全球爆發勒索病毒 5月12日

2017-05-13 11:06?來源 綜合

　　全球爆發勒索病毒：2017年5月12日，英國、意大利、俄羅斯等全球多個國家爆發勒索病毒攻擊，中國大批高校感染勒索病毒，眾多師生的電腦文件被病毒加密，只有支付贖金才能恢復。

　　這次全球爆發勒索病毒受到攻擊的地區還包括俄羅斯，西班牙、意大利等整個歐洲，甚至是中國的很多高校也沒能幸免。

全球爆發勒索病毒：NSA黑客武器搭載的勒索病毒感染現象

　　據360安全中心分析，此次校園網勒索病毒是由NSA泄漏的“永恒之藍”黑客武器傳播的。“永恒之藍”可遠程攻擊Windows的445端口(文件共享)，如果系統沒有安裝今年3月的微軟補丁，無需用戶任何操作，只要開機上網，“永恒之藍”就能在電腦里執行任意代碼，植入勒索病毒等惡意程序。

　　由于國內曾多次出現利用445端口傳播的蠕蟲病毒，部分運營商對個人用戶封掉了445端口。但是教育網并無此限制，存在大量暴露著445端口的機器，因此成為不法分子使用NSA黑客武器攻擊的重災區。正值高校畢業季，勒索病毒已造成一些應屆畢業生的論文被加密篡改，直接影響到畢業答辯。

　　感染勒索病毒的磁盤文件會被篡改為相應的后綴，圖片、文檔、視頻、壓縮包等各類資料都無法正常打開，只有支付贖金才能解密恢復。兩類勒索病毒，勒索金額分別是5個比特幣和300美元，折合人民幣分別為5萬多元和2000多元。

　　360針對校園網勒索病毒事件的監測數據顯示，國內首先出現的是ONION病毒，平均每小時攻擊約200次，夜間高峰期達到每小時1000多次；WNCRY勒索病毒則是5月12日下午新出現的全球性攻擊，并在中國的校園網迅速擴散，夜間高峰期每小時攻擊約4000次。

　　安全專家發現，ONION勒索病毒還會與挖礦機(運算生成虛擬貨幣)、遠控木馬組團傳播，形成一個集合挖礦、遠控、勒索多種惡意行為的木馬病毒“大禮包”，專門選擇高性能服務器挖礦牟利，對普通電腦則會加密文件敲詐錢財，最大化地壓榨受害機器的經濟價值。

　　網絡安全公司 Avast 表示，已經在世界各地看到了 75,000 個案例。

　　嗯，而這個病毒的名字是——WannaCry (想哭)，不知道這個名字說出了多少人的心聲......

　　勒索病毒到底是什么病毒？

　　WannaCry 其實是一種勒索軟件（Ransomware），這是一種新型態的電腦病毒。類似的還有: Crypt0L0ocker、CryptoLocker、CryptWall 等。而在國內，大家可能最熟悉的應該就是“熊貓燒香”了。

　　勒索病毒什么原理？

　　Ransomware 是個很特別的攻擊手段。過去的黑客往往喜歡“黑進”你的電腦，手里拿著一個“萬能鑰匙”（解密算法），撬開你的鎖（加密文件）。

　　而網絡勒索正相反，黑客并不在乎你電腦里有什么，他們手里拿的是個“萬能鎖”（Ransomware），逼你交錢以后才把這個“萬能鎖”打開。上鎖比開鎖容易，加密也比解密要簡單。所以網絡敲詐犯，不需要學太多計算機知識。可以說是：只要拿到了 Ransomware，小學生都可以搞勒索。

　　而勒索軟件的常見發送方式包括：漏洞攻擊包、惡意廣告，或者大規模的網絡釣魚活動這幾種。攻擊者往往會以大量傳播垃圾郵件、釣魚郵件的方式，一旦收件人打開附件或者點擊郵件中的鏈接，勒索軟件就會以用戶看不見的形式默默在后臺安裝。

　　由于病毒是使用很高階的加密技術，受害人即使能刪除病毒也救不回被加密的檔案。而殺毒軟件頂多能移除病毒，但仍無法解密檔案。

　　勒索病毒傷害有多大？

　　FBI就曾揭露過，CryptoWall 這款對美國造成最大威脅的勒索軟件，最新版的CryptoWall 3 迄今已造成 3.25 億美元的損失。

　　一位來自臺灣的網友就曾分享過關于“勒索病毒” CryptoLocker 交付贖款的血淚史，盡管這位網友非常不愿意交高額贖金，但抱著1%可能恢復的希望，并提供中毒檔案與解碼檔案給民間高手分析，希望高手分析，并最好有解決方案。

　　嗯，這個時間是 2015 年的 11 月，可見類似病毒早已出沒……還肆意至今……

　　管病毒管受害者直接要錢，在過去是行不通的。警方可以通過查找銀行的交易記錄，迅速追捕到罪犯。可在比特幣發明出來以后，形勢一下子就變了。比特幣隨處可買，線上流通。它不需要身份證驗證，也不需要去銀行管理。比特幣是個“去中心化”的金融體系，警察對比特幣交易無法追蹤。有了這么一個“地下交易”網，黑客們拿完錢后輕松逍遙法外。已報告的網絡勒索案，絕大多數都是通過比特幣支付的贖金。

　　由于當前很多“勒索軟件”使用了比特幣虛擬貨幣，難以追溯，他們可以輕松獲利。不同勒索團伙之間的競爭甚至使得他們尋求更有效的傳播惡意代碼的方式。

　　而且還有規定時間內完成，如果 120 個小時內不完成贖金的話，價格就會上漲。

　　這位臺灣的受害者是從全家便利店購買的比特幣，然后點擊驗證付款。（受害者本人證實，確實付款碼只對該受害者電腦有效…… ）為什么呢？因為每個受害人都有一個專屬的付款帳戶，可以用一般瀏覽器去看付款主頁，但如果電腦關機之后再看付贖款網址，可能會無法連入。勒索文內會提供一個叫 TOR 瀏覽器下載網址，安裝那個瀏覽器，才能進入該網址。

　　贖金完成后，電腦文檔才被解碼。該受害者強烈建議，資料回復后立即備份，并將電腦系統進行重裝。

編輯： yujeu