WannaCry（又稱為WanaCrypt0r 2.0）是一款電腦勒索病毒，通過電子郵件傳播。該病毒會加密用戶的數據，然后要求用戶付款作為解鎖數據的交換。從2017年5月12日開始，該病毒攻擊了包括西班牙、英國、意大利、俄羅斯、中國在內的眾多國家。據《衛報》報道，在西班牙，包括電信公司Telefónica在內的許多大公司都被感染。在英國，國民健康服務體系（NHS）因為受到攻擊而運營中斷，X光檢查無法進行，檢查結果和病歷無法訪問。

但是，病毒傳播突然停止了，因為網絡安全研究人員@malwaretechblog在Darien Huss（來自安全公司Proofpoint）的幫助下無意間發現并激活了惡意軟件中的Kill Switch。他在接受采訪時說：

我中午和朋友出去吃飯，在大約3點回來的時候，我看到網上突然出現了大量有關NHS和多個UK組織遭到攻擊的新聞。我大致了解了一下，然后找到了一個惡意軟件樣本，我發現它正在連接一個特定的域名，那個域名并沒有被注冊。所以，我是無意間發現的，我那會并不知道它在做什么。

為了防止創建者想要阻止病毒傳播，Kill Switch被硬編碼在惡意軟件中。其中包括一個非常長的、沒有意義的域名，惡意軟件會向它發送請求，如果請求返回，則表明域名是活的，Kill Switch就會發揮作用，而惡意軟件就會停止傳播。一經注冊，該域名每秒就登記成千上萬的連接。

按照MalwareTech的說法，他之所以購買這個域名，是因為他的公司追蹤僵尸網絡，通過注冊這些域名，他們可以深入了解僵尸網絡如何擴散。他說，“我的初衷只是監控其傳播，看看我們后續是否可以做點相關的工作。但我們竟然通過注冊這個域名阻止了傳播。”但他很快就意識到“我們還需要阻止其他的攻擊方法”。他計劃繼續持有該URL，和他的同事一起收集IP，并發送給執法機關，由他們通知被感染的受害者，因為并不是所有被感染的人都知道自己被感染了。同時，他建議人們升級系統，并補充說：

這事還沒完。攻擊者會意識到我們如何阻止了它的傳播，他們會修改代碼，然后重新開始。務必啟用Windows升級功能，升級然后重啟。

來自Proofpoint的Ryan Kalember表示，@malwaretechblog注冊這個域名太晚了，沒能幫助歐洲和亞洲，因為許多組織已經被感染了。Kill Switch并不能幫助那些已經被勒索軟件感染的計算機。但是，他讓美國人有更多的時間在被感染之前升級他們的系統，提高防護能力。另外，可能會有包含不同Kill Switch的惡意軟件變種繼續傳播。

針對WannaCrypt攻擊，微軟專門發布了一份用戶指南。該指南詳細說明了個人和企業應該采取的防護步驟。此外，為了保護僅有用戶支持服務的Windows平臺（其中包括Windows XP、Windows 8和Windows Server 2003），他們向這些平臺的用戶提供了安全升級補丁。按照微軟的說法，運行Windows 10的用戶目前還不是攻擊目標。

3月份的時候，微軟發布了一個安全升級補丁，用于消除這些攻擊利用的漏洞。已經啟用Windows升級功能的用戶可以抵御針對這個漏洞的攻擊。微軟建議，那些沒有應用安全升級補丁的組織應該立即部署Microsoft Security Bulletin MS17-010。對于使用Windows Defender的用戶，微軟發布了一個可以檢測到Ransom:Win32/WannaCrypt威脅的補丁。另外，微軟提醒用戶：

攻擊類型可能會隨時間進化，因此，任何額外的深度防護策略都會提供額外的防護。（例如，為了進一步抵御SMBv1攻擊，用戶應該考慮阻斷他們網絡中的遺留協議）。

……

已經觀察到的部分攻擊使用了常見的釣魚式攻擊策略，包括惡意附件。用戶在打開來自不受信任或未知來源的文檔時要保持警惕。對于Office 365用戶，我們會繼續監控和升級，以抵御這類威脅。

要了解有關該惡意軟件的更多信息，可以登錄微軟惡意軟件防護中心。