勒索蠕蟲病毒是什麼傳播方式有哪些

　　2017年5月12日起，全球範圍內爆發了基於Windows網路共享協議進行攻擊傳播的蠕蟲惡意程式碼——永恆之藍勒索蠕蟲病毒。五個小時內，包括美國、俄羅斯以及整個歐洲在內的100多個國家，及國內的高校內網、大型企業內網和政府機構專網中招，被勒索支付高額贖金才能解密恢復檔案，對重要資料造成嚴重損失。那麼永恆之藍勒索蠕蟲病毒到底是什麼?開發者是誰?它又怎麼傳播的呢?下面小編就帶大家一起來詳細瞭解下吧。

　　勒索蠕蟲病毒詳細介紹

　　這次的“永恆之藍”勒索蠕蟲，是NSA網路軍火民用化的全球第一例。一個月前，第四批NSA相關網路攻擊工具及文件被Shadow Brokers組織公佈，包含了涉及多個Windows系統服務SMB、RDP、IIS的遠端命令執行工具，其中就包括“永恆之藍”攻擊程式。

　　在之前就已經爆發的多次利用445埠進行蠕蟲攻擊的事件中，部分運營商在主幹網路上已經封禁了445埠，但是教育網以及大量企業內網並沒有此限制，而且並未及時安裝補丁，仍然存在大量暴露445埠且存在漏洞的電腦，導致了這次“永恆之藍”勒索蠕蟲的泛濫。

　　資深安全專家表示，“隔離不等於安全，高校以及企業隔離的專網本身就是一個小規模的網際網路，需要當作網際網路來建設。”針對此次安全事件，強烈建議企業安全管理員在網路邊界的防火牆上阻斷445埠的訪問，並升級裝置的檢測規則到最新版本，同時設定相應漏洞攻擊的阻斷，直到確認網路內的電腦已經安裝了微軟MS17-010補丁或關閉了Server服務。

　　而通過此次“永恆之藍”勒索蠕蟲事件我們發現，目前在國內一些大型企業客戶的IT系統中，存在著防火牆品牌不一致的問題，這就導致安全事件爆發時防火牆無法實現安全策略的集中下發，直接影響到了企業對安全事件的應急響應速度。

　　勒索蠕蟲病毒的真面目

　　5月12日開始散播勒索蠕蟲病毒，從發現到大面積傳播，僅僅用了幾個小時，其中高校成為了重災區。那麼，這款病毒是一個什麼樣的病毒，如何傳播，何以造成如此嚴重的後果呢?

　　這款勒索蠕蟲病毒是針對微軟的永恆之藍的漏洞進行傳播和攻擊的。一旦電腦感染該病毒，被感染電腦會主動對區域網內的其他電腦進行隨機攻擊，區域網內沒有修補漏洞的電腦理論上將無一倖免的感染該病毒。而該漏洞微軟在今年3月份已經發布補丁，對漏洞進行了修復。

　　網路安全專家孫曉駿說這個病毒利用了一個漏洞，但是我們使用者沒有打補丁的習慣，沒有及時修復這次漏洞，這個病毒樣本通過漏洞攻擊了非常多的電腦。

　　根據網路安全公司資料統計，截止5月13日晚8點，我國共有39730家機構被感染，其中教育科研機構有4341家，高校成為了這次蠕蟲病毒的重災區。

　　這次病毒利用了445的一個重要的埠。校園網因為ip直連的情況，導致沒有一個nat和防火牆來阻斷對445埠的訪問所以在校園網沒有打補丁的機器就直接暴露在病毒之下了。

　　因為電腦蠕蟲病毒有主動攻擊的特性，所以每一次蠕蟲病毒的傳播範圍都很廣。然而在5月12號爆發的蠕蟲病毒與以往不同，它入侵電腦後會加密電腦中圖片、文件、視訊、壓縮包等各類資料，並跳出彈窗，被告之只有交了贖金，才能解密電腦中被加密的資料。

　　被感染蠕蟲病毒後，不到十秒，電腦裡的所有使用者檔案全部被加密無法開啟。網路安全專家介紹，使用者電腦一旦被感染這種勒索病毒，被加密的檔案目前還沒有找到有效的辦法可以解鎖。而專家並不建議使用者支付贖金取得解鎖。

　　加密的檔案會根據病毒指引去付贖金獲得金鑰，但是根據目前的研究看成功的機率非常低，整個網際網路安全界在積極的探索有沒有辦法解開這個金鑰。因為它用的是高強度非對稱加密的演算法，這個金鑰空間非常大，就算用暴力破解也需要非常長的時間，目前來看是不可接受的。

　　針對已經被感染病毒的使用者，專家建議首先使用安全軟體查殺蠕蟲病毒，並保留被加密的檔案，待日後網路安全公司找到有效方法後再進行解鎖。

　　勒索病毒是怎麼傳播的

　　該型別病毒的目標性強，主要以郵件為傳播方式。

　　勒索病毒檔案一旦被使用者點選開啟，會利用連線至黑客的C&C伺服器，進而上傳本機資訊並下載加密公鑰和私鑰。然後，將加密公鑰私鑰寫入到登錄檔中，遍歷本地所有磁碟中的Office 文件、圖片等檔案，對這些檔案進行格式篡改和加密;加密完成後，還會在桌面等明顯位置生成勒索提示檔案，指導使用者去繳納贖金。

　　勒索病毒檔案一旦進入本地，就會自動執行，同時刪除勒索軟體樣本，以躲避查殺和分析。接下來，勒索病毒利用本地的網際網路訪問許可權連線至黑客的C&C伺服器，進而上傳本機資訊並下載加密私鑰與公鑰，利用私鑰和公鑰對檔案進行加密。除了病毒開發者本人，其他人是幾乎不可能解密。加密完成後，還會修改桌布，在桌面等明顯位置生成勒索提示檔案，指導使用者去繳納贖金。且變種型別非常快，對常規的防毒軟體都具有免疫性。攻擊的樣本以exe、js、wsf、vbe等型別為主，對常規依靠特徵檢測的安全產品是一個極大的挑戰。

　　勒索病毒一般會攻擊任何人，但一部分針對企業使用者如xtbl，wallet，一部分針對所有使用者。

　　永恆之藍勒索蠕蟲病毒的危害

　　中新網北京5月13日訊息，今日全國多地的中石油加油站加油無法進行網路支付，只能進行現金支付。中石油有關負責人表示，懷疑受到病毒攻擊，具體情況還在核查處置中。

　　據媒體報道，5月13日，全國多地包括北京、上海、重慶、成都等多城的部分中石油旗下加油站在今日0點左右突然斷網，而因斷網目前無法使用支付寶、微信等聯網支付方式，只能使用現金。

　　中石油有關負責人表示，目前公司加油站的加油業務和現金支付業務正常執行，但是第三方支付無法使用，懷疑受到病毒攻擊，具體情況還在核查處置中。

　　永恆之藍勒索蠕蟲病毒爆發，國內高校成為重災區，360安全監測與響應中心對此事的風險評級為“危急”。

　　高校是永恆之藍的重災區，當你某一天，高高興興的把電腦開啟的時候，感覺都正常，但是用著用著電腦突然就卡了，再過幾秒鐘，桌面背景就變了，彈出一個提示框來，說你的檔案都被加密了，讓你交錢。然後你再看你的檔案，真的都被加密了。

　　勒索病毒開發者是誰

　　近日，一則勒索病毒出變種新聞引關注。如今網路黑客商業化已經非常成熟了，造槍製造、賣槍販賣、拿箱子購買實施者、掛馬傳播、分銷、變現，“一條龍”下環環相扣，每天在全球黑產網路中流轉的交易額數以億元計算。

　　國內遭勒索病毒襲擊的重災區是校園網，相比之下，英國遭到攻擊的醫院已經陷入了一片混亂。據英國鏡報等報道，受病毒影響的40家醫院所有IT系統、電話系統、患者管理系統等目前通通暫停。這意味著所有系統都處於離線狀態，醫院根本無法接聽來電。候診的急症病人會根據醫生的安排，轉移到其他地方，且至少一家醫院被迫關閉。

　　報道稱，目前已經發生了超過45000次攻擊，主要發生在俄羅斯，已經至少有10筆每筆額度300美元左右的贖金被打到黑客提供的比特幣賬戶。

　　360安全中心分析，此次校園網勒索病毒是由NSA洩漏的“永恆之藍”黑客武器傳播的。“永恆之藍”可遠端攻擊Windows的445埠檔案共享，如果系統沒有安裝今年3月的微軟補丁，無需使用者任何操作，只要開機上網，不法分子就能在電腦和伺服器中植入勒索軟體、遠端控制木馬、虛擬貨幣挖礦機等惡意程式。

　　由於國內曾多次出現利用445埠傳播的蠕蟲病毒，部分運營商對個人使用者封掉了445埠。但是教育網並無此限制，存在大量暴露著445埠的機器，因此成為不法分子使用NSA黑客武器攻擊的重災區。

　　360針對校園網勒索病毒事件的監測資料顯示，國內首先出現的是ONION病毒，平均每小時攻擊約200次，夜間高峰期達到每小時1000多次;WNCRY勒索病毒則是5月12日下午新出現的全球性攻擊，並在中國的校園網迅速擴散，夜間高峰期每小時攻擊約4000次。

　　至此，幕後開發者還未找到，攻擊還在持續中......