更新檔問題（WannaCry）更新檔問題

5月12日，全球爆發的勒索病毒wannacry借助高危漏洞“永恒之藍”（eternalblue）在世界範圍内爆發，據報道包括美國、英國、中國、俄羅斯、西班牙、意大利、越南等百餘個國家均遭受大規模攻擊。我國的許多行業機構和大型企業也被攻擊，有的機關甚至“全軍覆沒”，損失之嚴重為近年來所罕見。

本報告将從傳播途徑、危害方式和結果、受威脅使用者群等角度，逐一厘清這個惡性病毒方方面面的真相，用以幫助大家認識、解決該病毒，防範未來可能出現的變種病毒，同時澄清一些謠傳和謊言。

病毒攻擊行為和結果

遭受wannacry病毒侵害的電腦，其檔案将被加密鎖死，慣常來說，受害使用者支付贖金後可以獲得解密密鑰，恢複這些檔案。但是根據火絨工程師的分析，遭受wannacry攻擊的使用者可能會永遠失去這些檔案。

wannacry病毒存在一個緻命缺陷，即病毒作者無法明确認定哪些受害者支付了贖金，是以很難給相應的解密密鑰，是以使用者即使支付了贖金，也未必能順利獲得密鑰該電腦系統及檔案依舊無法得到恢複。

至于網上流傳的各種“解密方法”，基本上是沒用的，請大家切勿聽信謊言，以防遭受更多财産損失。一些安全廠商提供的“解密工具”，其實隻是“檔案恢複工具”，可以恢複一些被删除的檔案，但是作用有限。

因為病毒是生成加密過的使用者檔案後再删除原始檔案，是以存在通過檔案恢複類工具恢複原始未加密檔案的可能。但是因為病毒對檔案系統的修改操作過于頻繁，導緻被删除的原始檔案資料塊被覆寫，緻使實際恢複效果有限。且随着系統持續運作，恢複類工具恢複資料的可能性會顯著降低。

傳播途徑和攻擊方式

據火絨實驗室技術分析追溯發現，該病毒分蠕蟲部分及勒索病毒部分，前者用于傳播和釋放病毒，後者攻擊使用者加密檔案。

其實，蠕蟲病毒是一種常見的計算機病毒。通過網絡和電子郵件進行傳播，具有自我複制和傳播迅速等特點。此次病毒制造者正是利用了前段時間美國國家安全局(nsa) 洩漏的windows smb遠端漏洞利用工具“永恒之藍”來進行傳播的。

據悉，蠕蟲代碼運作後先會連接配接域名：hxxp://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com 如果該域名可以成功連接配接，則直接停止。而如果上述域名無法通路，則會安裝病毒服務，在區域網路與外網進行傳播。

但是無論這個“神奇開關”是否開啟，該病毒都會攻擊使用者，鎖死檔案。另外，這個開關程式很容易被病毒制造者去除，是以未來可能出現沒有開關的變種病毒。

易受攻擊使用者群

目前看來，該病毒的受害者大都是行業機構和大型企業，網際網路個人使用者受感染報告很少。下面我們從作業系統和網絡結構兩個角度，來說明容易受到攻擊的使用者群。

首先，該病毒隻攻擊windows系統的電腦，幾乎所有的windows系統如果沒有打更新檔，都會被攻擊。而windows vista、windows server 2008、windows 7、windows server 2008 r2、windows 8.1、windows server 2012、windows server 2012 r2、windows server 2016 版本，使用者如果開啟了自動更新或安裝了對應的更新更新檔，可以抵禦該病毒。

windows10是最安全的，由于其系統是預設開啟自動更新的，是以不會受該病毒影響。同時，unix、linux、android等作業系統，也不會受到攻擊。

同時，目前這個病毒通過共享端口傳播同時在公網及内網進行傳播，直接暴露在公網上且沒有安裝相應作業系統更新檔的計算機有極大風險會被感染，而通過路由撥号的個人和企業使用者，則不會受到來自公網的直接攻擊。

火絨将持續追殺wannacry

目前，對抗“蠕蟲”勒索軟體攻擊的行動仍未結束，在此，火絨安全專家提醒廣大使用者無需過度擔心，“火絨安全軟體”已迅速采取措施，完成緊急更新，通過火絨官網下載下傳軟體，更新到最新版本即可防禦、清除該病毒。

自5月12日，wannacry病毒一出，各機構和使用者人心惶惶，草木皆兵，日前更是出現了2.0新變種等聳人聽聞的言論。截止到今日，火絨已經收集到的所謂的“wannacry”最新版本的“變種”，但通過對比分析發現，該“變種“有明顯的人為修改痕迹，是好事者在造謠蹭熱度。火絨實驗室可以負責任地告訴大家，目前還沒有出現新版本變種。

而日後病毒是否會變異出現新“變種”？火絨實驗室将持續跟蹤新的病毒變種，一旦遇到新變種會随時更新産品。火絨産品預設自動更新，請廣大使用者放心使用，無需做任何設定。内網使用者通過外網下載下傳火絨産品更新到最新版本，然後覆寫安裝内網電腦即可。

此次勒索病毒wannacry傳播速度快，影響範圍廣，是網際網路曆史上所罕見的一次“網絡安全事故”。對安全廠商而言，是一次極大的考驗，“安全”重回主流勢在必行，同時也促進了全社會對網絡安全意識的提升。

關于有部分人說自己的電腦打不上更新檔，由于是ghost系統及win7sp0等版本，無法安裝更新檔或藍屏情況。可以使用360有點雞肋的熱更新檔救急一下或者自己手動處理一下即可▼

▲在安裝更新檔之前首先要確定windows updata服務,windows install服務和bits服務已經啟動

已經啟動,如果沒啟動這些服務，安裝更新檔會失敗,失敗錯誤碼0x8024800c（2149875724），0x80070422（2147943458）,檢視錯誤碼的方法看步驟3,開啟服務的方法如下：

1、右擊桌面圖示計算機圖示--->點選“管理”，打開計算機管理頁面

2、在計算機管理頁面點選-->服務和應用程式-->服務，找到服務名windows install，如果狀态不是”已啟動”,則說明服務沒有啟動，點選-->啟動此服務,另外兩個服務windows updata和bits(background intelligenttransfer service)用同樣的方法開啟

更新檔kb4012212安裝失敗處理流程5.1.右擊桌面圖示計算機圖示--->點選“管理”，打開計算機管理頁面

在計算機管理頁面點選-->事件檢視器-->setup-->看錯誤資訊提示(來源是wusa)-->如果錯誤提示資訊中有如下提示的:無法安裝 windows 更新"windows 安全更新程式 (kb4012212)"，因為發生錯誤: 2147956498“元件存儲已損壞”（如下圖），如果錯誤碼是2147956498(十六進制為0x80073712)則按照驟6來解決,錯誤碼是2147942423(十六進制0x80070017)則按照驟7來解決

錯誤碼是2147956498(元件存儲已損壞)的解決方法6.1.跟據微軟公告資訊該錯誤主要是由于沒安裝更新檔kb947821導緻，需要先安裝更新檔kb947821，請使用者跟據電腦作業系統的版本号下載下傳更新檔kb947821安裝。 windows 7 更新檔 (kb947821):64位系統http://url.cn/499p3h232位系統：http://url.cn/499p43y windowsserver 2008 r2 更新檔 (kb947821):64位系統http://url.cn/499m4pb windowsserver 2008 r2 for itanium-based 更新檔 ：http://url.cn/499p5ka windows vista更新檔 (kb947821):32位系統：http://url.cn/499refo64位系統http://url.cn/499ozvt windowsserver 2008 更新檔 (kb947821)32位系統http://url.cn/499oafz64位系統http://url.cn/499obr4windows server 2008 for itanium-based 更新檔(kb947821)http://url.cn/499mbiw6.2.根據電腦系統版本号下載下傳相應的更新檔安裝，注意由于更新檔較大安裝時間會較長，有時進度條會一直顯示不動，有的使用者會安裝時間可能要一個多小時，這種情況不是卡死請耐心等待

錯誤碼是2147942423(資料錯誤,循環備援檢查)的解決方法7.1.以管理者身份運作cmd，輸入指令chkdsk /r -->如果顯示無法鎖定目前驅動器則繼續輸入-->y-->回車後重新開機計算機，重新開機完後再安裝kb4012212便可

早先勒索病毒蠕蟲onion原本有個停止傳播判斷媒介，可能是為了控制感染規模。但最新出現的蠕蟲變種wannacry已經取消了這個媒介，這意味着它會毫無限制的自動傳播。人會累，但機器不會，隻要有一台帶毒機器開着，蠕蟲就不會停。今天開機一定注意做好防護措施！

附上最新一個可能恢複檔案方法:以往勒索病毒一般是把原始檔案用垃圾資料多次覆寫後删除，要麼是直接篡改原始檔案。這次wncry蠕蟲卻是直接删原始檔案，留下一線生機，是以才有機會恢複，删除檔案恢複的原理，不能保證恢複所有檔案，但總比沒有強▼

▲找回被病毒删的檔案恢複方法:使用任意檔案恢複工具，多次嘗試恢複電腦被删檔案，不放過任意一個可恢複檔案，逐個檢視是否為被删的重要檔案，最後備份已找回檔案（此方法為找回原始檔案已感染電腦可能的可行方法，如果電腦已經感染請按照以上步驟測試是否可行）