内容字号：
段落设置：
字体设置：
勒索病毒带给我们的三点启示
　　新华网北京5月16日电（韩家慧）加油站告急，高校告急，公安办证大厅告急……12日起，一款“WannaCry”勒索病毒席卷全球。琳琅满目的开机指南和防范攻略，总有一款适合你。但是除了更新系统，安装补丁之外，我们或许还须思之鉴之。
　　截至写稿，我国近3万家机构受勒索病毒影响，范围遍布高校、火车站、自助终端、邮政、加油站、医院、政府办事终端等多个领域，给民众的生活工作带来困扰。来势汹汹的勒索病毒带给我们哪些启示？
　　启示一：不要等数据丢了，才意识到备份的重要性
　　提升数据备份和恢复意识，通过采取主动备份措施，保护个人及企业的重要数据资产，备份的重要性不言而喻。
　　数据时代，电子设备远没有其承载的文件资料来的重要和珍贵。相机里的照片，手机里的通讯录，电脑里的商业计划书，我们花重金不断购买新一代的电子设备，但如果没有经常备份重要资料的习惯，这些数据一旦丢失，找回难度和成本无疑是巨大的。因此，养成重要数据每周至少备份一次的习惯。不管是传统备份还是云备份，在确保安全的前提下，尽可能地备份吧！
　　启示二：相关企业和组织不应忽视防护的投入
　　多地交管、户籍等民生服务系统、办事终端受到病毒影响；多所高校的校园网不幸“感染”，学生文档被加密；部分加油站受到影响，导致加油卡、银行卡、第三方支付等网络支付功能无法使用。网络攻击直接影响到了人们的工作和生活。
　　在近几天的病毒狙击战中，某互联网安全软件公司的反病毒人员称，“安全工程师的工作挺不被理解的。很多中小企业老板认为安全就是花钱后没收益，能达到的极限就是不出事，很多人认为进行安全防护没必要。但这次病毒给他们敲了警钟，一旦公司内部有人中招，网络系统全部崩溃，就什么都来不及了。”
　　“目前的互联网环境中，我们个人会做很多防护措施，比如安装杀毒软件。但这次病毒影响最大的不是个人所使用的互联网，而是政府和企业内部的网络，这些网络在过去的管理当中，由于没有打补丁，导致了漏洞的存在，病毒就得以在这些系统中快速传播，从对政府或企业的业务系统，比如说，交费、学生的毕业论文、加油等等产生极大影响。”360企业安全集团总裁吴云坤说。
　　6月1日起即将实施的《中华人民共和国法》对网络运营者收集、使用、保存个人信息等作了相关规定。但一些传统企业和机构也掌握大量的个人信息，在正当采集、使用这些信息的同时，还需提高认识，加大对信息的保护投入。
　　启示三：加强信息化建设的统一规划和科学管理
　　国家互联网应急中心博士、高级工程师高胜表示，该勒索软件对于企业局域网或内网的主机系统破坏性尤其严重。“由于大量内网主机没有及时更新补丁或使用XP系统，因此一旦有一台主机被感染，将造成网内大规模扩散。”高胜说，我们已接到或看到了多个社会重要信息系统受攻击的情况。
　　有一个不容忽视的现象是，XP系统在中国高校以及民企、国企、大型机构有很高的市场占有率。尽管微软操作系统早已推出Vista、7、8、10四代，国际权威评测机构统计，2017年1月份XP系统依然在中国市场保持17.79%的占有率，其中大部分集中在上述提到的机构。
　　互联网分析人士何帅认为，本次勒索病毒事件反映出我国信息化建设中出现的两个极端现象，即信息化程度高，但缺乏统一规划和科学管理。
分享给小伙伴们：
本类最热新闻
48小时最热
Copyright &
. 联合资讯 版权所有&>>&&>>& >>
勒索病毒有哪些危害？比特币勒索病毒是怎么传播的？
日 15:49&来源：央视网&&
5月12日开始散播勒索蠕虫病毒，从发现到大面积传播，仅仅用了几个小时，其中高校成为了重灾区。那么，这款病毒是一个什么样的病毒，如何传播，何以造成如此严重的后果呢?
　　5月12日开始散播勒索蠕虫病毒，从发现到大面积传播，仅仅用了几个小时，其中高校成为了重灾区。那么，这款病毒是一个什么样的病毒，如何传播，何以造成如此严重的后果呢?
　　勒索病毒是什么？有哪些危害？
　　WannaCry(想哭，又叫Wanna Decryptor)，一种&蠕虫式&的勒索病毒软件，大小3.3MB，由不法分子利用此前披露的Windows SMB服务漏洞(对应微软漏洞公告：MS17-010)攻击手段，向终端用户进行渗透传播。
　　该恶意软件会扫描电脑上的TCP 445端口(Server Message Block/SMB)，以类似于蠕虫病毒的方式传播，攻击主机并加密主机上存储的文件，然后要求以比特币的形式支付赎金。勒索金额为300至600美元。
　　日，WannaCry 勒索病毒出现了变种：WannaCry 2.0，取消Kill Switch 传播速度或更快。截止日，WannaCry造成至少有150个国家受到网络攻击，已经影响到金融，能源，医疗等行业，造成严重的危机管理问题。中国部分Window操作系统用户遭受感染，校园网用户首当其冲，受害严重，大量实验室数据和毕业设计被锁定加密。
　　目前，安全业界暂未能有效破除该勒索软件的恶意加密行为。微软总裁兼首席法务官Brad Smith称，美国国家安全局未披露更多的安全漏洞，给了犯罪组织可乘之机，最终带来了这一次攻击了150个国家的勒索病毒。
　　比特币勒索病毒是怎么传播的？
　　CTB-Locker是国外最泛滥的病毒家族之一，FBI也已介入调查。但由于此病毒使用匿名网络和比特币匿名交易获取赎金，难以追踪和定位病毒的始作俑者，目前病毒元凶仍逍遥法外。
　　据路透社报道，&比特币敲诈者&木马家族的作者名叫艾维盖尼耶?米哈伊洛维奇?波格契夫，是一名俄罗斯黑客，在FBI通缉的十大黑客名单中排名第二。
　　曾有学校贴出通知，建议师生防范病毒，5月9日，有学校贴出通知，细数特币敲诈病毒的危害并提供了应对方法。
　　病毒类型： 敲诈者病毒
　　勒索软件攻击模式： 漏洞攻击包、水坑式攻击、恶意广告，或者大规模的网络钓鱼活动。
　　感染方式： 邮件、网页、flash播放等。
　　病毒危害： 一旦勒索病毒发动攻击，并攻击成功，损失几乎无法阻挡。被感染病毒电脑中的文件被加密为sage文件，需支付上万元赎金才能恢复数据，然而也可能会有支付完赎金被骗的情况发生。
　　解决方式： 目前并无有效的解决办法，只能重装系统，但受感染的文件无法恢复。
　　如何预防比特币病毒？
　　1.未中毒的电脑迅速多次备份数据。已中毒的，重装系统前把硬盘低格，然后安操作系统。
　　2.安装反勒索防护工具，但仅在病毒侵入前有作用，但对已经中病毒的电脑无能为力，还是要做好重要文档备份工作。不要访问可以网站、不打开可疑邮件和文件。
　　3.关闭电脑包括TCP和UDP协议135和445端口;
　　4.不要用任何浏览器记住密码;
　　5.不要因为打游戏翻墙什么的方便就关电脑防火墙;
　　6.还看不懂的，把网掐了。
网友有话说
版权与免责声明:
①凡本网注明"来源：深港在线综合"的所有作品，均由本网编辑搜集整理，并加入大量个人点评、观点、配图等内容，版权均属于深港在线，未经本网许可，禁止转载，违反者本网将追究相关法律责任。
②本网转载并注明自其它来源的作品，目的在于传递更多信息，并不代表本网赞同其观点或证实其内容的真实性，不承担此类作品侵权行为的直接责任及连带责任。其他媒体、网站或个人从本网转载时，必须保留本网注明的作品来源，并自负版权等法律责任。
③如涉及作品内容、版权等问题，请在作品发表之日起一周内与本网联系，我们将在您联系我们之后24小时内予以删除，否则视为放弃相关权利。当前位置：勒索病毒真相疑曝光——这只是场没控制住的游戏？
勒索病毒真相疑曝光——这只是场没控制住的游戏？
09:00:54&&来源：
以下关于勒索病毒真相疑曝光——这只是场没控制住的游戏？的最新消息以及相关勒索病毒真相疑曝光——这只是场没控制住的游戏？最新新闻事件，申博正网整理互联网相关资料为您呈现如下，希望对您有所帮助，如有不实报道，请关注微信公众号新闻圈（news-quan)进行反馈！
勒索病毒&WannaCry&（永恒之蓝）在全球范围内的爆发，恐怕是这几天影响力最大的公共安全事件了。
从上周五晚上开始，侠客岛岛友群之一的学生群里，勒索病毒爆发的消息就已经传开。当时的病毒感染多在校园网范围内，由于临近毕业季，很多实验室、学生的毕业设计和论文都惨遭毒手。过去的一个周末，岛叔的不少朋友，都被拉回公司或单位加班加点打补丁，防止周一工作日&开机潮&引发的大规模感染。
尽管如此，今天一天，在新闻报道中，我们还是看到了国内不少高校、加油站、火车站、自助终端、医院、政府办事终端等被此病毒感染的消息。
关于病毒的爆发原理，相信大家这几天也看了不少文章。简言之，这一蠕虫勒索病毒，通过针对Windows中的一个漏洞攻击用户，对计算机内的文档、图片等实施高强度加密，并向用户索取以比特币支付的赎金，否则七天后&撕票&，即使支付赎金亦无法恢复数据。其加密方式非常复杂，且每台计算机都有不同加密序列号，以目前的技术手段，解密几乎&束手无策&。
在全球网络互联互通的今天，受害者当然不仅限于中国。
据360威胁情报中心统计，从12日爆发之后，全球近百个国家的超过10万家组织和机构被攻陷，其中包括1600家美国组织，11200家俄罗斯组织，中国则有29000多个IP被感染。在西班牙，电信巨头Telefonica，电力公司Iberdrola，能源供应商Gas Natural在内的众多公司网络系统瘫痪；葡萄牙电信、美国运输巨头FedEx、瑞典某地方政府、俄罗斯第二大移动通信运营商Megafon都已曝出遭受攻击。而根据欧洲刑警组织的说法，本次攻击已经影响到150个国家和地区。随着病毒版本的更新迭代，具体数字可能还会增加。
那么，问题来了：这是谁干的？！
没有答案。
用360核心安全团队负责人郑文彬的话说，勒索病毒的溯源一直是比较困难的问题。曾经FBI悬赏300万美元找勒索病毒的作者，但没有结果，目前全球都没有发现勒索病毒的作者来自哪个国家。但从勒索的方式看，电脑感染病毒之后会出现包括中文在内十五种语言的勒索提示，且整个支付通过比特币和匿名网络这样极难追踪的方式进行，很有可能是黑色产业链下的组织行为。
勒索病毒是2013年才开始出现的一种新型病毒模式。2016年起，这种病毒进入爆发期，到现在，已经有超过100种勒索病毒通过这一行为模式获利。比如去年，CryptoWall病毒家族一个变种就收到23亿赎金，近几年苹果电脑、安卓和iPhone手机也出现过不同类型的勒索病毒。
虽然下黑手者目前还找不到，但其所用的工具，却明确无误地指向了一个机构&&NSA（National Security Agency），美国国家安全局。这一机构又称国家保密局，隶属于美国国防部，是美国政府机构中最大的情报部门，专门负责收集和分析外国及本国通讯资料。黑客所使用的&永恒之蓝&，就是NSA针对微软MS17-010漏洞所开发的网络武器。
事情是这样的：NSA本身手里握有大量开发好的网络武器，但在2013年6月，&永恒之蓝&等十几个武器被黑客组织&影子经纪人&（ShadowBreakers）窃取。
今年3月，微软已经放出针对这一漏洞的补丁，但是一是由于一些用户没有及时打补丁的习惯，二是全球仍然有许多用户在使用已经停止更新服务的WindowsXP等较低版本，无法获取补丁，因此在全球造成大范围传播。加上&蠕虫&不断扫描的特点，很容易便在国际互联网和校园、企业、政府机构的内网不间断进行重复感染。
又一个问题来了：NSA为什么会知道微软的漏洞，并且制作了专门的网络武器，然后这些武器中的一部分还落到了黑客的手里？
实事求是地说，作为操作系统之一，Windows的构成动辄几亿行代码，之间的逻辑关系不可能一个人说了算，因此出现漏洞是很难消除的。而Windows又是世界上使用最普遍的操作系统，因此被黑客看中而研究漏洞并攻击获利，是很&正常&的事情。
但作为美国国家安全局，盯着这个系统的漏洞也就罢了，还专门搞武器，这是什么道理？
事实上，在黑客组织曝光这一漏洞之前，微软自己也不知道漏洞存在。也就是说，只有NSA知道漏洞存在，至于知道了多久，也只有他们自己知道。在侠客岛上的网络安全专家看来，很可能的情况是，NSA早就知道这个漏洞、并且利用这一漏洞很久了，只不过这次被犯罪团队使用了，才造成如此大的危害。从这一点我们可以看出，美国的技术确实很强，在网络安全领域独步全球；同时，&漏洞&已经成为兵家必争的宝贵战略资源。
换言之，通过网络对现实发起攻击，已经不是科幻电影的场景专利，而是已经发生的现实。不信的话，给大家讲一个真实的故事&&
斯诺登，披露美国政府对全球实施监控的&棱镜计划&的那位，就是NSA的前雇员。他证实的一则消息是，2009年，奥巴马政府曾下令使用网络攻击武器&&代号&震网&的病毒，攻击了伊朗的核设施。其中原因复杂，简单说就是以色列设法通过马来西亚的软件公司，让伊朗购入了夹带着一病毒的离心机控制软件；2010年，病毒爆发，控制并破坏伊朗核设施的离心机如那件，最终造成1000余台离心机永久性物理损坏，不得不暂停浓缩铀的进程。
这也是史上首次通过虚拟空间对现实世界实施攻击破坏的案例，达到了以往只有通过实地军事行动才能实现的效果。而在去年，乌克兰的电网系统也曾遭到黑客攻击，导致数百户家庭供电中断。
NSA现在手中握有多少网络武器，当然是美国的机密。但根据维基解密的说法，不仅NSA手里有，CIA手里也有，他们的网络情报中心创造了超过1000种电脑病毒和黑客系统&&这还是斯诺登2013年确认的数量。
用美国全国公共广播电台（NPR）的话说就是，&这次攻击指出了一个安全领域根本性问题，也就是国安局的监控是在保护人民还是制造了更多不可期的损害，甚至超出了其好处&。
NSA当然应该反思，虽然他们到现在都没有出来表态回应。但更值得反思的是一个本质性话题：网络安全，到底掌握在谁的手里？
就此次而言，美国政府内部的决策流程更值得被诟病。其内部有个简称为VEP（Vulnerability Equity Process）的流程，其用处是，当NSA或美国其他政府部门发现一个软件的漏洞，要走这个流程，决定是不是把漏洞公开。把漏洞公开，微软等厂商很容易就能制造出补丁，漏洞就消失了；不把漏洞公开，这些政府部门就可以自己留着用，用于&执法、情报收集或者其他&攻击性&利用&。虽然这一被奥巴马政府创造的流程既不是法律也不是总统令，但从2008年一直实施至今。
在美国之外的其他国家人民看来，这一流程显然是有问题的：这一近乎可以被称为&黑箱&的流程，整个世界的网络安全风险全由美国的内部机制决定，其他人不明不白地就被暴露在了风险面前。
所以，这只是场由政府主导的暗箱游戏，只不过政府还没能力把控好风险，才闹大了，真是，政府有时候比商人还要那个啥？但是你还不能拿他咋样，只能等他自己觉悟，毕竟军事大权掌控在他们手里，你能咋办？
更多关于勒索病毒真相疑曝光——这只是场没控制住的游戏？的相关新闻资讯，请扫描右上角微信公众二维码，我们将会在第一时间发布每日最新热点资讯，如果关于勒索病毒真相疑曝光——这只是场没控制住的游戏？的报道有侵权或者不实情况，请速与本网联系并及时删除！
关键词：病毒,政府,安全局
今日阅读Today's reading
不看会后悔Will regret not to see
热点排行Hot list勒索病毒：有的样本名称从“想哭”变成“想妹妹”|病毒|反病毒|字符串_新浪科技_新浪网
勒索病毒：有的样本名称从“想哭”变成“想妹妹”
　　来源：澎湃新闻
　　从5月13日开始在全球蔓延的勒索病毒近日出现了新的变种。安全反病毒实验室5月16日表示，他们观测发现部分勒索病毒样本已经从“想哭WannaCry”变成了“想妹妹(WannaSister)”。
　　席卷全球的WannaCry勒索病毒，已经扩散至100多个国家和地区，包括医院、教育机构、政府部门在内的多类机构遭到攻击。勒索病毒结合蠕虫的方式进行传播，是此次攻击事件大规模爆发的重要原因。截至5月15日，已经有近4万美元的赎金被支付，与全球中毒用户规模来看，这仅仅是非常小的一个支付比例。
　　腾讯反病毒实验室初步判断，WannaCry病毒在爆发之前已经存在于互联网中，并且病毒目前仍然在进行变种。在监控到的样本中，发现疑似黑客的开发路径，有的样本名称已经变为“WannaSister.exe”，从“想哭(WannaCry)”变成“想妹妹(WannaSister)”。
腾讯安全反病毒实验室96小时勒索病毒监控图。
　　腾讯安全反病毒实验室表示，尽管此次WannaCry勒索病毒影响席卷全球，短期内被瞬间引爆，但实际破坏性还不算大，希望大家理性了解并面对，并不希望放大恐慌。此次我们认为这次勒索病毒的作恶手法没有显著变化，只是这次与漏洞结合。针对勒索病毒已经找到了有效的防御方法，而且周一开始病毒传播已在减弱，用户只要掌握正确的方法就可以避免，广大网友不必太惊慌，也呼吁行业理性应对。
　　附腾讯安全反病毒实验室发布的报告只要
WannaCry勒索病毒时间轴
　　传播方式
　　根据目前我们掌握的信息，病毒在12日大规模爆发之前，很有可能就已经通过挂马的方式在网络中进行传播。在一个来自巴西被挂马的网站上可以下载到一个混淆的html文件，html会去下载一个前缀为task的exe文件，而诸多信息表明，此文件很有可能与12号爆发的WannaCry勒索病毒有着紧密关系。
　　根据腾讯反病毒实验室威胁情报数据库中查询得知，此文件第一次出现的时间是号。WannaCry的传播方式，最早很可能是通过挂马的方式进行传播。12号爆发的原因，正是因为黑客更换了传播的武器库，挑选了泄露的MS17-010漏洞，才造成这次大规模的爆发。当有其他更具杀伤力的武器时，黑客也一定会第一时间利用。
　　对抗手段
　　当传播方式鸟枪换大炮后，黑客也在炮弹上开始下功夫。在腾讯反病毒实验室已获取的样本中找到一个名为WannaSister的样本，而这个样本应该是病毒作者持续更新，用来逃避杀毒软件查杀的对抗手段。
　　此样本首次出现在13号，这说明自从病毒爆发后，作者也在持续更新，正在想办法让大家从“WannaCry想哭”更新到“WannaSister想妹妹”。就目前掌握的信息，自12号病毒爆发以后，病毒样本出现了至少4种方式来对抗安全软件的查杀，这也再次印证了WannaCry还在一直演化。
　　在分析的过程中，我们发现已经有样本在原有病毒的基础上进行了加壳的处理，以此来对抗静态引擎的查杀，而这个样本最早出现在12号的半夜11点左右，可见病毒作者在12号病毒爆发后的当天，就已经开始着手进行免杀对抗。下图为壳的信息。
通过加壳后，分析人员无法直接看到有效的字符串信息，这种方式可以对抗杀毒软件静态字符串查杀。
　　通过使用分析软件OD脱壳后，就可以看到WannaCry的关键字符串。包括c.wnry加密后的文件，wncry@2ol7解密压缩包的密码，及作者的3个比特币地址等。
　　病毒作者并非只使用了一款加壳工具对病毒进行加密，在其他样本中，也发现作者使用了安全行业公认的强壳VMP进行加密，而这种加密方式，使被加密过的样本更加难以分析。
我们通过验证使用VMP加密过的样本，发现非常多的杀毒厂商已无法识别。
　　在收集到的样本中，有一类样本在代码中加入了许多正常字符串信息，在字符串信息中添加了许多图片链接，并且把WannaCry病毒加密后，放在了自己的资源文件下。这样即可以混淆病毒分析人员造成误导，同时也可以躲避杀软的查杀。下图展示了文件中的正常图片链接
当我们打开图片链接时，可以看到一副正常的图片。误导用户，让用户觉得没有什么恶意事情发生。
但实际上病毒已经开始运行，会通过启动傀儡进程notepad，进一步掩饰自己的恶意行为。
随后解密资源文件，并将资源文件写入到notepad进程中，这样就借助傀儡进程启动了恶意代码。
　　在分析14号的样本中，我们发现病毒作者开始对病毒文件加数字签名证书，用签名证书的的方式来逃避杀毒软件的查杀。但是签名证书并不是有效的，这也能够看出作者添加证书也许是临时起意，并没有事先准备好。
　　我们发现病毒作者对同一病毒文件进行了多次签名，尝试绕过杀软的方法。在腾讯反病毒实验室获取的情报当中，我们可以发现两次签名时间仅间隔9秒钟，并且样本的名字也只差1个字符。
　　病毒作者在更新的样本中，也增加了反调试手法：
　　1通过人为制造SEH异常，改变程序的执行流程
2注册窗口Class结构体，将函数执行流程隐藏在函数回调中。
　　这次勒索病毒的作恶手法没有显著变化，只是这次与微软漏洞结合。针对勒索病毒已经找到了有效的防御方法，而且周一开始病毒传播已在减弱，用户只要掌握正确的方法就可以避免，广大网友不必太惊慌，关注腾讯反病毒实验室和腾讯电脑管家的研究和防御方案，也呼吁行业理性应对。我们也会继续追踪病毒演变。腾讯反病毒实验室会密切关注事态的进展，严阵以待，做好打持久战的准备，坚决遏制勒索病毒蔓延趋势。
NSA早就发现这些漏洞，但未向微软及社会公开，反而利用漏洞进行间...
不仅仅是华为、中兴等传统通信大厂展开了5G研发，包括vivo这类终...
既然量子点如此优秀，为什么手机企业在进行屏幕升级换代的时候，...}