拿到了癱瘓全球的勒索病毒的最新版本，然後。。。

亡羊補牢

為時已晚

周五夜裡，差評君收到這樣一條消息。。。

微信截圖

然後差評君刷了刷票圈和微博，發現事情愈演愈烈，事情馬上就上了微博熱搜。。。

覺得事態嚴重的差評君趕緊跑去公司看看能不能跟大家說一一下這事。

不過差評君當時沒拿到病毒的樣本，手頭也沒有中了病毒的機子，覺得拿著幾張網上瘋傳的圖片跟大家說說事好像有點敷衍，就沒繼續。。。

今天差評君拿到了最新版本病毒的樣本，準備帶大家看看~

沒錯，就是它！

關於這個病毒，大家這幾天多半看了很多相關文章，差評君也就不再贅述了，簡單說一下。

這個病毒，從理論上來講，是病毒鄙視鏈最底端的東西，一點都不文雅~

打個比方，黑客幹壞事的一般分兩種，

偷東西的和敲竹杠的。。。

一般來說，偷東西的最有技術含量，因為這些人利用漏洞可以神不知鬼不覺的拿走你的賬號密碼什麼的變現，跟你也不發生什麼衝突。

甚至有些黑客發現了系統漏洞之後不直接用這些漏洞去幹壞事，而是轉手賣掉給亡命徒去干有風險的事，自己一點不承擔風險。

暗網上交易漏洞的網站

而另外一種呢，就是干風險買賣的，從漏洞發現人手裡買到漏洞利用工具之後，開發成有破壞力的東西，然後敲竹杠，比如入侵你系統把你鎖上，你不交錢他就不給你解，這種方式一般收益高風險大，沒太多人願意干。。。

這兩天瘋傳的 Wannacry 勒索病毒，就屬於敲竹杠這伙的，開發個加密程序就行

（可能加密程序沒準都是外包給別人的。。。），

技術含量很低。

Wannacry 勒索界面

你問中病毒文件被加密之後，怎麼辦呢？

1. 
   

   為了恢復文件，交錢了事，向惡勢力大佬低頭。



2. 
   

   不想屈於惡勢力，乾瞪眼，坐等文件被永久刪除。。。



3. 
   

   坐等一些安全公司出相應的恢復軟體，但這個可能會很慢，也可能會不成功。

從網傳數據來看，這次受到波及的國家和人很多，這個病毒至少感染了 150 個國家的網路，也就是說

大家都中招了！

而且因為加密是利用非對稱加密，沒法暴力破解，不交錢也沒辦法，大家乾脆破罐子破摔，苦中作樂，玩起了梗。。。

綠帽子版本

Steam 版本

程序員版本

奇怪的版本

就在大家陷入極度恐慌的時候，一個人出來帶節奏拯救世界了。。。

這個來自英國的小哥，發現

病毒軟體會先訪問一個很奇怪的域名，但那個域名被沒有被註冊。

於是他就註冊了這個奇怪的域名：www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com

（就是那種用臉滾鍵盤滾出來的感覺）

然後小哥驚奇的發現註冊了這個域名之後，病毒就停止傳播了！

從病毒的代碼分析來看，他發現病毒會先訪問這個域名，如果沒被註冊，就加密文件，如果發現被註冊了，就什麼都不做，所以小哥註冊了域名之後，病毒就不生效了~

英國多家報紙都報道了小哥的事迹

所以這真的像是網上瘋傳的一樣，

黑客設置了一個開關，為了防止事態嚴重？

Too young！壞人怎麼可能這麼好心！？

這其實是病毒的一個自我保護機制，因為大部分病毒檢測軟體和安全研究人員，會把病毒拖進沙箱里進行斷網測試（這樣就沒法檢測有沒有註冊了），所以這只不過是病毒開發者為了不露出馬腳而做出的一種策略！

所以後來，

黑客乾脆取消了這個設置，沒有域名這回事了，中病毒就加密

，差評君拿到的病毒版本就是這個~

首先，差評君用虛擬機裝了個盜版 Win 7 系統，模擬了一下國內大部分中招電腦的環境。。。

然後，新建了幾個 Word，PPT，txt 之類的常用文檔，作為測試用。

然後，直接點開病毒剛正面~

此時差評君的

虛擬機是沒有聯網的，但幾秒之後，病毒還是開始了感染，並且加密了差評君建立的那些常用文檔。

看著勒索軟體蹦跳的解密價格翻倍倒計時

（感染三天後贖金會從 300 美元翻倍成 600 美元）

，差評君突發奇想，

修改系統時間會不會有效？

於是。。。

竟然有效果，倒計時會增加！

這或許是個拖延贖金翻倍的方法？。。。

根據某劍分析工具（怕有廣告嫌疑就不提全名了），可以看到這個病毒釋放之後套路很簡單。

先自我複製幾下（ 藍色 ）

然後開始不停地進行，打開、刪除、寫入、創建，修改，更改文件屬性等動作，應該是在加密文件。。。

同時呢，病毒的一個進程不停地監聽區域網，因該是在區域網 「 找目標 」。

差評君最後沒有給虛擬機聯網，因為差評君也不知道園區這片區域網的電腦都打沒打補丁，也懶得再建另一個虛擬機橋接。。。

不過據一些網友說，新版病毒在兩台沒有打補丁虛擬機橋接成區域網的場景下，

是會傳播感染的。

也就是說，

這個勒索病毒正在不停地以新姿勢橫行！

講道理，針對這件事，已經被感染的機器恢復的可能不高，而還沒感染的機器，只能預防為主，升級殺毒軟體，打打補丁什麼，

這是一件值得深思的事。。。

首先，這次災難中，很多市政機構都中招了。

其次，很多學校的機房和使用校園網的學生都中招了。

但實際上這件事情，根本不應該會這麼嚴重。

因為微軟公布這個漏洞的補丁，已經是一個月以前的事情了！

截圖自百度百科

2017年4月16日，CNCERT主辦的CNVD發布《關於加強防範Windows操作系統和相關軟體漏洞攻擊風險的情況公告》，對影子經紀人「Shadow Brokers」披露的多款涉及Windows操作系統SMB服務的漏洞攻擊工具情況進行了通報（相關工具列表如下），並對有可能產生的大規模攻擊進行了預警。

如果說機構和學校的系統因為穩定性問題，不能經常更新，那還說的過去。

但是還有這麼多個人用戶也中槍，那就很不應該了。。。

這到底是什麼原因呢？

首先是一些奇怪的國產安全軟體，號稱專給小白用的低門檻安全軟體，根本沒有關於這次病毒所利用的高危埠的安全防禦策略，小白本以為很安全，結果中招只要一瞬間~

其次，差評君注意到很多中招的用戶用的都是

Windows XP，和 Windows 7

，而使用 Windows 10 的用戶幾乎沒受什麼影響。。。

其實是因為現在大量的 XP 和 Win7 用戶使用的還都是

盜版系統。

這些盜版系統因為害怕更新之後激活失效，幾乎都會關掉自動更新，因此幾乎接受不到 Windows 的官方支持，在網路上幾乎不設防，最後導致悲劇。

甚至有一些用戶，即使用的是正版 Windows ，

也依舊可能因為嫌麻煩，而想方設法避免自動更新。。。

其實跟 XP 時代不同，Windows 10 的更新推送現在體驗已經很好了，一定要扭轉一下意識。。。

差評君的朋友說因為嫌煩會關閉更新

所以呢，差評君奉勸大家，在這個網路安全感幾乎沒有的時代，多支持正版，多更新，雖然看起來不一定有多大卵用，但實際上還是能規避很多風險的！

對了，最後扯一嘴，

你們買股票了么？。。。

網路安全概念股飆漲

（奇怪的中國股市。。。）

「 這是一場永無休止的戰爭 」

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！

本站內容充實豐富，博大精深，小編精選每日熱門資訊，隨時更新，點擊「搶先收到最新資訊」瀏覽吧！

請您繼續閱讀更多來自 差評 的精彩文章: