2017-05-15]. （原始內容存檔於2019-06-11）.
98. Microsoft安全公告MS17-010.
99. 如何在Windows和Windows Server中启用和禁用SMBv1、SMBv2和SMBv3. [2017-06-07]. （原始內容存檔於2017-06-27）.
100. 原來WannaCry 2.0是失敗試作品 ! 真3.0變種版本已開始感染. Unwire.hk. 2017-05-15 [2017-05-15]. （原始內容存檔於2017-05-15） （中文）.
101. Francisco, Nadia Khomami Olivia Solon in San. 'Accidental hero' halts ransomware attack and warns: this is not over. The Guardian. 2017-05-13 [2017-05-15]. ISSN 0261-3077. （原始內容存檔於2019-05-23） （英語）.
102. 英国小哥意外拯救世界8.29英镑阻止网络病毒蔓延. [2017-05-14]. （原始內容存檔於2021-06-15）.
103. 勒索病毒全球蔓延　他利用几美元成功阻止灾难. [2017-05-14]. （原始內容存檔於2017-05-13）.
104. McCausland, Phil; Petulla, Sam. After Huge Global Cyberattack, Countries Scramble to Halt Spread of Ransomware. NBC News. [2017-05-14]. （原始內容存檔於2021-06-20） （英語）.
105. Khandelwal, Swati. It’s Not Over, WannaCry 2.0 Ransomware Just Arrived With No 'Kill-Switch'. The Hacker News. [2017-05-14]. （原始內容存檔於2021-06-04） （英語）.
106. Erpressungssoftware: Experten fürchten neue "WannaCry"-Attacken – SPIEGEL ONLINE – Netzwelt. SPIEGEL ONLINE. [2017-05-14]. （原始內容存檔於2021-06-18） （英語）.
107. Shieber, Jonathan. Companies, governments brace for a second round of cyberattacks in WannaCry’s wake. TechCrunch. [2017-05-14]. （原始內容存檔於2021-06-04） （英語）.
108. 【美亚柏科】针对"WannaCry"勒索病毒推出数据恢复方案. 搜狐. 2017-05-15 [2017-05-18]. （原始內容存檔於2017-08-05）.
109. Researcher Open Sources WannaKey Tool That Cracks WannaCry Ransomware Encryption. 2017-05-19 [2017-05-21]. （原始內容存檔於2021-06-20）.
110. Wanakiwi是WannaCry勒索病毒的快速解法（只要你还没重启...）. engadget. 2017-05-19 [2017-05-20]. （原始內容存檔於2019-06-12）.
111. 安天發布魔窟WannaCry蠕蟲解密工具，微信公眾號文章的存檔
112. 阿里云安全团队发布WannaCry“一键解密和修复”工具. 阿里雲. [2017-05-21]. （原始內容存檔於2019-06-10）.
113. Ransomware attack 'like having a Tomahawk missile stolen', says Microsoft boss. The Guardian. 2017-05-14 [2017-05-15]. （原始內容存檔於2022-04-07） （英語）.
114. Smith, Brad. The need for urgent collective action to keep people safe online. microsoft.com. Microsoft. [2017-05-14]. （原始內容存檔於2017-05-16） （英語）.
115. WannaCry: BSI ruft Betroffene auf, Infektionen zu melden. heise online. [2017-05-14]. （原始內容存檔於2022-04-08） （德語）.
116. WannaCry: What is ransomware and how to avoid it. Al Jazeera. [2017-05-14]. （原始內容存檔於2018-10-17） （英語）.
117. Helmore, Edward. Ransomware attack reveals breakdown in US intelligence protocols, expert says. The Guardian. 2017-05-13 [2017-05-14]. （原始內容存檔於2021-06-04） （英語）.
118. Coughlin, Tom. WannaCry Ransomware Demonstrations The Value Of Better Security and Backups. Forbes. [2017-05-14]. （原始內容存檔於2022-04-07） （英語）.
119. 专家揭勒索病毒：1台电脑染毒将攻击网内其他电脑. 央視網. [2017-05-15]. （原始內容存檔於2019-06-10） （中文（中國大陸））.
120. Smith-Spark, Laura; Veselinovic, Milena; McGann, Hilary. UK prime minister: Ransomware attack is global. CNN. [2017-05-13]. （原始內容存檔於2021-09-01）.
121. WannaCry勒索病毒再研究：攻击者的母语或是中文. 網易科技. [2017-05-29]. （原始內容存檔於2017-08-05）.
122. 美專家分析WannaCry　幕後黑手通曉中文. 東網. 東方報業. [2017-05-30]. （原始內容存檔於2021-06-19）.
123. 威鋒網. 谷歌卡巴斯基等发现：勒索病毒幕后黑手或来自朝鲜. 搜狐. 2017-05-16 [2017-05-29]. （原始內容存檔於2019-06-02）.
124. 美网络情报公司臆测勒索软件与中国有关专家：分析极不专业且不靠谱. 中國日報網. 2017-06-10 [2017-06-17]. （原始內容存檔於2021-06-22）.
125. The NSA has linked the WannaCry computer worm to North Korea. 華盛頓郵報. 2017-06-14 [2017-06-17]. （原始內容存檔於2021-06-04）.
126. WannaCry ransomware attack 'linked to North Korea'. [2017-06-17]. （原始內容存檔於2022-05-04）.
127. IT之家. 英美安全机构同发报告：朝鲜黑客应对勒索病毒事件负责. 搜狐. [2017-06-17].^{[永久失效連結]}
128. N. Korea stole cyber tools from NSA, carried out WannaCry ransomware attack – Microsoft chief. [2017-10-15]. （原始內容存檔於2022-03-05）.
129. 入侵「骨董電腦」踢鐵板 WannaCry遭XP「強制中止」只能Cry. 東森新聞. 2017-05-16 [2017-12-12]. （原始內容存檔於2017-12-13）.
130. Windows XP computers were mostly immune to WannaCry. [2020-07-17]. （原始內容存檔於2021-02-11）.

外部連結

• Microsoft安全公告MS17-010 （頁面存檔備份，存於網際網路檔案館）
• 使用者指導（頁面存檔備份，存於網際網路檔案館）（微軟中國翻譯 （頁面存檔備份，存於網際網路檔案館））
• 微軟惡意軟體防護中心上Ransom:Win32/WannaCrypt相關資料 （頁面存檔備份，存於網際網路檔案館）（英文）
• 勒索軟體席捲全球國內多種網路系統中招 - 新浪網專題 （頁面存檔備份，存於網際網路檔案館）（簡體中文）
• MalwareTech網站發布的WannaCry世界各地感染實況（英文）
• 香港電腦保安事故協調中心WannaCry (WannaCrypt)加密勒索軟體加密受害者數據 （頁面存檔備份，存於網際網路檔案館）