为什么会爆发勒索病毒

时间：2017-09-07 10:01:14

为什么会爆发勒索病毒

导语：互联网盛行的今天，最怕的就是病毒入侵电脑!然而上百国家遭“感染”勒索病毒是怎么回事呢?为什么会爆发勒索病毒呢?杀毒技术有待提高!据悉，遭勒索病毒“感染”的电脑会收到一封“勒索信”，内容为想要解锁文档需支付300美金等价的比特币。5月12日起，我国多所高校遭遇网络勒索病毒攻击。被攻击的电脑上文档资料被黑客锁定，弹出界面提示，须支付价值300美元(约合人民币2000元)的“比特币”才能解锁。

为什么会爆发勒索病毒

原标题：上百国家遭“感染”，这波勒索病毒为何如此凶猛?

电脑屏幕突然显示一封勒索信，能选择中文、韩文、日文、英文等，大致内容是，想要解锁文档，需支付300美金等价的比特币……

▲遭勒索病毒“感染”的电脑会收到一封“勒索信”，内容为想要解锁文档需支付300美金等价的比特币。

5月12日起，我国多所高校遭遇网络勒索病毒攻击。被攻击的电脑上文档资料被黑客锁定，弹出界面提示，须支付价值300美元(约合人民币2000元)的“比特币”才能解锁。

记者了解到，包括山东大学、浙江大学、南昌大学、淮阴工学院、宁波大学、杭州师范大学等多所高校电脑“中招”。而清华大学、复旦大学等高校陆续发布防范信息，提醒学生不要点开来路不明的链接，并安装杀毒软件。

▲复旦大学发布防范信息。

病毒攻击并不仅局限在我国及高校内。国家网络与信息安全信息通报中心称：5月12日20时许，新型“蠕虫”式勒索病毒爆发，目前已有100多个国家和地区的数万台电脑遭该勒索病毒感染。

今日下午，公安部网安局一位工作人员表示，已关注到此事，并已开始着手调查。目前尚未接到关于此次病毒事件的报告，建议网友使用一些网络安全工具检查个人电脑，同时加强防范，防止中毒遭受损失。

大学寝室电脑收到“勒索信”

昨天下午6点多，南昌大学大三学生李敏(化名)打开电脑接收室友论文帮忙改格式时，发现网很卡，保存也很慢，甚至白屏了半分钟。

“随后，电脑屏幕突然显示一封勒索信，能选择中文、韩文、日文、英文等，大致内容是，想要解锁文档，需支付300美金等价的比特币”。李敏说，现在自己大部分文件都打不开，包括双学位毕业论文、答辩ppt及一些有记录信息的图片等。

此外，自己班上有三位同学都遇到这种情况。

该校新传院大三学生张宏莉回忆，她登录学校的移动网下载论文，昨晚10时发现电脑中毒。

“当时C盘文件拓展名都被改了，我第一反应是用硬盘拷下来还完好的文件，没想到备份硬盘也中毒了。”她表示，之后安装了微软补丁也无济于事，“电脑和备份硬盘的照片都被绑架了，希望尽快找到解决方案，实在没办法只能重装系统。”

新京报(ID:bjnews_xjb)记者了解到，昨日下午起，清华、复旦、浙大、山东大学等多所高校的校园网，均遭到病毒入侵。学生在链接校园网后，电脑中部分文档被锁定，有黑客留下联系方式，表示要恢复文档必须支付比特币。

▲山东大学发布防范信息。

“昨晚，病毒入侵了校区和附近小区的电子阅览室，当时一些学生正链接校园网查询论文资料，电脑和U盘中的文件忽然被锁定”。山东大学的同学介绍，界面出现一个红色对话框，黑客留下联系方式，要求支付比特币才提供解密服务，超过三天未支付还会涨价。

淮阴工学院一名同学表示，自己正在写毕业论文时，电脑突然出现弹窗，后来论文、知网下载的文档都变成不可读。其尝试去淘宝购买修复服务，被告知“最近勒索病毒猖獗，本店咨询暴增”，因修复价格太高，最终选择重写论文。

清华大学早在4月15日就发布通知，为防止校园网内部主机受到外部攻击，校园网出口封禁TCP端口139、445、3389。今日再次发布紧急通知称，多所高校疫情严重，由于此前已采取封禁措施，最近两次全球大规模网络安全疫情均未大面积危害校园网络和用户。

加油站无法网络支付

除了高校外，多名网友还表示，今日全国多地的加油站在加油时，无法进行网络支付，只能使用现金。

今日下午，中国石油(华威南路加油站)一名工作人员表示，由于中国石油的网络出现问题，现在只能使用现金和加油卡进行消费，而且加油卡无法使用圈存功能。

中石油北京左安路加油站也遭遇相同的情况，工作人员称，凌晨一点多发现网络出了问题。上午接到通知称，集团公司出现网络故障，正在抢修中，但具体原因对方表示并不知情。

中石油辽阳石化分公司一位不愿透露姓名的工作人员向新京报记者透露，接到集团公司信息安全中心通报称，12日晚开始，陆续出现针对Windows操作系统的敲诈者病毒，中毒计算机/服务器的文件被加密，并出现索要赎金的画面。目前公司网络与系统暂停服务，如发现电脑感染病毒，应立即关闭该电脑，拔掉网线，并上报情况。而公司网络恢复时间将另行通知。

据媒体报道，中石油有关负责人表示，目前公司加油站的加油业务和现金支付业务正常运行，但是第三方支付无法使用，怀疑受到病毒攻击，具体情况还在核查处置中。

上百国家和地区遭“感染”

病毒攻击并不仅局限在我国。今日，国家网络与信息安全信息通报中心紧急通报：5月12日20时许，新型“蠕虫”式勒索病毒爆发，目前已有100多个国家和地区的数万台电脑遭该勒索病毒感染。

今日凌晨，微博“英国那些事儿”发文，一个多小时前，英国16家医院遭到大范围网络攻击，医院内网被攻陷，电脑被锁定，电话打不通。黑客索要每家医院300比特币的赎金，否则将删除所有资料。这16家机构对外联系基本中断，内部恢复使用纸笔进行紧急预案。英国国家网络安全部门正在调查。

腾讯公司安全部门向新京报提供的数据显示，初步统计，该“蠕虫”已影响了约上百个国家的学校、医院、机场、银行、加油站等设备，使得这些设备上的文档资料全部被加密，损失惨重。

据IT之家消息，目前受感染地区主要集中在中国中部和东南沿海地区，欧洲大陆、美国五大湖地区。中国、欧洲大陆地区受到的感染情况最为严重。

▲浙江大学发布防范信息。

揭秘1 罪魁祸首是“永恒之蓝”病毒

今日上午，360公司董事长周鸿祎发微博称，此次校园网勒索病毒是由NSA泄露的“永恒之蓝”黑客武器传播的。“永恒之蓝”可远程攻击Windows的445端口(文件共享)，如果系统没有安装今年3月的微软补丁，无需用户任何操作，只要开机上网，“永恒之蓝”就能在电脑里执行任意代码，植入勒索病毒等恶意程序。

国家互联网应急中心介绍，已着手对勒索软件及相关网络攻击活动进行监测，13日9时30分至12时，境内境外约101.1万个IP地址遭受“永恒之蓝”SMB漏洞攻击工具的攻击尝试，发起攻击尝试的IP地址(包括进行攻击尝试的主机地址及可能已感染蠕虫的主机地址)数量9300余个。

中心连发两条通报称，勒索软件利用此前披露的Windows SMB服务漏洞攻击手段，向终端用户进行渗透传播，并勒索比特币或其他价值物。包括高校、能源等重要信息系统在内的多个国内用户受到攻击，对我国互联网络构成较为严重的安全威胁。

综合样本情况和分析结果，勒索软件在传播时基于445端口并利用SMB服务漏洞，总体可以判断是由于此前“Shadow Brokers”披露漏洞攻击工具而导致的后续黑产攻击威胁。

当用户主机系统被该勒索软件入侵后，弹出勒索对话框，提示勒索目的并索要比特币。而对于用户主机上的重要文件，如：照片、图片、文档、压缩包、音频、视频、可执行程序等几乎所有类型的文件，都被加密的文件后缀名统一修改为“.WNCRY”。

另据《纽约时报》报道，周五开始，黑客利用从美国国家安全局窃取的恶意软件，执行破坏性的网络攻击。本次攻击似乎是迄今为止范围最广的一次勒索软件袭击，损失暂时还无法估量。

该软件被认为是美国国家安全局网络武器库的一部分。

去年夏天起，名为“影子经纪人”的团体开始公开美国政府的黑客武器。目前美国政府尚未承认“影子经纪人”的武器属于美国国安局，但有前情报官员称，这些武器来自国安局“量身定做行动”部门，该部门渗透了外国计算机网络。

▲遭勒索病毒“感染”的电脑桌面。

揭秘2 “勒索病毒”有何特点?

腾讯公司的安全专家指出，这次病毒爆发事件，实际上是一次蠕虫攻击，威力等同于当年的conficker。该蠕虫一旦攻击进入能链接公网的用户机器，就会利用内置了EnternalBlue的攻击代码，自动在内网里寻找开启了445端口的机器进行渗透。一旦发现内网中存在漏洞的机器，不仅继续传播内置漏洞扫描的蠕虫病毒，还会传播敲诈者病毒，从而导致用户机器上的所有文档被加密。

360公司提供的数据显示，国内首先出现的是ONION病毒，平均每小时攻击约200次，夜间高峰期达到每小时1000多次;WNCRY勒索病毒则是5月12日下午新出现的全球性攻击，并在中国的校园网迅速扩散，夜间高峰期每小时攻击约4000次。

360安全卫士的专家指出，“永恒之蓝”勒索病毒以ONION和WNCRY两个家族为主，受害机器的磁盘文件会被篡改为相应的后缀，图片、文档、视频、压缩包等各类资料都无法正常打开，只有支付赎金才能解密恢复。这两类勒索病毒，勒索金额分别是5个比特币和300美元，折合人民币分别为5万多元和2000多元。

揭秘3 为何高校成“重灾区”?

国家互联网应急中心发布公告称，此次攻击主要基于445端口，互联网上共900余万台主机IP暴露445端口(端口开放)，而中国大陆地区主机IP有300余万台。

中国高等教育学会教育信息化分会网络信息安全工作组(简称安全工作组)也发布声明称，经过初步调查，此类勒索病毒利用了基于445端口传播扩散的SMB漏洞，部分学校感染台数较多，大量重要信息被加密，只有支付高额的比特币赎金才能解密恢复文件，损失严重。

中国信息安全研究院副院长左晓栋表示，由于国内曾多次出现利用445端口传播的蠕虫病毒，部分运营商对个人用户封掉了445端口。但是教育网并无此限制，存在大量暴露着445端口的机器，因此成为不法分子使用NSA黑客武器攻击的重灾区。

杭州安恒信息技术有限公司创始人、总裁范渊表示，某些特定行业网成为“重灾区”，是因为没有限制445端口，因此攻击变成有效的攻击，影响了很多学校，还有一小部分医疗机构。

“可以通过更新微软发布的补丁进行防范，但对已受到攻击的用户，解决仍是难题，还在想对策。”范渊介绍，前段时间已检测到零星的勒索病毒，多数单位可能对这个问题没有足够重视。

受到攻击后，今天一早该公司已配合相关单位进行快速处置，把端口关闭。其表示，今后要提前做好相关预防工作，网络安全意识要不断提高，同时，主动性的预判研判还要不断加强，要引起足够的警觉。

防范对策!6个步骤抵御勒索病毒

安全工作组提出两条个人预防措施：未升级操作系统的处理方式(不推荐，临时缓解)：启用并打开“Windows防火墙”，进入“高级设置”，在入站规则里禁用“文件和打印机共享”相关规则;升级操作系统的处理方式(推荐)：建议广大师生使用自动更新升级到Windows的最新版本。

对于学校等单位，安全工作组建议，在边界出口交换路由设备禁止外网对校园网135/137/139/445端口的连接，同时，在校园网络核心主干交换路由设备禁止135/137/139/445端口的连接。

腾讯公司的安全专家指出，目前微软已经紧急发布了之前未支持的XP、win8、Windows server2003等系统的补丁，加上之前的补丁，微软已支持所有主流系统的补丁，建议用户使用电脑管家修补补丁，以及开启管家进行防御。

国家互联网应急中心建议，用户及时更新Windows已发布的安全补丁更新，同时在网络边界、内部网络区域、主机资产、数据备份方面做好如下工作：

1.关闭445等端口(其他关联端口如: 135、137、139)的外部网络访问权限，在服务器上关闭不必要的上述服务端口;

2.加强对445等端口的内部网络区域访问审计，及时发现非授权行为或潜在的攻击行为;

3.及时更新操作系统补丁;

4.安装并及时更新杀毒软件;

5.不要轻易打开来源不明的电子邮件;

6.定期在不同的存储介质上备份信息系统业务和个人数据。

注意了!比特币“躺枪”，交易需谨慎

由于此次病毒爆发需要受害者支付比特币来解封电脑，因此该病毒又被一些媒体称为“比特币病毒”。

对此，微博名为“超级比特币”的国内某知名比特币公司高管认为，比特币并非病毒，这次电脑病毒名为“永恒之蓝”，比特币纯属“躺枪”。

该高管告诉新京报(ID:bjnews_xjb)记者，比特币不是病毒，更不是病毒的温床，不管是从字面意义还是实际意义，电脑病毒的温床是有安全漏洞的windows系统。他期待这次事件背后的黑客能尽早被抓归案，比特币“不应该被利用，也不应该被指责”。

他提醒网友，由于自己没有亲测，因此不知道支付了比特币后，被病毒攻击的电脑是否能解封。目前国内很多比特币交易所是不能提取比特币的，若网友想购买比特币去支付赎金解封电脑，需要选择能够提币的交易所，不然会遭受第二次损失。

但并非所有人都认为比特币“无辜”。一位从事金融工作的知乎网友说，“我一直对比特币很抵触”。他认为，这个货币没有信用依托，“还衍生出了一大帮骗子”，对洗钱和本次事件中索要“赎金”的人来说，比特币“还真就好用”，希望政府能够加强对比特币的监管。

为什么会爆发勒索病毒

本周二开始了新一轮网络攻击，初看上去跟 5 月份的 WannaCry 勒索攻击相似。

这次，新的蠕虫病毒 PetyaWrap 攻击了乌克兰、俄罗斯、美国以及多个欧洲国家的 30 万台电脑。受影响的包括丹麦航运企业集团马士基(Maersk)、英国制药公司默克(Merck)和广告公司 WPP 等，至少有 30 万台电脑受到了攻击。根据卡巴斯基的分析，病毒主要影响的是乌克兰。

起初这是另一起勒索攻击。攻击者加密电脑文件，索要价值 300 美元的比特币作为解密的秘钥的价格。再加上，PetyaWrap 病毒被认为再一次使用了美国安全局(NSA)的漏洞“永恒之蓝”(Eternal Blue)，也有一些网络安全专家称这次是 WannaCry2。

PetyaWrap 病毒也勒索用户|图片来自：ArsTechnica

最新的消息是，除了最基本的 Windows 系统升级到最新版本外，目前还有安全专家找到了“疫苗”，可以中断 PetyaWrap 病毒的加密进程。

网络安全专家 Amit Serper 发现，只需要在 Windows 电脑内的特定区域新建一个特殊的只读文件，就可以中断 PetyaWrap 病毒的加密进程。这一防护机制已经被其他安全公司确认有效。

设置步骤如下：

打开“文件夹选项”，取消勾选“隐藏已知文件类型的扩展名”

打开C:Windows 文件夹，找到 notepad.exe 这个文件后复制、粘贴

将复制好的 notepad.exe 重命名为 perfc，并且在右键菜单栏里的属性将其设置为只读

这跟 5 月份安全专家阻止 WannaCry 进一步扩散不同。当时的做法是通过注册一个服务器域名，阻止了 WannaCry 进一步扩散，现在这次针对 PetyaWrap 的防护，用户需要做的就是在本地新建这个文件。

在这背后，是因为 PetyaWrap 病毒跟此前的 WannaCry 虽然使用了相同的漏洞，但攻击方式是不同的，WannaCry 想要勒索用户，但 PetyaWrap 病毒的目标可能是销毁 Windows 电脑上的数据。

包括卡巴斯基、虚拟机软件公司 VMWare 等几家安全研究机构称，这次 PetyaWrap 攻击工具是基于去年出现的勒索软件 Petya 改的，但攻击者修改了部分代码后，PetyaWrap 给电脑文件加密后，会将其销毁。

根据网络安全公司 Comae 创始人、安全专家 Matt Suiche 的解释，这两者在目的、攻击方式都是不同的。勒索软件目的是赚取攻击对象的赎金，攻击方式是给电脑文件加密，保留解密的秘钥。但现在的 PetyaWrap 伪装成勒索软件，可能是为了吸引外界的注意力，以便销毁电脑文件。

相比上次的 WannaCry 电脑诈骗案来说，这次比较快的发现了可能的病毒传播源头。

微软和乌克兰的警方昨天称，他们有证据说明，PetyaWrap 病毒的源头来自于乌克兰一家开发会计软件的 M.E.Doc 公司。微软称，M.E.Doc 公司的一次软件更新包中被放入了病毒软件，这个病毒通过这次更新传播到了该公司的客户中。

但 M.E.Doc 在 Facebook 的声明中称，在病毒扩散这件事上它没有责任，还说，M.E.Doc 公司的部分服务同样受到影响。

此外，现在即便被攻击的用户想要支付赎金，解锁电脑文件也无法联系到攻击者了。

德国邮箱供应商 Posteo 发现，这次攻击者使用的是他们的邮箱服务，随即将其屏蔽，现在攻击者无法收到邮件，也就无法收到被攻击对象的赎金。Posteo 给出的说法是，他们不能容忍这类行为，还说攻击者很可能不会给秘钥。目前攻击者共收到了价值 7500 美元的比特币。

攻击者的邮箱被屏蔽了|图片来自：Mikko Hypponen/Twitter

但也有人指责 Posteo 的做法是“愚蠢的”，称这直接导致的后果就是，用户即便想要支付赎金现在也没有渠道了。

为什么会爆发勒索病毒

全新Petya勒索病毒爆发

Petya勒索病毒肆虐欧洲，入侵中国

6月27日，据国外媒体在twitter爆料，乌克兰政府机构遭大规模攻击，其中乌克兰副总理的电脑均遭受攻击。目前为止，仅俄罗斯和乌克兰两国就有80多家公司被Petya病毒感染。该病毒代号为“Petya”，腾讯电脑管家溯源追踪到中国区最早攻击发生在2017年6月27号早上，通过邮箱附件传播。

Petya勒索病毒与WannaCry相似

该病毒传播方式与今年5月爆发的WannaCry病毒非常相似。病毒连接时使用的是“永恒之蓝”(EternalBlue)漏洞，这个漏洞在之前的WannaCry勒索病毒中也被使用过，是造成WannaCry全球快速爆发的重要原因之一，此次Petya勒索病毒也是借助了此漏洞达到了快速传播的目的。

Petya勒索病毒传播路径

腾讯电脑管家分析后发现病毒样本运行之后，会枚举内网中的电脑，并尝试在445等端口使用SMB协议进行连接。同时，病毒会修改系统的MBR引导扇区，当电脑重启时，病毒代码会在Windows操作系统之前接管电脑，执行加密等恶意操作。电脑重启后，会显示一个伪装的界面，假称正在进行磁盘扫描，实际上正在对磁盘数据进行加密操作。加密完成后，病毒才露出真正的嘴脸，要求受害者支付赎金。

Petya勒索病毒全面防治指南

【普通用户】

一、下载“勒索病毒离线版免疫工具”

1、在另一台无重要文档的电脑上下载“全新勒索病毒免疫工具”(简称“免疫工具”)