编辑“拉撒路集团（Lazarus Group）”（章节）

=== 2017年：WannaCry勒索病毒 ===
WannaCry攻击是一场大规模的勒索软件网络攻击，发生在2017年5月12日，波及全球多个机构，从英国的NHS（国家医疗服务体系）、波音公司，到中国的大学等。此次攻击持续了7小时19分钟。欧洲刑警组织估计，WannaCry影响了150个国家的近20万台计算机，影响了医疗、教育、银行等多个行业，导致了巨大的经济损失。

这是加密蠕虫（cryptoworm）攻击的首次大规模应用之一。加密蠕虫是一类能够通过网络在计算机之间传播的恶意软件，不需要用户的直接操作就能感染计算机——在此次攻击中，漏洞利用的是TCP端口445。要感染计算机，用户不需要点击恶意链接——恶意软件能够自主传播，从一台计算机传播到连接的打印机，再进一步传播到相邻的计算机，甚至可能通过WiFi传播。端口445的漏洞使得恶意软件能够在内部网络中自由传播，迅速感染成千上万台计算机。WannaCry攻击是加密蠕虫首次大规模应用的标志之一<ref>[https://www.computerworld.com/article/1671286/cryptoworms-the-future-of-ransomware-hell.html Cryptoworms: The future of ransomware hell] – Computerworld</ref>。

==== 攻击 ====
该病毒利用了Windows操作系统中的一个漏洞，然后加密计算机的数据，要求支付大约300美元的比特币以获取解密密钥。为了鼓励支付，赎金要求在三天后翻倍，如果在一周内未支付，恶意软件将删除加密的数据文件。该恶意软件使用了微软制作的名为Windows Crypto的合法软件来加密文件。一旦加密完成，文件名后会附加“Wincry”，这也是WannaCry名称的由来。Wincry是加密的基础，但恶意软件还利用了两个额外的漏洞，即EternalBlue和DoublePulsar，使其成为一种加密蠕虫。EternalBlue自动通过网络传播病毒，而DoublePulsar则触发它在受害者的计算机上激活。换句话说，EternalBlue将感染链接发送到你的计算机，而DoublePulsar则帮你点击了链接。

轻易的终止开关和缺乏收入使很多人相信这次攻击是国家支持的；其动机不是经济补偿，而只是为了制造混乱。攻击发生后，安全专家将''DoublePulsar''漏洞追溯到美国国家安全局，该漏洞在那里被开发成网络武器。该漏洞随后被黑客组织Shadow Brokers窃取，他们先是试图拍卖它，但没有成功，然后干脆免费赠送。美国国家安全局随后向微软披露了这一漏洞，微软在2017年3月14日发布了更新，这距离攻击发生不到一个月。但这还不够。更新不是强制性的，大多数存在漏洞的计算机在5月12日之前都没有解决问题，这导致了这次攻击惊人的有效性。

美国司法部和英国当局后来将WannaCry攻击归咎于朝鲜黑客团伙拉撒路集团<ref>Office of Public Affairs | [https://www.justice.gov/archives/opa/pr/north-korean-regime-backed-programmer-charged-conspiracy-conduct-multiple-cyber-attacks-and North Korean Regime-Backed Programmer Charged With Conspiracy to Conduct Multiple Cyber Attacks and Intrusions] | United States Department of Justice</ref>。