“疫情”席卷全球，它為何如此兇猛

2017年5月12日晚上20時，勒索病毒席卷全球，這是一起大規(guī)模勒索軟件感染事件，并在持續(xù)。目前至少有上百個國家和地區(qū)受到嚴重影響。英國數(shù)十家醫(yī)院被攻擊，中國教育網(wǎng)內(nèi)多所大學紛紛中招，不少畢業(yè)生的畢業(yè)設計文件被鎖。在國內(nèi)，很多的企業(yè)內(nèi)網(wǎng)甚至是專網(wǎng)也未能幸免。醫(yī)療、企業(yè)、電力、能源、銀行、交通等多個行業(yè)均遭受不同程度的影響。

什么是勒索病毒

勒索病毒，是一種新型電腦病毒，主要以郵件和惡鏈木馬的形式進行傳播。主要通過郵件附件、釣魚郵件群發(fā)下載網(wǎng)址鏈接、用戶在惡意站點下載病毒文件以及網(wǎng)頁掛馬后進行傳播。該病毒性質(zhì)惡劣、危害極大，一旦感染將給用戶帶來無法估量的損失。

遇到勒索病毒感染的電腦將被鎖定，包括照片、圖片、文檔、壓縮包、音頻、視頻、可執(zhí)行程序等多種類型的文件被加密，被加密后的文件后綴名改為“.W N C R Y”，勒索病毒運用了高強度的加密算法，目前難以破解，暴力破解需要極高的運算量，基本不可能成功解密。受害者目前只能付錢消災。攻擊者甚至叫囂，如果在規(guī)定時間內(nèi)不付錢，金額翻倍，甚至刪除文件。

這到底是怎么回事？用最簡單的話解釋，就是電腦沒有及時安裝補丁更新，被漏洞利用程序攻擊，成功后，攻擊者將電腦上的文件加密，彈出勒索頁面，索要贖金。進而，攻擊者會植入遠程控制木馬、虛擬貨幣等惡意程序。

此次席卷全球的勒索病毒被稱為W annaC ry，目前還沒有統(tǒng)一的中文名稱，很多媒體按照字面翻譯為“想哭”。此病毒文件的大小為3.3MB，是一款蠕蟲勒索式惡意軟件。除Windows 10系統(tǒng)外，所有未及時安裝MS17- 010補丁的W indows系統(tǒng)都可能被攻擊。WannaCry通過MS17- 010漏洞進行快速感染和擴散，使用R SA+AES加密算法對文件進行加密。也就是說，一旦某個電腦被感染，同一網(wǎng)絡內(nèi)存在漏洞的主機都會被它主動攻擊，因此受感染的主機數(shù)量飛速增長。同時，W annaC ry包含28個國家語言，可謂細致。

以郵件為主要的傳播途徑

勒索病毒的目標性強，主要以郵件傳播為主。勒索病毒文件一旦進入本地，就會自動運行，同時刪除勒索軟件樣本，以躲避查殺和分析。接下來，勒索病毒利用本地的互聯(lián)網(wǎng)訪問權(quán)限連接至黑客的C&C服務器，進而上傳本機信息并下載加密公鑰。然后，將加密公鑰寫入到注冊表中，遍歷本地所有磁盤中的office文檔、圖片等文件，對這些文件進行格式篡改和加密。利用系統(tǒng)內(nèi)部的加密處理，是一種不可逆的加密，除了病毒開發(fā)者本人，其他人是不可能解密的。加密完成后，會在桌面等明顯位置生成勒索提示文件，指導用戶去繳納贖金。攻擊的樣本以js、wsf、vbe等類型為主，隱蔽性極強，對常規(guī)依靠特征檢測的安全產(chǎn)品是一個極大的挑戰(zhàn)。該類型病毒可以導致重要文件無法讀取，關(guān)鍵數(shù)據(jù)被損壞，給用戶的正常工作帶來了極為嚴重的影響。

以存在漏洞的網(wǎng)絡電腦為主要攻擊對象

勒索病毒最早針對的是科研人員和公司管理人員，有消息稱這個病毒可能是來自俄羅斯，一般贖金要求以比特幣形式支付。互聯(lián)網(wǎng)個人用戶被感染的并不多，內(nèi)部網(wǎng)絡又類似一個大局域網(wǎng)，一旦暴露在公網(wǎng)上的電腦被攻破，就會導致整個局域網(wǎng)存在被感染的風險。此外，病毒只攻擊W indows系統(tǒng)的電腦，手機等終端不會被攻擊，包括U nix、L inux、A ndroid等系統(tǒng)都不會受影響。

勒索病毒通過共享端口傳播，除了攻擊內(nèi)網(wǎng)IP以外，也會在公網(wǎng)進行攻擊。但是，只有直接暴露在公網(wǎng)且沒有安裝相應操作系統(tǒng)補丁的計算機才會受到影響，因此那些通過路由撥號的個人用戶，并不會直接通過公網(wǎng)被攻擊。如果企業(yè)網(wǎng)絡也是通過總路由出口訪問公網(wǎng)的，那么企業(yè)網(wǎng)絡中的電腦也不會受到來自公網(wǎng)的直接攻擊，但并不排除病毒未來版本會出現(xiàn)更多傳播渠道。很多校園網(wǎng)或其他網(wǎng)絡中都有一些直接連接公網(wǎng)的電腦，而內(nèi)部網(wǎng)絡又類似一個大局域網(wǎng)，一旦暴露在公網(wǎng)上的電腦被攻破，就會導致整個局域網(wǎng)存在被感染的風險，并且勒索病毒會經(jīng)由網(wǎng)絡連線入侵到聯(lián)網(wǎng)電視中。一旦智能聯(lián)網(wǎng)電視遭到入侵，將會出現(xiàn)屏幕遭鎖定的情況，并且會出現(xiàn)指定匯款的消息。如果受害者支付勒贖款項，才能重新使用該智能聯(lián)網(wǎng)電視，已經(jīng)在日本出現(xiàn)超過300個案例，而且最常被感染而鎖定屏幕的時間達到28天，要使用智能聯(lián)網(wǎng)電視的消費者必須得當心。

“永恒之藍”和“勒索病毒”是什么關(guān)系

這次病毒爆發(fā)影響之大，為近年來所罕見。該勒索病毒利用N SA“永恒之藍”這個——漏洞傳播，如果沒有打補丁，幾乎所有的W indows系統(tǒng)都會被攻擊。電腦中毒后最明顯的癥狀就是電腦桌面背景被修改，許多文件被加密鎖死，病毒彈出提示。

“永恒之藍”是指N S A泄露的危險漏洞“EternalBlue”，此次的勒索病毒W(wǎng)annaCry是利用該漏洞進行傳播的，當然還可能有其他病毒也通過“永恒之藍”這個漏洞傳播，因此給系統(tǒng)打補丁是必須的。

相比以往的勒索病毒，這次的W annaC ry病毒存在一個致命缺陷——病毒作者無法明確認定哪些受害者支付了贖金，因此很難給出相應的解密密鑰（密鑰是對應每一臺電腦的，沒有通用密鑰）。如上所述，即使支付了贖金，病毒作者也無法區(qū)分到底誰支付贖金并給出相應密鑰。

網(wǎng)上流傳一些“解密方法”，甚至有人說病毒作者良心發(fā)現(xiàn)，已經(jīng)公布了解密密鑰，這些都是謠傳。這個勒索病毒和以往的絕大多數(shù)勒索病毒一樣，是無法解密的，請不要相信任何可以解密的謊言，以防上當受騙。

某些安全公司也發(fā)布了解密工具，其實是“文件修復工具”，可以有限恢復一些被刪除的文件，但是依然無法解密被鎖死的文件。

勒索病毒的“神奇開關(guān)”

勒索病毒W(wǎng) annaC ry的病毒體中包含了一段被稱為“神器開關(guān)”的代碼，內(nèi)容是病毒會自動聯(lián)網(wǎng)檢測“http：//www.iuqerfsodp9ifjaposdfjhgosurijfaew rwergwea.com”這個網(wǎng)址是否可以訪問，如果可以訪問，則不再繼續(xù)傳播。

國外安全研究人員發(fā)現(xiàn)這段代碼后立刻注冊了這個網(wǎng)址，的確是有效地阻止了勒索病毒更大范圍的傳播。但已經(jīng)被感染的電腦依然被攻擊，文件同樣會被加密鎖死。

另外，勒索病毒體中的這段代碼沒有被加密處理，任何一個新的病毒制造者都可以修改、刪除這段代碼。因此，未來可能出現(xiàn)“神奇開關(guān)”被刪除了的新變種病毒。

勒索病毒已經(jīng)出現(xiàn)新變種

意外攔阻勒索病毒的英國網(wǎng)絡工程師和一些網(wǎng)絡安全專家都表示，這種方法目前只是暫時阻止了勒索病毒的進一步發(fā)作和傳播，但幫不了那些勒索病毒已經(jīng)發(fā)作的用戶，也并非徹底破解這種勒索病毒。

他們推測，新版本的勒索病毒很可能不帶這種“自殺開關(guān)”而卷土重來。這種推測果然很快便成為現(xiàn)實。

2017年5月14日，國家網(wǎng)絡與信息安全信息通報中心緊急通報：監(jiān)測發(fā)現(xiàn)，在全球范圍內(nèi)爆發(fā)的WannaCry勒索病毒出現(xiàn)了變種：WannaCry2.0，與之前版本不同的是，這個變種取消了K ill Switch，不能通過注冊某個域名來關(guān)閉變種勒索病毒的傳播，該變種傳播速度可能會更快。

北京市委網(wǎng)信辦、北京市公安局、北京市經(jīng)信委也聯(lián)合發(fā)出《關(guān)于W annaC ry勒索蠕蟲出現(xiàn)變種及處置工作建議的通知》（以下簡稱《通知》）。該《通知》要求各單位立即組織內(nèi)網(wǎng)檢測，一旦發(fā)現(xiàn)中毒機器，立即斷網(wǎng)處置，嚴格禁止使用U盤、移動硬盤等可執(zhí)行擺渡攻擊的設備?！锻ㄖ贩Q，目前看來，對硬盤格式化可清除病毒。

歐盟刑警組織下屬的歐洲網(wǎng)絡犯罪中心5月13日表示，此次勒索病毒攻擊的規(guī)模之大前所未有，需要通過復雜的國際調(diào)查尋找犯罪嫌疑人，歐盟刑警組織已和多國合作對此次攻擊展開調(diào)查。

怎樣防止用戶感染該類勒索病毒

我們可以從安全技術(shù)和安全管理兩方面入手：不要打開陌生人或來歷不明的郵件，防止通過郵件附件的攻擊；盡量不要點擊office宏運行提示，避免來自office組件的病毒感染；需要的軟件從正規(guī)（官網(wǎng)）途徑下載，不要雙擊打開.js、.vbs等后綴名文件；升級企業(yè)防病毒軟件到最新的防病毒庫，阻止已存在的病毒樣本攻擊；立即組織內(nèi)網(wǎng)檢測，查找所有開放445 SMB服務端口的終端和服務器，一旦發(fā)現(xiàn)中毒機器，立即斷網(wǎng)處置，目前看來對硬盤格式化可清除病毒；啟用并打開“W indows防火墻”，進入“高級設置”，在入站規(guī)則里禁用“文件和打印機共享”相關(guān)規(guī)則，關(guān)閉U D P135、445、137、138、139端口，關(guān)閉網(wǎng)絡文件共享；嚴格禁止使用U盤、移動硬盤等可執(zhí)行擺渡攻擊的設備；盡快備份自己電腦中的重要文件資料到存儲設備上；及時更新操作系統(tǒng)和應用程序到最新的版本；安裝正版操作系統(tǒng)、office軟件：定期異地備份計算機中重要的數(shù)據(jù)和文件，萬一中病毒可以及時進行恢復。endprint