「永恆之藍」勒索病毒再現變種 如何防範？

「您的一些重要文件被我加密保存了。照片、圖片、文檔、壓縮包、音頻、視頻文件、exe文件等」、「想要恢復全部文檔，需要支付等額價值300美元的比特幣」、「最好3天之內付款，過了三天費用就會翻倍」。

近日，一種名為WannaCry勒索病毒(又被稱為「想哭」、「永恆之藍」病毒)從英國NHS醫院蔓延至全球。五個小時之內，包括美國、俄羅斯、中國以及整個歐洲在內的100多個國家的電腦中招。據360威脅情報中心14日上午發布的數據顯示，截止到5月13日20點，國內有29372家機構組織的數十萬台機器感染，其中有教育科研機構4341家，是此次事件的重災區。

WannaCry勒索病毒來自何處?

騰訊安全聯合實驗室反病毒實驗室負責人、騰訊電腦管家安全技術專家馬勁松介紹，此次勒索病毒「WannaCry」事件與以往相比最大的區別在於，勒索病毒結合了蠕蟲的方式進行傳播，傳播方式採用了前不久NSA(美國國家安全局)被泄漏出來的MS17-010漏洞。

MS17-010漏洞指的是，攻擊者利用該漏洞，向用戶機器的445埠發送精心設計的網路數據包文，實現遠程代碼執行。

此次事件中，黑客利用該漏洞，通過在網路上掃描開放的445埠，然後把ONION和WNCRY兩個家族為主的蠕蟲病毒植入被攻擊電腦，被控制的電腦又會去掃描其他電腦，最終以多米諾骨牌的方式不斷感染其他電腦。高校網路環境大多沒有對445埠做防範處理，這也是導致這次高校成為重災區的原因之一。

而ONION和WNCRY病毒的一大特徵就是會勒索比特幣，勒索金額分別是3～5個比特幣和300～600美元，所以它們有勒索病毒、比特幣病毒這樣的稱呼。(以目前比特幣行情，1個比特幣相當於人民幣1萬元左右。)由於在NSA泄漏的文件中，MS17-010漏洞利用的代碼被稱為「EternalBlue」，所以這次攻擊也被稱作「永恆之藍」。(「永恆之藍」有美國國家安全局核彈級網路攻擊工具之稱。)

再現變種，WannaCry2.0版面世

5月14日，北京市委網信辦、北京市公安局、北京市經信委聯合發出《關於WannaCry勒索蠕蟲出現變種及處置工作建議的通知》。通知指出，有關部門監測發現，WannaCry 勒索蠕蟲出現了變種：WannaCry 2.0，與之前版本的不同是，這個變種取消了所謂的Kill Switch。

「Kill Switch」是緊急開關的意思。此前，WannaCry勒索病毒發作之前，都會向某個域名發出請求，如果該域名已經被人註冊了，就會退出停止傳播;如果不存在則繼續攻擊。

而就在勒索病毒大規模爆發的時候，英國有一名安全人員通過對病毒樣本進行分析，發現在代碼的一開始，有一個特殊的域名地址，而且還尚未被註冊。出於職業習慣，他花很少的錢註冊了這個域名。沒想到他這無心之舉，竟然觸發了病毒作者留下的緊急停止的開關，從而阻止了WannaCry病毒的傳播。

但現在WannaCry2.0取消了Kll Switch，這就意味著不能通過註冊某個域名來關閉變種勒索蠕蟲的傳播，因此傳播速度也可能會更快

如何防範WannaCry2.0病毒

北京市三部門在《通知》中指出，WannaCry2.0的有關處置方法與之前版本相同:

一、請立即組織內網檢測，查找所有開放445 SMB服務埠的終端和伺服器，一旦發現中毒機器，立即斷網處置，目前看來對硬碟格式化可清除病毒。

二、目前微軟已發布補丁MS17-010修復了「永恆之藍」攻擊的系統漏洞，請儘快為電腦安裝此補丁，網址為https://technet.microsoft.com/zh-cn/library/security/MS17-010;對於XP、2003等微軟已不再提供安全更新的機器，建議升級操作系統版本，或關閉受到漏洞影響的埠，可以避免遭到勒索軟體等病毒的侵害。

三、一旦發現中毒機器，立即斷網。

四、啟用並打開「Windows防火牆」，進入「高級設置」，在入站規則里禁用「文件和印表機共享」相關規則。關閉UDP135、445、137、138、139埠，關閉網路文件共享。

五、嚴格禁止使用U盤、移動硬碟等可執行擺渡攻擊的設備。

六、儘快備份自己電腦中的重要文件資料到存儲設備上。

七、及時更新操作系統和應用程序到最新的版本。

八、加強電子郵件安全，有效的阻攔掉釣魚郵件，可以消除很多隱患。

九、安裝正版操作系統、Office軟體等。

但360首席安全工程師鄭文彬也表示，從某種意義上來說這種勒索病毒「可防不可解」。「這次病毒的加密能力非常強，從原理上講非常難破解，除非我們能找到它的漏洞。但這件事可能花幾十年都是徒勞無功。」鄭文彬說，這次勒索病毒攻擊的是Windows8.1以下版本，所以Windows10系統和蘋果系統暫時是安全的。

WannaCry會感染手機嗎?

目前，WannaCry勒索病毒只攻擊windows系統的電腦，手機等終端不會被攻擊，包括Unix、Linux、Android等系統都不會受影響。

不過，安全人士表示，從去年起，也有越來越多冒充正常App的勒索病毒出現在手機上，利用遊戲或是視頻播放的方式，吸引用戶點擊後，讓手機中毒。

所以，建議手機用戶不要從非官方渠道下載來路不明的App，或者是打開自己並不熟悉的郵件鏈接以及網頁。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！