@zander LZ 确实是外行……如果这贴只起到增加噪音的作用，把它沉了我也没啥好说的……

@Technetiumer 点水不漏的勒索需要收集足够的熵……不知道这个有没有可能作为检测的“靶标”？

Windows Defender 确实爆出洞了，不知道影响有多大，就怕是格式化 C 盘重装，扫到 D 盘病毒复活那种……
另外，看过 360 的一些文章，发现有些软件很可能带着 Nday 漏洞的 Flash 等组件，还会用明文 HTTP 协议联网……有多坑可想而知。用户因为这个中招的例子也是有的。

我看过一些媒体报道，印象中，勒索软件就是这样，技术都是现成的，但就是让受害者没办法，不愿意支付赎金，就只能放弃被加密的文件。
但是这波 WanaCry 好像比较蠢，作者忘记让程序抹掉未加密的原文件了……好像已经有人尝试反删除软件成功恢复数据。
PS：个人不相信 360 阴谋论。

360 已经出分析了……发在安全客上。
看上去只有检查赎金、解密文件时才需要连 Tor，加密是离线完成的，而且特别丧病：每一台受害机都会生成一对唯一的 RSA 密钥，每一个文件也用了唯一的 AES 密钥。

360 已经出了一个“ 360 勒索蠕虫病毒文件恢复工具”。好像是个反删除工具，利用了勒索者忘记擦除未加密文件的疏漏。

根据这篇分析，病毒开始加密时并不需要回传密钥，只有在检查赎金是否支付时才需要连上 Tor，然后透过 Tor 检查是否已经支付赎金、上传加密过的 RSA 私钥。

@geelaw 360 已经出分析了：
http://bobao.360.cn/learning/detail/3853.html
真是丧病，每一台受害机器都用新生成的 RSA 密钥对，而且每一个文件都用新生成的 AES 密钥，如果做得点水不漏，就算 dump 内存都只能解救一个文件。

@ouqihang 我觉得卡巴的分析好像不太严谨，SMBv1 都打成 SMBv2 了……

@opnb 正解。
亲测双击弹 UAC，但 TCP 445 端口传染时，受害机器 UAC 开到顶也不会弹。

@gdtv
不够安全，如果你的宿主系统没打补丁，不安全，而且直接给试毒的虚拟机分配了网卡，那就 GG 了。

我觉得不是这个专业的还是别瞎折腾了……现在信息噪音已经很大了，各种谣言飞起。

去 FreeBuf 看看吧：
http://www.freebuf.com/vuls/134508.html
没 GUI，但简单粗暴有效……

@Laforet 为啥我看最近才装的 Win10 15063 虚拟机里 SMBv1 是安装的？虽然安装了，实际上也是禁用的么？

@gdtv
我也只是外行啊……我说的仅供参考。
TPM 如果没设 PIN，或者即使开了 PIN，但对方拿到电脑时还没关机，那理论上可能被冷冻内存法直接 dump 内存找出密钥。对了，还有硬件加密没考虑，也许硬盘支持硬件加密，内存里就没密钥了，可能更安全一些。
如果真的对安全要求那么高，那系统安全也得把守住，否则可能被键盘记录、mimikatz 之类手段搞到密码（复杂密码也可能泄露啊）。而且，如果平时使用时，系统有漏洞，或者自己手贱了，中了木马，也会 GG。

打补丁，装杀软（开勒索防护！很多是默认不开勒索防护的），用路由器，平时不作死。

@gdtv U 盘有解锁密码啊，直接 manage-bde 命令就解开了。如果没有 EFS 之类保护，文件就随便拷了。