感染Telefonica和NHS医院的Ransomware正在大力入侵

感染Telefonica和NHS医院的Ransomware正在大力入侵，目前已有超过50,000次攻击

关于感染NHS和Telefonica的WanaCrypt0r 2.0 ransomware的 Avast报告。

更新（6月10日CET，5月13日，星期六）：我们现在在104个国家/地区看到更多的  126,000个WanaCrypt0r 2.0的检测。

到目前为止，我们观察到了WanaCrypt0r 2.0（又称WCry）ransomware攻击的巨大高峰，超过57,000次检测。据我们的数据，ransomware主要针对俄罗斯，乌克兰和台湾，但ransomware已成功地感染了主要机构，如英格兰医院和西班牙电信公司Telefonica。

以下是WanaCrpytor 2.0的目标对象：


我们在二月份看到了WanaCrypt0r的第一个版本，现在的ransomware有28种不同的语言，从保加利亚语到越南语。今天上午8点，我们注意到这种菌株的活动有所增加，从上午10点开始，这种菌株迅速升级为大规模蔓延。

ransomware将受影响的文件扩展名更改为“.WNCRY”，因此受感染的文件将显示为：original_name_of_file.jpg.WNCRY。加密文件也在文件开头的“WANACRY！”字符串中标记。

这个赎金会在文本文件中删除以下赎金笔记：


此外，要求的赎金是300美元或者比特币。在ransomware背后的网络犯罪分子称为“Wana Decrypt0r 2.0”的赎金消息中，其中显示了如何支付赎金的说明，发生的情况的解释以及倒数计时器。



此外，受害者的壁纸更改为以下图像：


这次袭击再次证明，赎金是一种强大的武器，可以用于消费者和企业。当医院感染像医院这样可以使人们的生命处于危险之中的机构时，Ransomware变得特别令人讨厌。

感染载体：WanaCrypt0r 2.0

WanaCrypt0r 2.0最有可能通过使用方程组（这是一个被广泛怀疑被绑定到国家安全局的组织）的漏洞利用在这么多计算机上，用于其肮脏的业务。一个名为ShadowBrokers 的黑客小组已经窃取了方程组的黑客工具，并已经公开发布。正如证实安全研究员，Kafeine，该漏洞，被称为ETERNALBLUE或MS17-010，可能是使用落后WanaCrypt0r网络罪犯是Windows SMB（服务器消息块，一个网络文件共享协议）漏洞。

Avast检测所有已知版本的WanaCrypt0r 2.0，但我们强烈建议所有Windows用户使用最新的补丁完全更新其系统。当我们进一步更新时，我们将继续监控此次疫情并更新此博客文章。