最近，Sophos发表了最新研究报告《WannaCry余波未了》(WannaCry Aftershock)，披露恶名昭著的恶意软件WannaCry自2017年5月12日发动全球攻击后的动向。SophosLabs研究发现WannaCry依然猖獗，每月仍有数以百万次的攻击被阻挡，同时即使原始版本没有更新，仍有成千上万的短命变种流传。

侦测数量依然高居不下 ── 仅在2019年8月已有430万宗攻击遭阻截

成千上万的短命变种不断来袭：Sophos 于2018年下半年发现12,480个独有变种，于本年8月发现6,963个 (80%为新变种)

自2018年起，超过2,000个样本显示它们能够绕过Kill Switch自我毁灭机制，但无法加密数据

WannaCry持续肆虐，主要原因在于这些新变种能够绕过软件本来的Kill Switch自我毁灭机制。然而Sophos研究人员分析和执行多个变种的样本后，发现这些新变种已因代码受损而失去对数据加密的能力。

若WannaCry发现攻击目标事前已受到感染，就会转为针对另一部电脑，因而早已被WannaCry惰性版本感染的装置会受到保护，逃过被活跃代码影响的厄运。简单来说，WannaCry的新变种意外地成了“预防疫苗”，至令仍未修补系统且存有漏洞的电脑日后免受同一款恶意软件的攻击。

问题是，这些电脑受到惰性版本的感染，极有可能是因为未有更新早于两年多前便已推出的修补程序，以堵塞WannaCry所利用的漏洞。

原来的WannaCry恶意软件只曾被侦测过40次，但SophosLabs的研究人员其后却识别出12,480个原始代码的变种。他们对其中超过2,700个样本 (占侦测总数98%) 进行了仔细检查，发现它们全部进化为能够绕过Kill Switch自我毁灭机制 (一种特定URL连结，恶意软件接上后就会自动终止感染过程)，并且都有损坏的勒索软件组件而且无法加密数据。

仅在2019年8月，Sophos便遥距侦测到430万宗WannaCry事故，涉及6,963个变种，而当中5,555款，即八成，为新发现档案。

Sophos研究人员也追溯到目前最为广泛流传的WannaCry变种首次出现的日子：2017年5月14日，也就是原始版本发动攻击的两天后。当时该变种被上传至VirusTotal免费恶意软件分析平台，但未曾被发现。

2017年爆发的WannaCry事件彻底改变了威胁生态，但我们的研究显示依然有无数电脑没有修补系统。假如你仍没有安装两年多前发布的更新，你究竟错过了多少个其他补丁呢?有些受害者非常幸运，因为WannaCry的变种使他们对这款恶意软件的新版本免疫。可是企业不能心存依赖，必须实施立即安装新发布补丁的标准政策，还要采用稳健的防护解决方案，以保障所有端点、网络和系统。”

免受WannaCry恶意软件和其他勒索软件攻击的方法

确保所有连接至公司网络的装置都列在清单上，并已安装最新的防护软件

一旦有最新的补丁推出，就立即为连上公司网络的所有装置安装

根据《How to Verify if a Machine is Vulnerable to EternalBlue - MS17-010》刊载的指示确认电脑是否已安装能够防止WannaCry利用EternalBlue漏洞进行攻击的修补程式

定期将最重要及现有的数据备份至离线储存装置，以免受制于勒索软件而要缴交赎金

安全防护并无灵丹妙药，但所有企业务必采用分层式防护作为最佳实践

例如Sophos Intercept X 采取全面的深度防御策略为端点提供保护，结合多种下一代领先技术以进行恶意软件侦测及漏洞防护，并内置端点侦测与响应 (EDR) 功能