勒索蠕虫病毒是什么传播方式有哪些

时间：2017-05-15 10:19:29 佩珊807由分享

勒索蠕虫病毒是什么传播方式有哪些

　　2017年5月12日起，全球范围内爆发了基于Windows网络共享协议进行攻击传播的蠕虫恶意代码——永恒之蓝勒索蠕虫病毒。五个小时内，包括美国、俄罗斯以及整个欧洲在内的100多个国家，及国内的高校内网、大型企业内网和政府机构专网中招，被勒索支付高额赎金才能解密恢复文件，对重要数据造成严重损失。那么永恒之蓝勒索蠕虫病毒到底是什么?开发者是谁?它又怎么传播的呢?下面学习啦小编就带大家一起来详细了解下吧。

　　勒索蠕虫病毒详细介绍

　　这次的“永恒之蓝”勒索蠕虫，是NSA网络军火民用化的全球第一例。一个月前，第四批NSA相关网络攻击工具及文档被Shadow Brokers组织公布，包含了涉及多个Windows系统服务(SMB、RDP、IIS)的远程命令执行工具，其中就包括“永恒之蓝”攻击程序。

　　在之前就已经爆发的多次利用445端口进行蠕虫攻击的事件中，部分运营商在主干网络上已经封禁了445端口，但是教育网以及大量企业内网并没有此限制，而且并未及时安装补丁，仍然存在大量暴露445端口且存在漏洞的电脑，导致了这次“永恒之蓝”勒索蠕虫的泛滥。

　　资深安全专家表示，“隔离不等于安全，高校以及企业隔离的专网本身就是一个小规模的互联网，需要当作互联网来建设。”针对此次安全事件，强烈建议企业安全管理员在网络边界的防火墙上阻断445端口的访问，并升级设备的检测规则到最新版本，同时设置相应漏洞攻击的阻断，直到确认网络内的电脑已经安装了微软MS17-010补丁或关闭了Server服务。

　　而通过此次“永恒之蓝”勒索蠕虫事件我们发现，目前在国内一些大型企业客户的IT系统中，存在着防火墙品牌不一致的问题，这就导致安全事件爆发时防火墙无法实现安全策略的集中下发，直接影响到了企业对安全事件的应急响应速度。

　　勒索蠕虫病毒的真面目

　　5月12日开始散播勒索蠕虫病毒，从发现到大面积传播，仅仅用了几个小时，其中高校成为了重灾区。那么，这款病毒是一个什么样的病毒，如何传播，何以造成如此严重的后果呢?

　　这款勒索蠕虫病毒是针对微软的永恒之蓝的漏洞进行传播和攻击的。一旦电脑感染该病毒，被感染电脑会主动对局域网内的其他电脑进行随机攻击，局域网内没有修补漏洞的电脑理论上将无一幸免的感染该病毒。而该漏洞微软在今年3月份已经发布补丁，对漏洞进行了修复。

　　网络安全专家孙晓骏说这个病毒利用了一个漏洞，但是我们用户没有打补丁的习惯，没有及时修复这次漏洞，这个病毒样本通过漏洞攻击了非常多的电脑。

　　根据网络安全公司数据统计，截止5月13日晚8点，我国共有39730家机构被感染，其中教育科研机构有4341家，高校成为了这次蠕虫病毒的重灾区。

　　这次病毒利用了445的一个重要的端口。校园网因为ip直连的情况，导致没有一个nat和防火墙来阻断对445端口的访问所以在校园网没有打补丁的机器就直接暴露在病毒之下了。

　　因为电脑蠕虫病毒有主动攻击的特性，所以每一次蠕虫病毒的传播范围都很广。然而在5月12号爆发的蠕虫病毒与以往不同，它入侵电脑后会加密电脑中图片、文档、视频、压缩包等各类资料，并跳出弹窗，被告之只有交了赎金，才能解密电脑中被加密的资料。

　　被感染蠕虫病毒后，不到十秒，电脑里的所有用户文件全部被加密无法打开。网络安全专家介绍，用户电脑一旦被感染这种勒索病毒，被加密的文件目前还没有找到有效的办法可以解锁。而专家并不建议用户支付赎金取得解锁。

　　加密的文件会根据病毒指引去付赎金获得密钥，但是根据目前的研究看成功的几率非常低，整个互联网安全界在积极的探索有没有办法解开这个密钥。因为它用的是高强度非对称加密的算法，这个密钥空间非常大，就算用暴力破解也需要非常长的时间，目前来看是不可接受的。

　　针对已经被感染病毒的用户，专家建议首先使用安全软件查杀蠕虫病毒，并保留被加密的文件，待日后网络安全公司找到有效方法后再进行解锁。

　　勒索病毒是怎么传播的

　　该类型病毒的目标性强，主要以邮件为传播方式。

　　勒索病毒文件一旦被用户点击打开，会利用连接至黑客的C&C服务器，进而上传本机信息并下载加密公钥和私钥。然后，将加密公钥私钥写入到注册表中，遍历本地所有磁盘中的Office 文档、图片等文件，对这些文件进行格式篡改和加密;加密完成后，还会在桌面等明显位置生成勒索提示文件，指导用户去缴纳赎金。

　　勒索病毒文件一旦进入本地，就会自动运行，同时删除勒索软件样本，以躲避查杀和分析。接下来，勒索病毒利用本地的互联网访问权限连接至黑客的C&C服务器，进而上传本机信息并下载加密私钥与公钥，利用私钥和公钥对文件进行加密。除了病毒开发者本人，其他人是几乎不可能解密。加密完成后，还会修改壁纸，在桌面等明显位置生成勒索提示文件，指导用户去缴纳赎金。且变种类型非常快，对常规的杀毒软件都具有免疫性。攻击的样本以exe、js、wsf、vbe等类型为主，对常规依靠特征检测的安全产品是一个极大的挑战。

　　勒索病毒一般会攻击任何人，但一部分针对企业用户(如xtbl，wallet)，一部分针对所有用户。

　　永恒之蓝勒索蠕虫病毒的危害

　　中新网北京5月13日消息，今日全国多地的中石油加油站加油无法进行网络支付，只能进行现金支付。中石油有关负责人表示，怀疑受到病毒攻击，具体情况还在核查处置中。

　　据媒体报道，5月13日，全国多地包括北京、上海、重庆、成都等多城的部分中石油旗下加油站在今日0点左右突然断网，而因断网目前无法使用支付宝、微信等联网支付方式，只能使用现金。

　　中石油有关负责人表示，目前公司加油站的加油业务和现金支付业务正常运行，但是第三方支付无法使用，怀疑受到病毒攻击，具体情况还在核查处置中。

　　永恒之蓝勒索蠕虫病毒爆发，国内高校成为重灾区，360安全监测与响应中心对此事的风险评级为“危急”。

　　高校是永恒之蓝的重灾区，当你某一天，高高兴兴的把电脑打开的时候，感觉都正常，但是用着用着电脑突然就卡了，再过几秒钟，桌面背景就变了，弹出一个提示框来，说你的文件都被加密了，让你交钱。然后你再看你的文件，真的都被加密了。

　　勒索病毒开发者是谁

　　近日，一则勒索病毒出变种新闻引关注。如今网络黑客商业化已经非常成熟了，造枪(制造)、卖枪(贩卖)、拿箱子(购买实施者)、挂马(传播)、分销、变现，“一条龙”下环环相扣，每天在全球黑产网络中流转的交易额数以亿元计算。

　　国内遭勒索病毒袭击的重灾区是校园网，相比之下，英国遭到攻击的医院已经陷入了一片混乱。据英国镜报等报道，受病毒影响的40家医院所有IT系统、电话系统、患者管理系统等目前通通暂停。这意味着所有系统都处于离线状态，医院根本无法接听来电。候诊的急症病人会根据医生的安排，转移到其他地方，且至少一家医院被迫关闭。

　　报道称，目前已经发生了超过45000次攻击，主要发生在俄罗斯，已经至少有10笔每笔额度300美元左右的赎金被打到黑客提供的比特币账户。

　　360安全中心分析，此次校园网勒索病毒是由NSA泄漏的“永恒之蓝”黑客武器传播的。“永恒之蓝”可远程攻击Windows的445端口(文件共享)，如果系统没有安装今年3月的微软补丁，无需用户任何操作，只要开机上网，不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序。

　　由于国内曾多次出现利用445端口传播的蠕虫病毒，部分运营商对个人用户封掉了445端口。但是教育网并无此限制，存在大量暴露着445端口的机器，因此成为不法分子使用NSA黑客武器攻击的重灾区。

　　360针对校园网勒索病毒事件的监测数据显示，国内首先出现的是ONION病毒，平均每小时攻击约200次，夜间高峰期达到每小时1000多次;WNCRY勒索病毒则是5月12日下午新出现的全球性攻击，并在中国的校园网迅速扩散，夜间高峰期每小时攻击约4000次。

　　至此，幕后开发者还未找到，攻击还在持续中......