勒索软件WannaCry的FAQ

什么是勒索软件

勒索软件就是利用加密手段，加密感染机器上的特定文件。要求用户支付赎金（通常为比特币）后，黑客会解密被加密的文件。

什么是比特币

比特币利用区块链(Block chain)技术，通过计算产生，总量趋于一个固定值，可以兑换成一些现实货币。

WannaCry勒索软件为什么会这么火

勒索软件流程时间比较长，但是WannaCry作为勒索软件中的一员，利用了NSA方程式组织的SMB漏洞利用工具EternalBlue来远程执行任意代码，这个漏洞在2017年3月微软补丁日被修复，补丁编号MS17-010。因为修复时间比较近，而且由于某些原因，国内打补丁的习惯并没有养成。

WannaCry是怎么加密的

简要的说WannaCry是通过AES和RSA共同加密。其中AES是对称加密（加密密钥和解密密钥是同一个），RSA是非对称加密（加密密钥和解密密钥不同，公钥用来加密、私钥用来解密，反之也可）。 作者有个公私钥对A1/A2，把公钥A1内置在程序中。当程序运行时再生成一对公私钥对B1/B2，用公钥A1加密私钥B2。WannaCry对每个文件生成一个随机AES密钥，然后用这个密钥来加密对应的文件。随后，用生成的RSA公钥B1来加密这个AES密钥。

WannaCry支付赎金后黑客是否可以解开被加密的文件

可以。解密流程是这样的，支付赎金后将Transaction id和被加密的RSA密钥B2的发给黑客。黑客验证通过即可用RSA私钥解开被加密的密钥B2，然后用户就可以用被解密密钥B2来解密AES密钥，用被解密的AES密钥来恢复被加密的文件。

网上说的各种数据恢复工具可以恢复数据吗

网上的一些号称解密程序基本都是基于删除的文件恢复，删除文件恢复的原理是当系统删除文件的时候并不会真正的删除文件，而是标记这块区域没有占用，只要这块内容没有被覆盖则很有可能恢复。但是WannaCry是一边删除一边写文件，而且会向源文件写入随机内容。所以基于误删恢复的基本不太可能。

不交赎金是否有办法恢复加密后的文件

基本不可能。

更新微软补丁能否防止勒索软件攻击

微软补丁只是防止勒索软件利用远程代码执行的漏洞进行传播，如果在电脑上运行了勒索软件还是会被勒索。

以后如何防止类似的事情发生

安装一线厂商的杀毒软件，如卡巴斯基，BitDefender等。