2017年5月12日晚上20时，勒索病毒席卷全球，这是一起大规模勒索软件感染事件，并在持续。目前至少有上百个国家和地区受到严重影响。英国数十家医院被攻击，中国教育网内多所大学纷纷中招，不少毕业生的毕业设计文件被锁。在国内，很多的企业内网甚至是专网也未能幸免。医疗、企业、电力、能源、银行、交通等多个行业均遭受不同程度的影响。

什么是勒索病毒

勒索病毒，是一种新型电脑病毒，主要以邮件和恶链木马的形式进行传播。主要通过邮件附件、钓鱼邮件群发下载网址链接、用户在恶意站点下载病毒文件以及网页挂马后进行传播。该病毒性质恶劣、危害极大，一旦感染将给用户带来无法估量的损失。

遇到勒索病毒感染的电脑将被锁定，包括照片、图片、文档、压缩包、音频、视频、可执行程序等多种类型的文件被加密，被加密后的文件后缀名改为“.W N C R Y”，勒索病毒运用了高强度的加密算法，目前难以破解，暴力破解需要极高的运算量，基本不可能成功解密。受害者目前只能付钱消灾。攻击者甚至叫嚣，如果在规定时间内不付钱，金额翻倍，甚至删除文件。

这到底是怎么回事？用最简单的话解释，就是电脑没有及时安装补丁更新，被漏洞利用程序攻击，成功后，攻击者将电脑上的文件加密，弹出勒索页面，索要赎金。进而，攻击者会植入远程控制木马、虚拟货币等恶意程序。

此次席卷全球的勒索病毒被称为W annaC ry，目前还没有统一的中文名称，很多媒体按照字面翻译为“想哭”。此病毒文件的大小为3.3MB，是一款蠕虫勒索式恶意软件。除Windows 10系统外，所有未及时安装MS17- 010补丁的W indows系统都可能被攻击。WannaCry通过MS17- 010漏洞进行快速感染和扩散，使用R SA+AES加密算法对文件进行加密。也就是说，一旦某个电脑被感染，同一网络内存在漏洞的主机都会被它主动攻击，因此受感染的主机数量飞速增长。同时，W annaC ry包含28个国家语言，可谓细致。

以邮件为主要的传播途径

勒索病毒的目标性强，主要以邮件传播为主。勒索病毒文件一旦进入本地，就会自动运行，同时删除勒索软件样本，以躲避查杀和分析。接下来，勒索病毒利用本地的互联网访问权限连接至黑客的C&C服务器，进而上传本机信息并下载加密公钥。然后，将加密公钥写入到注册表中，遍历本地所有磁盘中的office文档、图片等文件，对这些文件进行格式篡改和加密。利用系统内部的加密处理，是一种不可逆的加密，除了病毒开发者本人，其他人是不可能解密的。加密完成后，会在桌面等明显位置生成勒索提示文件，指导用户去缴纳赎金。攻击的样本以js、wsf、vbe等类型为主，隐蔽性极强，对常规依靠特征检测的安全产品是一个极大的挑战。该类型病毒可以导致重要文件无法读取，关键数据被损坏，给用户的正常工作带来了极为严重的影响。

以存在漏洞的网络电脑为主要攻击对象

勒索病毒最早针对的是科研人员和公司管理人员，有消息称这个病毒可能是来自俄罗斯，一般赎金要求以比特币形式支付。互联网个人用户被感染的并不多，内部网络又类似一个大局域网，一旦暴露在公网上的电脑被攻破，就会导致整个局域网存在被感染的风险。此外，病毒只攻击W indows系统的电脑，手机等终端不会被攻击，包括U nix、L inux、A ndroid等系统都不会受影响。

勒索病毒通过共享端口传播，除了攻击内网IP以外，也会在公网进行攻击。但是，只有直接暴露在公网且没有安装相应操作系统补丁的计算机才会受到影响，因此那些通过路由拨号的个人用户，并不会直接通过公网被攻击。如果企业网络也是通过总路由出口访问公网的，那么企业网络中的电脑也不会受到来自公网的直接攻击，但并不排除病毒未来版本会出现更多传播渠道。很多校园网或其他网络中都有一些直接连接公网的电脑，而内部网络又类似一个大局域网，一旦暴露在公网上的電脑被攻破，就会导致整个局域网存在被感染的风险，并且勒索病毒会经由网络连线入侵到联网电视中。一旦智能联网电视遭到入侵，将会出现屏幕遭锁定的情况，并且会出现指定汇款的消息。如果受害者支付勒赎款项，才能重新使用该智能联网电视，已经在日本出现超过300个案例，而且最常被感染而锁定屏幕的时间达到28天，要使用智能联网电视的消费者必须得当心。

“永恒之蓝”和“勒索病毒”是什么关系

这次病毒爆发影响之大，为近年来所罕见。该勒索病毒利用N SA“永恒之蓝”这个——漏洞传播，如果没有打补丁，几乎所有的W indows系统都会被攻击。电脑中毒后最明显的症状就是电脑桌面背景被修改，许多文件被加密锁死，病毒弹出提示。

“永恒之蓝”是指N S A泄露的危险漏洞“EternalBlue”，此次的勒索病毒WannaCry是利用该漏洞进行传播的，当然还可能有其他病毒也通过“永恒之蓝”这个漏洞传播，因此给系统打补丁是必须的。

相比以往的勒索病毒，这次的W annaC ry病毒存在一个致命缺陷——病毒作者无法明确认定哪些受害者支付了赎金，因此很难给出相应的解密密钥（密钥是对应每一台电脑的，没有通用密钥）。如上所述，即使支付了赎金，病毒作者也无法区分到底谁支付赎金并给出相应密钥。

网上流传一些“解密方法”，甚至有人说病毒作者良心发现，已经公布了解密密钥，这些都是谣传。这个勒索病毒和以往的绝大多数勒索病毒一样，是无法解密的，请不要相信任何可以解密的谎言，以防上当受骗。

某些安全公司也发布了解密工具，其实是“文件修复工具”，可以有限恢复一些被删除的文件，但是依然无法解密被锁死的文件。

勒索病毒的“神奇开关”

勒索病毒W annaC ry的病毒体中包含了一段被称为“神器开关”的代码，内容是病毒会自动联网检测“http：//www.iuqerfsodp9ifjaposdfjhgosurijfaew rwergwea.com”这个网址是否可以访问，如果可以访问，则不再继续传播。

国外安全研究人员发现这段代码后立刻注册了这个网址，的确是有效地阻止了勒索病毒更大范围的传播。但已经被感染的电脑依然被攻击，文件同样会被加密锁死。

另外，勒索病毒体中的这段代码没有被加密处理，任何一个新的病毒制造者都可以修改、删除这段代码。因此，未来可能出现“神奇开关”被删除了的新变种病毒。

勒索病毒已經出现新变种

意外拦阻勒索病毒的英国网络工程师和一些网络安全专家都表示，这种方法目前只是暂时阻止了勒索病毒的进一步发作和传播，但帮不了那些勒索病毒已经发作的用户，也并非彻底破解这种勒索病毒。

他们推测，新版本的勒索病毒很可能不带这种“自杀开关”而卷土重来。这种推测果然很快便成为现实。

2017年5月14日，国家网络与信息安全信息通报中心紧急通报：监测发现，在全球范围内爆发的WannaCry勒索病毒出现了变种：WannaCry2.0，与之前版本不同的是，这个变种取消了K ill Switch，不能通过注册某个域名来关闭变种勒索病毒的传播，该变种传播速度可能会更快。

北京市委网信办、北京市公安局、北京市经信委也联合发出《关于W annaC ry勒索蠕虫出现变种及处置工作建议的通知》（以下简称《通知》）。该《通知》要求各单位立即组织内网检测，一旦发现中毒机器，立即断网处置，严格禁止使用U盘、移动硬盘等可执行摆渡攻击的设备。《通知》称，目前看来，对硬盘格式化可清除病毒。

欧盟刑警组织下属的欧洲网络犯罪中心5月13日表示，此次勒索病毒攻击的规模之大前所未有，需要通过复杂的国际调查寻找犯罪嫌疑人，欧盟刑警组织已和多国合作对此次攻击展开调查。

怎样防止用户感染该类勒索病毒

我们可以从安全技术和安全管理两方面入手：不要打开陌生人或来历不明的邮件，防止通过邮件附件的攻击；尽量不要点击office宏运行提示，避免来自office组件的病毒感染；需要的软件从正规（官网）途径下载，不要双击打开.js、.vbs等后缀名文件；升级企业防病毒软件到最新的防病毒库，阻止已存在的病毒样本攻击；立即组织内网检测，查找所有开放445 SMB服务端口的终端和服务器，一旦发现中毒机器，立即断网处置，目前看来对硬盘格式化可清除病毒；启用并打开“W indows防火墙”，进入“高级设置”，在入站规则里禁用“文件和打印机共享”相关规则，关闭U D P135、445、137、138、139端口，关闭网络文件共享；严格禁止使用U盘、移动硬盘等可执行摆渡攻击的设备；尽快备份自己电脑中的重要文件资料到存储设备上；及时更新操作系统和应用程序到最新的版本；安装正版操作系统、office软件：定期异地备份计算机中重要的数据和文件，万一中病毒可以及时进行恢复。endprint