在100个国家的75000台机器被勒索病毒感染一天后，微软采取了极不寻常的措施，发布补丁来免疫Windows XP、8和Server 2003，该公司早在三年前就停止了对这些操作系统的支持。

这种混乱令许多安全观察人士感到意外，因为微软在3月份发布了一项更新，修补了Windows 7和大多数其他受支持的Windows版本的潜在漏洞。(Windows 10从不脆弱。)周五的事件清楚地表明，有足够多未修补的系统存在，足以导致在未来几天或几个月内可能再次发生的重大疫情。在上周五晚间发布的一篇博客文章中，微软管理人员写道:

我们还知道，我们的一些客户正在运行的Windows版本不再得到主流的支持。这意味着这些客户将不会收到上述安全更新在3月发布。考虑到对客户及其业务的潜在影响，我们决定对仅支持自定义的Windows XP、Windows 8和Windows Server 2003平台进行安全更新。

这个决定是基于对这种情况的评估做出的，并始终牢记保护客户生态系统的原则。

微软发布补丁的同时表示，它仍然不知道上周五WCry病毒爆发的确切起点是什么。周五的病毒爆发似乎得到了控制，一个关键的问题是，这种自我复制的蠕虫是如何第一次进入的，这样它就可以继续从脆弱的机器传播到脆弱的机器。

至少有两家安全公司——fox - it here和CrowdStrike here——表示，向最终用户发送虚假发票的垃圾邮件，为这种自我复制的攻击提供了关键的初始载体，但这三家公司都没有生产副本。一些研究人员怀疑，在没有留下大量证据的情况下，一个通用的电子邮件活动可能是唯一的初始载体。在周五晚上发布的一篇博客中，微软官员写道:

我们还没有发现这种威胁使用的确切的初始进入载体的证据，但我们认为有两种情况是非常可能的:

这篇博文接着说，这种蠕虫“对互联网IP地址进行大规模扫描，以发现并感染其他易受攻击的电脑。”

FOX-IT还在其博客文章中说，“似乎有多种感染载体”，但文章没有详细说明。FOX-IT的研究人员Maarten van Dantzig在Twitter here and here上说，他怀疑电子邮件是部分(但不是全部)疫情爆发的最初媒介。思科系统Talos集团的研究人员甚至更进一步，写道:“我们的研究还不支持电子邮件是最初的感染媒介。分析正在进行中。”

勒索软件可以在没有任何形式的终端用户交互的情况下在互联网上病毒式传播，这种可能性令人不寒而栗。最近几周进行的全互联网扫描显示，多达230万台计算机有必要的端口445接入互联网。扫描结果还显示，130万台Windows电脑没有打补丁。

运行未打补丁的机器的人应该立即采取行动。最好的方法是使用此链接对受支持的版本进行修补，或者使用此链接对XP、8和Server 2003进行修补。不能使用补丁的用户应该确保他们的计算机被锁定，其中包括阻止外部访问端口138、139和445。它们还应该禁用服务器消息块协议的版本1。

周五的攻击可能会更糟，如果攻击者没有因为没有注册一个硬编码到他们的攻击中作为一种“杀死开关”的互联网域而出错的话。如果他们想要关闭蠕虫，他们可以激活这个“杀死开关”。这使得快速行动的研究人员能够注册域名，并在攻击势头增强时阻止大部分攻击。

随时都可能发生新的袭击。下次，防守者可能就没那么幸运了。正如微软的博客文章所表明的那样，易受攻击的机器不仅对它们自己，而且对整个世界都是危险的。