文章大纲：

• 1、之一，什么是电脑病毒？什么又是勒索病
• 2、勒索病毒的攻击过程是怎样的？
• 3、电脑勒索病毒99个国家中招是谁干的？
• 4、勒索病毒是什么类型的电脑都侵害吗？
• 5、中了勒索病毒怎么办呢？

之一，什么是电脑病毒？什么又是勒索病

计算机病毒（电脑病毒）是编制者在计算机程序中插入的破坏计算机功能或者数据的代码，能影响计算机使用，能自我复制的一组计算机指令或者程序代码。

计算机病毒具有传播性、隐蔽性、感染性、潜伏性、可激发性、表现性或破坏性。计算机病毒的生命周期：开发期→传染期→潜伏期→发作期→发现期→消化期→消亡期。

计算机病毒是一个程序，一段可执行码。就像生物病毒一样，具有自我繁殖、互相传染以及激活再生等生物病毒特征。计算机病毒有独特的复制能力，它们能够快速蔓延，又常常难以根除。它们能把自身附着在各种类型的文件上，当文件被复制或从一个用户传送到另一个用户时，它们就随同文件一起蔓延开来。

勒索病毒（WannaCry），一种“蠕虫式”的勒索病毒软件，大小3.3MB，被人利用泄露的危险漏洞“EternalBlue”（永恒之蓝）进行传播，勒索病毒肆虐，俨然是一场全球性互联网灾难，给广大电脑用户造成了巨大损失。最新统计数据显示，100多个国家和地区超过10万台电脑遭到了勒索病毒攻击、感染。 勒索病毒是自灰鸽子和熊猫烧香以来影响力更大的病毒之一。WannaCry勒索病毒全球大爆发，至少150个国家、30万名用户中招，造成损失达80亿美元，已经影响到金融，能源，医疗等众多行业，造成严重的危机管理问题。中国部分Windows操作系统用户遭受感染，校园网用户首当其冲，受害严重，大量实验室数据和毕业设计被锁定加密。部分大型企业的应用系统和数据库文件被加密后，无法正常工作，影响巨大。

勒索病毒的攻击过程是怎样的？

勒索病毒工作原理：

勒索病毒是黑客通过锁屏、加密等方式劫持用户设备或文件，并以此敲诈用户钱财的恶意软件。黑客利用系统漏洞或通过 *** 钓鱼等方式，向受害电脑或服务器植入病毒，加密硬盘上的文档乃至整个硬盘，然后向受害者索要数额不等的赎金后才予以解密，如果用户未在指定时间缴纳黑客要求的金额，被锁文件将无法恢复。

1、针对个人用户常见的攻击方式

通过用户浏览网页下载勒索病毒，攻击者将病毒伪装为盗版软件、外挂软件、色情播放器等，诱导受害者下载运行病毒，运行后加密受害者机器。此外勒索病毒也会通过钓鱼邮件和系统漏洞进行传播。针对个人用户的攻击流程如下图所示：

攻击流程

2、针对企业用户常见的攻击方式

勒苏病毒针对企业用户常见的攻击方式包括系统漏洞攻击、远程访问弱口令攻击、钓鱼邮件攻击、web服务漏洞和弱口令攻击、数据库漏洞和弱口令攻击等。其中，钓鱼邮件攻击包括通过漏洞下载运行病毒、通过office机制下载运行病毒、伪装office、PDF图标的exe程序等。

1）系统漏洞攻击

系统漏洞是指操作系统在逻辑设计上的缺陷或错误，不法者通过 *** 植入木马、病毒等方式来攻击或控制整个电脑，窃取电脑中的重要资料和信息，甚至破坏系统。同个人用户一样，企业用户也会受到系统漏洞攻击，由于企业局域网中机器众多，更新补丁费时费力，有时还需要中断业务，因此企业用户不太及时更新补丁，给系统造成严重的威胁，攻击者可以通过漏洞植入病毒，并迅速传播。席卷全球的Wannacry勒索病毒就是利用了永恒之蓝漏洞在 *** 中迅速传播。

攻击者利用系统漏洞主要有以下两种方式，一种是通过系统漏洞扫描互联网中的机器，发送漏洞攻击数据包，入侵机器植入后门，然后上传运行勒索病毒。

通过系统漏洞扫描 *** 中的计算机

另外一种是通过钓鱼邮件、弱口令等其他方式，入侵连接了互联网的一台机器，然后再利用漏洞局域网横向传播。大部分企业的 *** 无法做到绝对的隔离， 一台连接了外网的机器被入侵，内网中存在漏洞的机器也将受到影响。

入侵一台机器后再通过漏洞局域网横向传

网上有大量的漏洞攻击工具，尤其是武器级别的NSA方程式组织工具的泄露，给 *** 安全造成了巨大的影响，被广泛用于传播勒索病毒、挖矿病毒、木马等。有攻击者将这些工具，封装为图形化一键自动攻击工具，进一步降低了攻击的门槛。

2）远程访问弱口令攻击

由于企业机器很多需要远程维护，所以很多机器都开启了远程访问功能。如果密码过于简单，就会给攻击者可乘之机。很多用户存在侥幸心理，总觉得 *** 上的机器这么多，自己被攻击的概率很低，然而事实上，在全世界范围内，成千上万的攻击者不停的使用工具扫描 *** 中存在弱口令的机器。有的机器由于存在弱口令，被不同的攻击者攻击，植入了多种病毒。这个病毒还没删除，又中了新病毒，导致机器卡顿，文件被加密。

通过弱口令攻击和漏洞攻击类似，只不过通过弱口令攻击使用的是暴力破解，尝试字典中的账号密码来扫描互联网中的设备。

弱口令扫描 *** 中的计算机

通过弱口令攻击还有另一种方式，一台连接外网的机器被入侵，通过弱口令攻击内网中的机器。

入侵一台机器再弱口令爆破局域网机器横

3）钓鱼邮件攻击

企业用户也会受到钓鱼邮件攻击，相对个人用户，由于企业用户使用邮件频率较高，业务需要不得不打开很多邮件，而一旦打开的附件中含有病毒，就会导致企业整个 *** 遭受攻击。钓鱼邮件攻击逻辑图：

钓鱼邮件攻击逻辑

文章转载至：2018勒索病毒全面分析报告

电脑勒索病毒99个国家中招是谁干的？

根据媒体报道，5月12日，数家欧洲机构遭受大规模的勒索软件攻击。据悉，声称受到攻击的团体在网上分享了计算机被锁死并要求支付比特币的屏幕快照。

报告称，此次受到感染的国家包括英国、西班牙、意大利、葡萄牙、俄罗斯和乌克兰。在英国，国家医疗服务系统（NHS）也成为受害者之一，当天英国许多地区的公共诊所都只能使用纸笔办公。而在西班牙，电信巨头Telefonica也发表声明称，受到了 *** 攻击，但客户和服务未受影响。

此外，该勒索病毒还在进一步传播，已经蔓延至国内。昨晚，国内部分高校学生反映电脑被病毒攻击，文档被加密。攻击者称需支付比特币解锁。不过有报道称，用户付钱后，仍然无法解密数据。

据了解此次病毒的重灾区是校园网，目前受影响的有贺州学院、桂林电子科技大学、桂林航天工业学院以及广西等地区的大学。另外有网友反映，大连海事大学、山东大学等也受到了病毒攻击。

根据反病毒软件厂商Avast的报告称，至少7.5万台计算机被感染。勒索病毒“WanaCrypt0r 2.0”也已在99个国家被发现。

据英国《金融时报》和《 *** 》披露，病毒发行者正是利用了去年被盗的美国国家安全局（NSA）自主设计的Windows系统黑客工具Eternal Blue，被称为“永恒之蓝”，把今年2月的一款勒索病毒进行升级。

“永恒之蓝”可远程攻击Windows的445端口（文件共享），如果系统没有安装今年3月的微软补丁，无需用户任何操作，只要开机上网，”永恒之蓝“就能在电脑里执行任意代码，植入勒索病毒等恶意程序。

被感染的Windows用户必须在7天内交纳比特币作为赎金，否则电脑数据将被全部删除且无法修复。据悉，策划者是一名俄罗斯黑客，在FBI通缉的十大黑客名单中排名第二，利用美国NSA黑客武器攻击Windows漏洞。

由于以前国内多次爆发利用445端口传播的蠕虫，运营商对个人用户已封掉445端口，但是教育网并没有此限制，仍然存在大量暴露445端口的机器。据有关机构统计，目前国内平均每天有5000多台机器遭到NSA“永恒之蓝”黑客武器的远程攻击，教育网就是受攻击的重灾区！

当然，已经更新微软补丁的用户不必着急，微软已于3月14日提供了系统安全升级补丁，目的就是用来防范这一款病毒袭击。现已运行微软免费杀毒软件和更新了安全包的用户都没有危险。

不过，对每个来说，还是需要有一个谨慎的心，常常更新电脑补丁，备份重要资料！

勒索病毒是什么类型的电脑都侵害吗？

勒索病毒一般指WannaCry。

WannaCry（想哭，又叫Wanna Decryptor），一种“蠕虫式”的勒索病毒软件，大小3.3MB，由不法分子利用NSA（National Security Agency，美国国家安全局）泄露的危险漏洞“EternalBlue”（永恒之蓝）进行传播。

该恶意软件会扫描电脑上的TCP 445端口(Server Message Block/ *** B)，以类似于蠕虫病毒的方式传播，攻击主机并加密主机上存储的文件，然后要求以比特币的形式支付赎金。勒索金额为300至600美元。

2017年5月14日，WannaCry 勒索病毒出现了变种：WannaCry 2.0，取消Kill Switch 传播速度或更快。截止2017年5月15日，WannaCry造成至少有150个国家受到 *** 攻击，已经影响到金融，能源，医疗等行业，造成严重的危机管理问题。中国部分Window操作系统用户遭受感染，校园网用户首当其冲，受害严重，大量实验室数据和毕业设计被锁定加密。

目前，安全业界暂未能有效破除该勒索软件的恶意加密行为。微软总裁兼首席法务官Brad Smith称，美国国家安全局未披露更多的安全漏洞，给了犯罪组织可乘之机，最终带来了这一次攻击了150个国家的勒索病毒。

当用户主机系统被该勒索软件入侵后，弹出如下勒索对话框，提示勒索目的并向用户索要比特币。而对于用户主机上的重要文件，如：照片、图片、文档、压缩包、音频、视频、可执行程序等几乎所有类型的文件，都被加密的文件后缀名被统一修改为“.WNCRY”。目前，安全业界暂未能有效破除该勒索软的恶意加密行为，用户主机一旦被勒索软件渗透，只能通过重装操作系统的方式来解除勒索行为，但用户重要数据文件不能直接恢复。

目前，安全业界暂未能有效破除该勒索软件的恶意加密行为。 *** 安全专家建议，用户要断网开机，即先拔掉网线再开机，这样基本可以避免被勒索软件感染。开机后应尽快想办法打上安全补丁，或安装各家 *** 安全公司针对此事推出的防御工具，才可以联网。建议尽快备份电脑中的重要文件资料到移动硬盘、U 盘，备份完后脱机保存该磁盘，同时对于不明链接、文件和邮件要提高警惕，加强防范。

临时解决方案：

开启系统防火墙

利用系统防火墙高级设置阻止向445端口进行连接（该操作会影响使用445端口的服务）

打开系统自动更新，并检测更新进行安装

Win7、Win8、Win10的处理流程

1、打开控制面板-系统与安全-Windows防火墙，点击左侧启动或关闭Windows防火墙。

2、选择启动防火墙，并点击确定

3、点击高级设置

4、点击入站规则，新建规则

5、选择端口，下一步

6、特定本地端口，输入445，下一步

7、选择阻止连接，下一步

8、配置文件，全选，下一步

9、名称，可以任意输入，完成即可。

XP系统的处理流程

1、依次打开控制面板，安全中心，Windows防火墙，选择启用

2、点击开始，运行，输入cmd，确定执行下面三条命令：net stop rdr 、net stop srv 、net stop netbt

中了勒索病毒怎么办呢？

一、历史备份还原

如果已经对系统或者文件进行了备份，那么将不会再担忧和烦恼了。可以直接从云盘、硬盘或其他灾备系统中，恢复被加密的文件。值得注意的是，在文件恢复之前，之一要隔离中招主机，还要确保系统中的病毒已被清除，已经对磁盘进行格式化或者是重装了系统，以免插上移动硬盘的瞬间，或是网盘下载文件到本地后，备份文件也被加密。

事先进行备份，既是最有效也是成本更低的恢复文件和系统的方式。

二、解密工具恢复

绝大多数勒索病毒使用的加密算法都是国际公认的标准算法，这种加密方式的特点是，只要加密密钥足够长，普通电脑可能需要数十万年才能够破解，破解成本是极高的。通常情况，如果不支付赎金是无法解密恢复文件的。

但是，对于以下三种情况，可以通过互联网上的解密工具恢复感染文件。

1）勒索病毒的设计编码存在漏洞或并未正确实现加密算法。

2）勒索病毒的制造者主动发布了密钥或主密钥。

3）执法机构查获带有密钥的服务器，并进行了分享。

需要注意的是：使用解密工具之前，务必要备份加密的文件，防止解密不成功导致无法恢复数据。

三、专业人员代付

勒索病毒的赎金一般为比特币或者其他数字货币，数字货币的购买和支付对一般用户来说具有一定的难度和风险。具体主要体现在：

1）统计显示，95%以上的勒索病毒攻击者来自境外，由于语言不通，容易在沟通上产生误解，影响文件的解密。

2）数字货币交付需要在特定的交易平台下进行，不熟悉数字货币交易时，容易人才两空。

所以，即使支付赎金可以解密，也不建议自行支付赎金。建议联系专业的数据恢复公司进行处理，以保证数据能成功安全的恢复。