详解｜这个全球爆发的勒索病毒到底是个什么东西？_凤凰科技
详解｜这个全球爆发的勒索病毒到底是个什么东西？
用微信扫描二维码分享至好友和朋友圈
NSA “永恒之蓝”勒索蠕虫爆发：感染症状、危害、原理及根治。,
5 月12 日晚上20 时左右，全球爆发大规模勒索软件感染事件，用户只要开机上网就可被攻击。五个小时内，包括英国、俄罗斯、整个欧洲以及国内多个高校校内网、大型企业内网和政府机构专网中招，被勒索支付高额赎金（有的需要比特币）才能解密恢复文件，这场攻击甚至造成了教学系统瘫痪，包括校园一卡通系统。&［来源：中国之声］攻击次数高，勒索金额大据雷锋网了解，这次事件是不法分子通过改造之前泄露的NSA 黑客武器库中&永恒之蓝&攻击程序发起的网络攻击事件。这次的&永恒之蓝&勒索蠕虫，是NSA 网络军火民用化的全球第一例。一个月前，第四批NSA 相关网络攻击工具及文档被Shadow Brokers 组织公布，包含了涉及多个Windows 系统服务（SMB、RDP、IIS）的远程命令执行工具，其中就包括&永恒之蓝&攻击程序。恶意代码会扫描开放445 文件共享端口的Windows 机器，无需用户任何操作，只要开机上网，不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序。目前，&永恒之蓝&传播的勒索病毒以ONION和WNCRY两个家族为主，受害机器的磁盘文件会被篡改为相应的后缀，图片、文档、视频、压缩包等各类资料都无法正常打开，只有支付赎金才能解密恢复。这两类勒索病毒，勒索金额分别是5个比特币和300美元，折合人民币分别为5 万多元和2000 多元。安全专家还发现，ONION勒索病毒还会与挖矿机（运算生成虚拟货币）、远控木马组团传播，形成一个集合挖矿、远控、勒索多种恶意行为的木马病毒&大礼包&，专门选择高性能服务器挖矿牟利，对普通电脑则会加密文件敲诈钱财，最大化地压榨受害机器的经济价值。没有关闭的445 端口&引狼入室&据360企业安全方面5月13日早晨提供给雷锋网的一份公告显示，由于以前国内多次爆发利用445端口传播的蠕虫，部分运营商在主干网络上封禁了445端口，但是教育网及大量企业内网并没有此限制而且并未及时安装补丁，仍然存在大量暴露445端口且存在漏洞的电脑，导致目前蠕虫的泛滥。因此，该安全事件被多家安全机构风险定级为&危急&。目前，雷锋网(公众号：雷锋网)尚未获得中国范围内具体445 端口开放的机器数量。但是，雷锋网了解到，国内首先出现的是ONION病毒，平均每小时攻击约200次，夜间高峰期达到每小时1000多次；WNCRY勒索病毒则是5月12日下午新出现的全球性攻击，并在中国的校园网迅速扩散，夜间高峰期每小时攻击约4000次。目前大型企业、高校、政府网络安全管理方面可以赶快测定是否受到了影响：扫描内网，发现所有开放445 SMB服务端口的终端和服务器，对于Win7及以上版本的系统确认是否安装了MS07-010补丁，如没有安装则受威胁影响。Win7以下的Windows XP/2003目前没有补丁，只要开启SMB服务就受影响。个人可自行判定电脑是否打开了445 端口。不过，在对360 企业安全资深专家汪列军的采访中，雷锋网了解到，目前90 %未关闭的445 端口集中在中国台湾和香港地区，大陆地区虽然占比很少，但基数很大。虽然，在2008年遭受类似的蠕虫攻击后，运营商已经封闭了大多数445端口，但是很多类似于教育网、大型企业内网等相对独立的网络没有自动关闭445端口，所以影响范围很大。汪列军判定，该攻击已经肆虐到了全世界上百个国家和地区，这种大规模的勒索攻击十分罕见，他昨晚甚至在通宵加班，紧急处理该问题。雷锋网发现，多家安全公司都进行了紧急处理，在今晨5、6点左右开始对外发布紧急通知。最恐怖的一点在于，对装载Win7及以上版本的操作系统的电脑而言，目前微软已发布补丁MS17-010修复了&永恒之蓝&攻击的系统漏洞，可以立即电脑安装此补丁。汪列军说，对个人电脑，可能可以自行学习及装载，但是对于大型组织机构而言，面对成百上千台机器，必须使用集中管理的客户端，尤其如果之前没有做好安全防护措施的大型组织管理机构，处理起来十分棘手。之前提到，有两个勒索家族出现，汪列军认为，不排除该勒索蠕虫出现了多个变种。不法分子是将此前公布的&永恒之蓝&攻击程序改装后进行的攻击。汪列军解析，可以理解为该NSA攻击工具内核没变，但是不法分子改变了其&载核&，加上了勒索攻击的一系列调动工具，由于该NSA攻击工具可以被公开下载，不排除可有多个不法分子改装该工具发动勒索袭击。应急处理办法以下为360企业安全提供给雷锋网的一份处理办法建议：网络层面目前利用漏洞进行攻击传播的蠕虫开始泛滥，强烈建议网络管理员在网络边界的防火墙上阻断445 端口的访问，如果边界上有IPS 和360 新一代智慧防火墙之类的设备，请升级设备的检测规则到最新版本并设置相应漏洞攻击的阻断，直到确认网内的电脑已经安装了MS07-010补丁或关闭了Server服务。终端层面暂时关闭Server服务。检查系统是否开启Server服务：1、打开开始按钮，点击运行，输入cmd，点击确定2、输入命令：netstat -an 回车3、查看结果中是否还有445端口如果发现445端口开放，需要关闭Server服务，以Win7系统为例，操作步骤如下：点击开始按钮，在搜索框中输入cmd ，右键点击菜单上面出现的cmd图标，选择以管理员身份运行，在出来的cmd&窗口中执行&net stop server&命令，会话如下图：感染处理对于已经感染勒索蠕虫的机器建议隔离处置。根治方法对于Win7及以上版本的操作系统，目前微软已发布补丁MS17-010修复了&永恒之蓝&攻击的系统漏洞，请立即电脑安装此补丁。出于基于权限最小化的安全实践，建议用户关闭并非必需使用的Server服务，操作方法见应急处置方法节。对于Windows XP、2003等微软已不再提供安全更新的机器，推荐使用360&NSA武器库免疫工具&检测系统是否存在漏洞，并关闭受到漏洞影响的端口，以避免遭到勒索蠕虫病毒的侵害。免疫工具下载地址：/nsa/nsatool.exe 。这些老操作系统的机器建议加入淘汰替换队列，尽快进行升级。恢复阶段建议针对重要业务系统立即进行数据备份，针对重要业务终端进行系统镜像，制作足够的系统恢复盘或者设备进行替换。此外，已有安全厂商发布了预防处理类产品，大家自行搜索一下吧！
[责任编辑：胡知非 PT028]
责任编辑：胡知非 PT028
用微信扫描二维码分享至好友和朋友圈
凤凰科技官方微信
播放数：5808920
播放数：115226
播放数：129191
播放数：580892021台被勒索病毒感染_网易新闻
21台被勒索病毒感染
用微信扫码二维码
分享至好友和朋友圈
（原标题：21台被勒索病毒感染）
5月12日起，一种新型的“蠕虫”式勒索病毒自在全球范围内大面积传播，商洛市委网信办连续两日发出紧急预警。5月15日、16日，商洛市公安交管车驾管业务进行断网排查，昨日恢复业务办理。　　商洛两天暂停办理交管业务　　
据了解，该勒索软件名为WannaCry/Wcry，属蠕虫病毒，它利用已披露的Windows SMB服务漏洞攻击手段，对计算机中的文档、图片等实施高强度加密，并向用户勒索赎金。一旦勒索病毒发动攻击并攻击成功，损失几乎无法阻挡。涉及开放445端口且没有及时安装MS17-010补丁的客户端和服务器系统都将可能面临此威胁。MS17-010漏洞主要影响Windows以下操作系统：Windows、、XP、Vista、7、8、10。被感染病毒电脑中的文件会被加密，需支付巨额赎金才能恢复数据，也可能会有支付了赎金却被骗的情况。　　
为了防止勒索病毒进一步扩散，商洛车管部门于15日上午8时发出紧急通知：暂时停办部分交通管理业务，交通违法处理、驾驶员考试等车驾管业务无法办理，恢复时间待定。　　
5月15日中午，商洛市交警支队车管所相关负责人表示，为避免公安网受到病毒攻击，按照统一要求，商洛市公安交管车驾管业务正在进行断网排查。　　
昨日上午，商洛市公安局交警支队车管所发布公告称，商洛交警支队车管所在科技科的支持下，经过48小时日夜奋战，维护升级电脑40余台，并指导维护全市驾驶人考场、驾校、检测站电脑千余台，目前，网络系统已经恢复正常，并于5月17日早10时开始正常办公。　　网信部门连续发出紧急预警　　
针对事态的严重性，商洛市委网信办紧急向我市各关键信息基础设施单位发出预警，各单位一旦发现感染，要及时报告相关情况，并开展应急处置。商洛市委网信办相关负责5月15日表示，商洛正在摸排统计有没有电脑被感染，一旦发现立即开展应急处置。　　
勒索蠕虫病毒传播后，商洛在全市范围内开展“蠕虫”式勒索软件感染排查。市委网信办立即通过网站、公众号、手机信息等方式，分别发布信息、通知各有关部门做好预防工作，指导相关单位关闭有关对外端口、备份服务器数据、升级服务器病毒库、加载漏洞补丁、加强宣传引导等措施以保障我市网络安全，并向各单位发出了病毒防范通知和防范方法。　　
5月16日，商洛网信办通过公众号“网信商洛”和商洛新闻网以及微信公众号“商洛新闻”发布紧急提醒，将预防与防护措施第一时间告知网友。5月15日，商洛市委网信办再次发布舆情预警，要求各县（区）各单位积极采取预防措施，对此病毒进行排查。截至5月16日上午12时，总共排查办公计算机数量8773台，服务器183台；发现已受感染个人计算机21台，其中Windows XP 7台，Win-dows7 14台；服务器1台，系统为Windows Server2008R2。　　如果被攻击 试试这样挽救　　
如果已经被恶意软件攻击，重要文档被加密该怎么办？网络安全研究员袁伟说，360已经公布了一个工具，有可能帮助用户修复被加密的数据。但能否恢复、恢复到什么程度都是未知的，因为勒索软件使用的有关加密算法目前还无法完全破解。如果已中病毒的资料没那么重要，只要格式化后重装系统就可以了，但需要注意的是重装系统后应尽快更新补丁并安装杀毒软件，避免二次感染。　　
建议广大互联网用户：　　
1.升级Windows操作系统，目前微软公司已发布相关补丁程序MS17-010，可通过微软公司正规渠道进行升级。　　
2.安装并及时更新杀毒软件。　　
3.不要轻易打开来源不明的电子邮件。　　
4.及时关闭计算机、网络设备上的445端口。　　
5.要切实做好内网的安全管理，关闭非必需端口，及时升级，严格做好内外网隔离。　　
6.定期在不同的存储介质上备份计算机上的重要文件。
7.切勿轻信网上所谓的有偿解密方法、渠道，小心网络诈骗分子利用这次事件招摇撞骗。
华商报记者 陈永辉
(原标题：21台被勒索病毒感染)
本文来源：华商网-华商报
责任编辑：王晓易_NE0011
用微信扫码二维码
分享至好友和朋友圈
加载更多新闻
热门产品:　　　
:　　　　　　　　
:　　　　　　　　　
热门影院：
阅读下一篇
用微信扫描二维码
分享至好友和朋友圈勒索病毒制造者疑现身“示威” 全球超10万台电脑被感染
来源：快科技编辑：提莫队长
& &从5月12日晚间开始，迄今为止最大规模的勒索病毒网络攻击席卷全球，大量用户数据被锁定索要解锁赎金，包括国内的部分高校校园网也遭到了攻击，顿时在网上引发一阵恐慌。
& &而正当人们在为勒索病毒而手忙脚乱之时，这款恶意软件的开发者确意外现身，像是在向世人&示威&。
& &今天凌晨，一名ID为@SpamTech 的Twitter用户发布消息称，勒索病毒是由其团队一名成员开发的。并表示团队已经攻下了NHS的电脑和主要的工程系统运行模块。
& &目前，对于@SpamTech 是否就是此次勒索病毒的制造者身份尚不最终确认，但该病毒所带来的负面影响却是真实存在的。
& &据统计数据，目前全球100多个国家和地区都被勒索病毒所影响，估计全球已有超过10万台电脑被感染。
11月22日，腾讯正式宣布代理《绝地求生》国服，对于没玩过绝地求生的中国玩家来说，一个两难的问题出现了——我们到底是花98元购买《绝地求生》激活码，还是等腾讯国服的到来呢？
想必大家去过网红奶茶店、面包店，逛过网红服装店，但是你去过网红游戏馆吗？近日，成都一家游戏馆“PANDA GAME”开业。但是这家游戏馆看起来又不太像游戏馆，精致高端的设计，有趣的环境，让人第一眼以为是一家Ins网红店。
对于很多米粉而言，最期待的就是小米MIX 3，很多米粉很想知道，小米MIX 3会不会是全面屏设计，会不会取消“下巴”。
早前，机器人索维尔亚获得了公民资格，也就是说她现在和人们一样，是人类大家庭中的一员了。而近日，她在接受海外媒体采访时表示：“家庭的概念看来是非常重要的。
虽然不确定，未来iPhone SE系列是否会被苹果抛弃，但是至少现在，还是有很多果粉是喜欢小屏幕的。近日，有设计师为我们带来了iPhone SE二代的概念设计图。
绝地求生大逃杀成功36连冠，玩家数量突破2000万大关，受吃鸡的影响，简体中文用户已经跃居成为世界第一大Steam用户，比排名第二的英语用户高出一倍有余。不断的有萌新加入绝地求生大逃杀，还不清楚绝地求生大逃杀怎么设置中文界面?
昨天，小米为我们带来了MIX 2黑色全陶瓷尊享版，这款新机售价4999元，价格还是有点小贵的！今日，雷军在微博上晒出了斯塔克限量版的美图！下面，一起来看看吧！
为什么会喜欢玩绝地求生？无非是以下几点：
虽然iPhone X因为“刘海”设计遭到了不少果粉们的吐槽，但是玩笑归玩笑，苹果设计水平还是可以的！再加上现在很多应用已经逐步适配，大家的使用感觉也变得更加好！
如今的小米虽然依旧在强调性价比，但是不会像以前那样，打价格战了！毕竟，只有挣到更多利润，才能保证创新，走得更远。
48小时热点资讯
热门手游推荐关于勒索病毒WannaCry的9个真相
1、&小白用户如何防御这个勒索病毒？
请广大用户无需过度担心，安装&火绒安全软件&即可防御这个勒索病毒，以及新出现的变种。同时，请给操作系统升级、安装补丁程序（详情见下文）。
5月13日周六中午，&火绒安全软件&就已经完成紧急升级，通过火绒官网下载软件，升级到最新版本即可防御、查杀该病毒。
火绒团队正在日夜值守，持续跟踪新的病毒变种，一旦遇到新变种会随时升级产品。火绒产品默认自动升级，请广大用户放心使用，无需做任何设置。
内网用户请通过外网下载火绒产品升级到最新版本，然后覆盖安装内网电脑即可。
2、&哪些用户容易被感染，为什么政府机关和大学是重灾区？
我们发现，目前这个病毒通过共享端口传播，除了攻击内网IP以外，也会在公网进行攻击。但是，只有直接暴露在公网且没有安装相应操作系统补丁的计算机才会受到影响，因此那些通过路由拨号的个人用户，并不会直接通过公网被攻击。如果企业网络也是通过总路由出口访问公网的，那么企业网络中的电脑也不会受到来自公网的直接攻击，但并不排除病毒未来版本会出现更多传播渠道。
很多校园网或其他网络存在一些直接连接公网的电脑，而内部网络又类似一个大局域网，因此一旦暴露在公网上的电脑被攻破，就会导致整个局域网存在被感染的风险。
根据&火绒威胁情报系统&的数据，互联网个人用户被感染的并不多。
3、&已经被感染用户，能否恢复被加密锁死的文件？
结论：这非常难，几乎不可能，即使支付赎金，也未必能得到解密密钥。
A、&相比以往的勒索病毒，这次的WannaCry病毒存在一个致命缺陷&&病毒作者无法明确认定哪些受害者支付了赎金，因此很难给出相应的解密密钥（密钥是对应每一台电脑的，没有通用密钥）。
请不要轻易支付赎金（比特币），如上所述，即使支付了赎金，病毒作者也无法区分到底谁支付赎金并给出相应密钥。
B、&网上流传一些&解密方法&，甚至有人说病毒作者良心发现，已经公布了解密密钥，这些都是谣言。这个勒索病毒和以往的绝大多数勒索病毒一样，是无法解密的，请不要相信任何可以解密的谎言，防止上当受骗。
C、&某些安全公司也发布了解密工具，其实是&文件修复工具&，可以有限恢复一些被删除的文件，但是依然无法解密被锁死的文件。
4、这个勒索病毒会攻击哪些系统？
答：这次病毒爆发影响确实非常大，为近年来所罕见。该病毒利用NSA&永恒之蓝&这个严重漏洞传播，几乎所有的Windows系统如果没有打补丁，都会被攻击。
微软在今年&3 月发布了&MS17-010 安全更新，以下系统如果开启了自动更新或安装了对应的更新补丁，可以抵御该病毒&&Windows Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2、Windows 8.1、Windows Server 2012、Windows 10、Windows Server 2012 R2、Windows Server 2016&。
最安全的是Windows 10&的用户，该系统是是默认开启自动更新且无法关闭的，所以不会受该病毒影响。
另外：由于此次事件影响巨大，微软破天荒的再次为已经不在维护期的Windows XP、Windows 8和 Windows Server 2003 提供了紧急安全补丁更新。
5、除了Windows系统的电脑外，手机、Pad、Mac等终端是否会被攻击？
答：不会的，病毒只攻击Windows系统的电脑，手机等终端不会被攻击，包括Unix、Linux、Android等系统都不会受影响。
请大家不要惊慌，不要听信谣言。例如下图，明显是假的，是造谣者PS的。
6、被这个勒索病毒感染后的症状是什么？
答：中毒后最明显的症状就是电脑桌面背景被修改，许多文件被加密锁死，病毒弹出提示。
被病毒加密锁死的文件包括以下后缀名：
................123;..wk1;...onetoc2;...........................602;...........ARC;.PAQ;.bz2;......7z;..................m4u;.m3u;....3g2;..3.mp4;...........mp3;................ps1;.....h;...c;.................sqlite3;..lay6;...........wb2;.......3..3.......p12;.....
7、&永恒之蓝&和&勒索病毒&是什么关系？
答：&永恒之蓝&是指NSA泄露的危险漏洞&EternalBlue&，此次的勒索病毒WannaCry是利用该漏洞进行传播的，当然还可能有其他病毒也通过&永恒之蓝&这个漏洞传播，因此给系统打补丁是必须的。
8、听说一个英国小哥的意外之举，阻止了近日席卷全球网络的比特币勒索病毒攻击事件的继续蔓延，拯救了全世界，是不是真的？
答：勒索病毒WannaCry的病毒体中包含了一段代码，内容是病毒会自动联网检测&&这个网址是否可以访问，如果可以访问，则不再继续传播。这就是该病毒的&神奇开关&。
国外安全研究人员（英国小哥）发现这段代码后立刻注册了这个网址，的确是有效地阻止了该病毒的更大范围的传播。但是，这仅仅阻止了病毒的传播，已经被感染的电脑依然被攻击，文件会被加密锁死。
另外，病毒体中的这段代码没有被加密处理，任何一个新的病毒制造者都可以修改、删除这段代码，因此未来可能出现&神奇开关&被删除了的新变种病毒。
9、如果使用正版操作系统，并开启了自动更新，那还是否需要使用网上的免疫工具？
答：Vista以上系统如果开启了自动更新，就不需要使用任何免疫工具，更不需要手工关闭相关端口。Winxp、Win2003和Win8这3个系统如果打了微软紧急提供的补丁，也无需再用免疫工具，以及手动关闭端口。
官方微博/微信
每日头条、业界资讯、热点资讯、八卦爆料，全天跟踪微博播报。各种爆料、内幕、花边、资讯一网打尽。百万互联网粉丝互动参与，TechWeb官方微博期待您的关注。
↑扫描二维码
想在手机上看科技资讯和科技八卦吗？想第一时间看独家爆料和深度报道吗？请关注TechWeb官方微信公众帐号：1.用手机扫左侧二维码；2.在添加朋友里，搜索关注TechWeb。
无线充电已经搞了很多年，但因为各种限制，始终没有推广开来，支持设备偏少无疑是个重...
今天，华为官方宣布，将于12月7日在北京召开发布会，正式发布旗下的新机nova 2s。...
11月28日，一加在北京798艺术区发布了一加5T这款全面屏旗舰，跟以往的一加手机一样，...
监管文件显示，科斯罗萨西周四通知纽约时报公司董事会，他将因为出任Uber的新职位而卸...
据CNBC网站北京时间11月22日报道，惠普企业公司（HPE）公司首席执行官梅格·惠特曼（M...
一名美国法官已责令进行一项新的审判，目的是判定三星应因其抄袭苹果公司iPhone外观设...
继昨天Play商城应用页面显示脱离Beta标签之后，今天微软宣布Edge网页浏览器正式登陆iO...
今天早些时候，谷歌向开发者们发去了一封邮件，告知其将更新《Google Play 开发者项目...
日常操作少不了复制和粘贴，除了那种最基本的粘贴，你还知道哪些特殊的粘贴方法吗？今...
距离腾讯代理国服版《绝地求生》已经有一段时间了，近日不仅宣布了端游吃鸡的消息。......
王者荣耀最近新上线游戏活动，那就是各种游戏成就，想办法完成成就，即可拿到一定奖励......
CF手游2周年庆活动有哪些？很多玩家都不知道，下面就由小编为大家带来CF手游2017周年......
《绝地求生大逃杀》中的四排是需要有一些战术策略的，这样团队合作才能发挥出较好的效......
Copyright (C)
All rights reserved.
请选择一张图片分享
要转发到新浪微博，请
要转发到QQ空间，请}