勒索病毒到底是个什么鬼？发生变种怎么办？

　　据中新社报道，白宫官员托马斯·博赛特15日在白宫记者会上表示，名为“想哭”的勒索软件现已入侵约150个国家的超过30万台电脑。博赛特表示，黑客已非法攫取7万美元赎金，黑客身份尚未查明。被WannaCry勒索病毒感染的电脑，需要支付高额赎金，才能解锁计算机中被感染的文件。我国部分高校和大型企业的内网也遭受到病毒的波及。

　　网络安全专家孙晓骏：这个病毒利用了一个漏洞，但是我们用户没有打补丁的习惯，没有及时修复这次漏洞，这个病毒样本通过漏洞攻击了非常多的电脑。

　　根据网络安全公司数据统计，截止5月13日晚8点，我国共有39730家机构被感染，其中教育科研机构有4341家，高校成为了这次蠕虫病毒的重灾区。

　　网络安全专家孙晓骏：这次病毒利用了445的一个重要的端口。校园网因为ip直连的情况，导致没有一个nat和防火墙来阻断对445端口的访问所以在校园网没有打补丁的机器就直接暴露在病毒之下了。

　　因为电脑蠕虫病毒有主动攻击的特性，所以每一次蠕虫病毒的传播范围都很广。然而在5月12号爆发的蠕虫病毒与以往不同，它入侵电脑后会加密电脑中图片、文档、视频、压缩包等各类资料，并跳出弹窗，被告之只有交了赎金，才能解密电脑中被加密的资料。


　　被感染蠕虫病毒后，不到十秒，电脑里的所有用户文件全部被加密无法打开。网络安全专家介绍，用户电脑一旦被感染这种勒索病毒，被加密的文件目前还没有找到有效的办法可以解锁。而专家并不建议用户支付赎金取得解锁。


　　网络安全专家孙晓骏：加密的文件会根据病毒指引去付赎金获得密钥，但是根据目前的研究看成功的几率非常低，整个互联网安全界在积极的探索有没有办法解开这个密钥。因为它用的是高强度非对称加密的算法，这个密钥空间非常大，就算用暴力破解也需要非常长的时间，目前来看是不可接受的。


　　国家计算机病毒应急处理中心工程师王文一说，如果咱们支付了赎金，可能会记录咱们的个人信息，包括咱们的账户等等个人信息，这些信息被他们利用之后，可能会变成二次进行攻击的目标。

　　针对已经被感染病毒的用户，专家建议首先使用安全软件查杀蠕虫病毒，并保留被加密的文件，待日后网络安全公司找到有效方法后再进行解锁。

　　国家网络与信息安全信息通报中心监测发现，在全球范围内爆发的WannaCry勒索病毒出现了变种：WannaCry 2.0， 与之前版本的不同是，这个变种取消了Kill Switch，不能通过注册某个域名来关闭变种勒索病毒的传播，该变种传播速度可能会更快。

　　因此提醒广大网民尽快升级安装Windows操作系统相关补丁，已感染病毒机器请立即断网，避免进一步传播感染。

　　变种勒索病毒处置办法：

　　一、请立即组织内网检测，查找所有开放445 SMB服务端口的终端和服务器，一旦发现中毒机器，立即断网处置，目前看来对硬盘格式化可清除病毒。

　　二、目前微软已发布补丁MS17-010修复了“永恒之蓝”攻击的系统漏洞，请尽快为电脑安装此补丁，网址为https://technet.microsoft.com/zh-cn/library/security/MS17-010；对于XP、2003等微软已不再提供安全更新的机器，建议升级操作系统版本，或关闭受到漏洞影响的端口，可以避免遭到勒索软件等病毒的侵害。

　　三、一旦发现中毒机器，立即断网。

　　四、启用并打开“Windows防火墙”，进入“高级设置”，在入站规则里禁用“文件和打印机共享”相关规则。关闭UDP135、445、137、138、139端口，关闭网络文件共享。

　　五、严格禁止使用U盘、移动硬盘等可执行摆渡攻击的设备。

　　六、尽快备份自己电脑中的重要文件资料到存储设备上。

　　七、及时更新操作系统和应用程序到最新的版本。

　　八、加强电子邮件安全，有效的阻拦掉钓鱼邮件，可以消除很多隐患。

　　九、安装正版操作系统、Office软件等。

>>回望勒索病毒的起源

　　根据多家官方权威介绍，本次勒索病毒发行者是利用了去年被盗的美国国家安全局(NSA)自主设计的Windows系统黑客工具Eternal Blue“永恒之蓝”，将2017年2月的一款病毒升级所致。WannaCrypt（永恒之蓝）勒索蠕虫是NSA网络军火民用化的全球第一例。

　　一个月前，第四批NSA相关网络攻击工具及文档被Shadow Brokers组织公布，包含了涉及多个Windows系统服务（SMB、RDP、IIS）的远程命令执行工具，其中就包括“永恒之蓝”攻击程序。

　　勒索者使用病毒的方式也很简单，瞄准机构和个人重要文件，直接“放毒”，加密用户电脑文件并勒索300美元赎金，3天后不交赎金就涨价到600美元，7天后不交赎金就撕票，被锁的重要文件将被永久销毁。

　　一个很现实的问题：勒索病毒为何就没办法彻底遏制？

　　一方面因为WannaCrypt利用公开的“永恒之蓝”武器制作的蠕虫型勒索病毒，一台电脑感染后，会继续扫描内网和互联网上其他未免疫的系统，继续感染这些系统，连锁反应导致大规模感染爆发。
　　


　　另一个关键因素是勒索病毒使用的是可匿名比特币支付，压根追踪不到病毒来源和背后勒索者。

　　事实上，截至5月15日晨，已经有136人交了赎金，总价值约3.6万美元。

　　有人可能要问了，有比特币的可以快速支付并解锁，但没有比特币的人怎么办？别着急，勒索者都已经帮你想好了，这个病毒制造者可谓很贴心，在勒索页面附有教程，直接可以通过网银从分销商那里购买比特币，并且它支持十几种语言，根据每个国家的国情不一样，做非常完整的提示。

　　
　　很贴心的支持多国语言，以及比特币购买流程。怎么样，是不是很贴心？事实上，勒索者还设置了一个更贴心的服务，那就是对半年没付款的搞抽奖活动，抽中就可以免费给你解除，但没有抽中就是运气不好了。

　　这俨然就是一种商品的售卖和营销模式啊，也恰恰验证了360安全技术负责人郑文彬所说的一整套勒索“商业模式”。

　　当然，这一次也并非勒索病毒首次爆发，2013年勒索病毒就出现了，只不过当时是通过邮件、挂马传播，2015年开始进入爆发期，目前已经有超过100种勒索病毒家族存在。有数据显示，仅其中一个勒索病毒CryptoWall家族的一个变种就收到23亿赎金。