WannaCry勒索病毒是怎么回事？
我的图书馆
WannaCry勒索病毒是怎么回事？
共同发表于 &1小时前
想哭！上周末，一个被称为“WannaCry”（也有称WannaCrypt）的勒索病毒在全球范围内肆虐。这个传说中属于“网络战武器”的病毒，到底是怎么回事？这篇文章会为你梳理事情的全貌。
什么是WannaCrypt勒索病毒？
北京时间日晚上22点30分左右，全英国上下16家医院遭到大范围网络攻击，医院的内网被攻陷，导致这16家机构基本中断了与外界联系，内部医疗系统几乎停止运转，很快又有更多医院的电脑遭到攻击，这场网络攻击迅速席卷全球。
这场网络攻击的罪魁祸首就是一种叫WannaCrypt的勒索病毒。
勒索病毒本身并不是什么新概念，勒索软件Ransomware最早出现在1989年，是由Joseph Popp编写的叫"AIDS Trojan"（艾滋病特洛伊木马）的恶意软件。在1996年，哥伦比亚大学和IBM的安全专家撰写了一个叫Cryptovirology的文件，明确概述了勒索软件Ransomware的概念：利用恶意代码干扰中毒者的正常使用，只有交钱才能恢复正常。
最初的勒索软件和现在看到的一样，都采用加密文件、收费解密的形式，只是所用的加密方法不同。后来除了加密外，也出现通过其他手段勒索的，比如强制显示色情图片、威胁散布浏览记录、使用虚假信息要挟等形式，向受害者索取金额的勒索软件，这类勒索病毒在近几年来一直不断出现。
被WannaCrypt勒索病毒侵入的电脑都会显示上图要求赎金的信息
本次肆虐的WannaCry也是同样的勒索方式，病毒通过邮件、网页甚至手机侵入，将电脑上的文件加密，受害者只有按要求支付等额价值300美元的比特币才能解密，如果7天内不支付，病毒声称电脑中的数据信息将会永远无法恢复。
勒索病毒是怎么加密的？
在提到加密原理之前，首先要来科普一个概念：RSA加密算法，RSA公钥加密是一种非对称加密算法，包含3个算法：KeyGen（密钥生成算法），Encrypt（加密算法）以及Decrypt（解密算法）。
其算法过程需要一对密钥（即一个密钥对），分别是公钥（公开密钥）和私钥（私有密钥），公钥对内容进行加密，私钥对公钥加密的内容进行解密。“非对称”这三个字的意思是，虽然加密用的是公钥，但拿着公钥却无法解密。
这次WannaCrypt勒索病毒使用的就是2048位密钥长度的RSA非对称加密算法对内容进行加密处理。简单来说，就是用一个非常非常复杂的钥匙，把你的文件锁上了。能解开的钥匙掌握在黑客手里，你没有；而以现在的计算能力，也基本没有办法强行破解。
勒索病毒是怎么全球范围大规模爆发的？
按理说，勒索病毒只是一个“锁”，其本身并没有大规模传播的能力。这次病毒的泄露与爆发，跟美国国家安全局（NSA）有关。
NSA是美国政府机构中最大的情报部门，隶属于美国国防部，专门负责收集和分析外国及本国通讯资料，而为了研究入侵各类电脑网络系统，NSA或多或少会跟各种黑客组织有合作，这些黑客中肯定有人能够入侵各种电脑。
事情起源于2016 年 8 月，一个叫 “The Shadow Brokers” （TSB）的黑客组织号称入侵了疑似是NSA下属的黑客方程式组织（Equation Group），从中窃取了大量机密文件，还下载了他们开发的攻击工具，并将部分文件公开到网上（GitHub）。
这些被窃取的工具包括了大量恶意软件和入侵工具，其中就有可以远程攻破全球约70%Windows机器的漏洞利用工具永恒之蓝（Eternal Blue）。“永恒之蓝”是疑似NSA针对CVE-2017-（）这几个漏洞开发的漏洞利用工具，通过利用Windows SMB协议的漏洞来远程执行代码，并提升自身至系统权限。
日和16日，“The Shadow Brokers”分别在网上公布了解压缩密码和保留的部分文件，也就是说，无论是谁，都可以下载并远程攻击利用，各种没有打补丁的Windows电脑都处在危险状态。
勒索病毒与永恒之蓝搭配的效果就是，只要有一个人点击了含有勒索病毒的邮件或网络，他的电脑就会被勒索病毒感染，进而使用永恒之蓝工具进行漏洞利用，入侵并感染与它联网的所有电脑。
图片来源：腾讯安全反病毒实验室攻击流程演示
简单地说，可以把永恒之蓝（传播的部分）当成武器，而WannaCrypt勒索病毒（加密文件并利用传播工具来传播自身）是利用武器的人。一旦机器连接在互联网上，它就会随机确定IP地址扫描445端口的开放情况，如果是开放的状态则尝试利用漏洞进行感染；如果机器在某个局域网里，它会直接扫描相应网段来尝试感染。
很多人会奇怪，攻击工具明明是上个月泄露的，但是怎么时隔一个月才集中爆发？一些安全专家发现，这些电脑其实早已被感染，也就是说，在一个月前永恒之蓝早已像定时炸弹一样被安在各个系统中，只是5月12日那天才被启动。
5月16日上午，杀毒软件公司卡巴斯基（Kaspersky Lab）的研究室安全人员表示，他们在研究了早期蠕虫病毒版本与2015年2月的病毒样本发现，其中部分相似的代码来自于卡巴斯基之前关注的朝鲜黑客团队“拉撒路组”，代码的相似度远超正常程度。
因此，卡巴斯基认为这次WannaCrypt勒索病毒与之前的冲击波病毒出自同一黑客团队，同时，信息安全领域的解决方案提供商赛门铁克（Symantec）也发现了同样的证据，安全专家Matt Suiche上午在推特（@msuiche）上公布证据，表示遍及全球的勒索病毒背后可能是朝鲜黑客团队“拉撒路组”的猜测。&
Twitter：https://t.co/qSnkyug8XH
为什么要用比特币支付？
比特币（Bitcoin）是一种网络虚拟货币，在2009年被匿名的程序员创造之后作为开放资源发布，除了通过采矿获得，比特币还可以兑换成其它货币。
其最大的特点是分散在整个网络上，完全匿名且不受各种金融限制，几乎很难从一个比特币账户追查到另一个。由此可知，比特币自然成为黑客索要赎金的不二选择。
在中了勒索病毒的情况下，移除勒索病毒、使用防毒软件都无法打开加密文件，一些被侵入的企业会为了保护重要的文件而选择在规定时间内支付比特币赎金，截止到5月16日13时，跟这次病毒爆发相关的账户一共有36个比特币的收益。
36个比特币虽然看上去不值一提，但是从病毒爆发到现在，比特币兑换的汇率一路猛涨，截止到5月16日13时，1比特币相当于1700美元左右，约合人民币11700元。
自2016年6月至今的比特币汇率变化图
尽管如此，有几个已经中招的用户在网上向黑客求情，竟然真的被免费解锁了……
5月14日下午，一个台湾的受害者在社交软件上向黑客求情：“我每月收入仅 400 美元，你真的要这样对我吗？”，结果没想到，收到了黑客的回复并被免费解锁了！
哪些地方的系统成为病毒重灾区？
因为NSA的永恒之蓝漏洞太强大了，除了更新了的Windows 10系统（版本1703）之外的其它Windows系统都可能受到漏洞影响。
目前已知的受影响的系统有： Windows Vista、Windows 7、Windows 8.1、Windows Server 2008（含R2）、Windows 2012（含R2）、Windows2016、已脱离服务周期的Windows XP、Windows Server 2003、Windows 8以及关闭自动更新的win10用户。
英国医院成为病毒入侵重灾区的一个重要原因，就在于系统的落后，英国医院的IT系统一直没有及时更新，仍然在使用Windows XP系统，而Windows XP系统在2014年4月之后就没有发布更新的安全补丁了。
除了英国，意大利、德国、俄罗斯、西班牙等国家都大范围爆发勒索病毒。
意大利的大学机房被攻击
5月12日仅一夜之间，全世界就有超过99个国家遭到攻击，共计七万多起。
我们国家的内网受损害也很严重，尤其是高校的校园网，很多单位都在内网和外网之间部署了防火墙进行网络控制，但内网的安全反而多多少少有些被忽视，因为内网机器相互访问的需求，再加上网络管理人员忽略了内网本身的安全控制，在不少企业的内网里，绝大多数端口甚至是完全开放的状态。这种情况下，电脑间的网络连接毫无限制，也就给了蠕虫病毒以传播机会。
内网的网络控制是靠内网网管来进行部署的，国内的大多数网络运营商都直接对445端口进行了封锁，哪怕漏洞存在，因为端口无法访问，病毒也自然就不能继续传播了。
如何应对WannaCrypt勒索病毒？
从病毒爆发到现在，已经有各路专业人士发布过解决方法，简单总结一下：
1、划重点，电脑上的文件一定要备份，并且勤备份。注意不要备份在本机和网络硬盘上，备份盘也不要一直插在电脑上；
2、安装反勒索防护工具，不要访问可疑网站、不要打开可疑的电子邮件和文件，如果发现被感染，也不要支付赎金；
3、关闭电脑包括TCP和UDP协议135和445端口，尤其是Windows7系统，不要使用校园网；
4、安装微软发布的修复“永恒之蓝”攻击的系统漏洞的补丁MS17-010，尽快升级安装Windows操作系统相关补丁。
除了上面的措施，幕后的网络安全人员也在通宵奋战。病毒爆发的第二天，一个英国安全人员分析了病毒的代码，发现在代码的开头有一个域名地址，从病毒开始侵入之后访问量激增。
于是他花钱把这个域名注册了下来，结果发现这个域名接到了几乎全世界的电脑上！随后，安全人员进一步分析发现，这是病毒作者留给自己的紧急停止开关。
在代码中提到，每一个被感染的电脑在发作前都会访问这个域名，而如果这个域名不存在，就会一直继续传播下去，一旦被注册就会停止传播。
因为一次意外，安全人员还绘制出了攻击地图...
地图上的每一个蓝点都代表着被攻击的电脑，并且有可能继续攻击同一网络中的其它电脑。
在安全人员昼夜不停地努力之下，有效阻止了进一步大范围爆发的可能，人们的安全意识也普遍提高了。（编辑：姜Zn）
https://en.wikipedia.org/wiki/Ransomware
https://en.wikipedia.org/wiki/Bitcoin
/news/technology-
/address/12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw
/address/115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn
/address/13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94
/charts/market-price
https://zh.wikipedia.org/wiki/RSA%E5%8A%A0%E5%AF%86%E6%BC%94%E7%AE%97%E6%B3%95
.au/yourlanguage/cantonese/zh-hant/article//hei-ke-mian-fei-wei-tai-wan-qiong-yong-hu-jie-suo
//wemedia.shtml
/msuiche/status/641985
/question//answer/
喜欢该文的人也喜欢喜欢与大家做一些电脑交流，也喜欢一起攻略游戏。
视频地址复制
Flash地址复制
Html地址复制
离线看更方便
用或其他应用扫描二维码
这个病毒现在已经被黑客大咖们抑制了，但是如果感染还是有危险性，因为加密的文件几乎很难解密，但是相信，只要我们有一个良好的上网习惯，不要随意关闭杀毒软件和电脑防火墙，这个病毒是很难危害到我们的。
广播电视节目制作经营许可证：（沪）字第1248号
| 网络文化经营许可证：沪网文[6号 | 信息网络传播视听节目许可证：0910417 | 互联网ICP备案：沪ICP备号-3 沪ICP证：沪B2- | 违法不良信息举报邮箱： | 违法不良信息举报电话：转3
公司名称：上海宽娱数码科技有限公司 | 公司地址：上海市杨浦区政立路485号 | 客服电话：永恒之蓝病毒入侵中国，“黑色星期一”遇阻|界面新闻 · JMedia 界面新闻APP5月14日上午，360威胁情报中心发布了WannaCrypt（永恒之蓝）勒索蠕虫最新态势，截至到5月13日20点，国内也有29372家机构组织的数十万台机器感染，其中有教育科研机构4341家中招，是此次事件的重灾区。
永恒之蓝闯入，教育机构是重灾区
根据360威胁情报中心的统计，在短短一天多的时间，永恒之蓝已经攻击了近百个国家的超过10万家企业和公共组织，其中包括1600家美国组织，11200家俄罗斯组织。
有台湾网友中毒后，更是与黑客进行杀价，将赎金从0.345比特币一路杀到0.02比特币。
当然不仅仅是台湾，大陆被感染的组织和机构，也已经覆盖了几乎所有地区，影响范围遍布高校、火车站、自助终端、邮政、加油站、医院、政府办事终端等多个领域。
从行业分布来看，教育科研机构成为最大的重灾区。共有4316个教育机构IP被发现感染永恒之蓝勒索蠕虫，占比为14.7%；其次是生活服务类机构，3302个，占比11.2%；商业中心（办公楼、写字楼、购物中心等）3014个，占比10.3%，交通运输2686个，占比9.1%。
另有1053个政府、事业单位及社会团体，706个医疗卫生机构、422个企业，以及85个宗教设施的IP都被发现感染了永恒之蓝勒索蠕虫。
鉴于永恒之蓝影响呈现严重态势，业内人士普遍认为，5月15日因大型机构和政府机构上班，会迎来电脑开机高峰，国内机构将会被大规模感染。对此360企业安全专门制定应急响应，应对此次病毒攻击。
争分夺秒的七十二小时
据360企业安全集团总裁吴云坤介绍：&72小时内，我们在5月13日凌晨率先发布了预警通告，截止15日上午9点，360推送给政企客户的预警通告更新了8个版本，提供了7个修复指南，6个修复工具。出动近千人，提供上万次的上门支持服务，超两万多次电话支持服务，我们还制作了5000多个U盘和光盘发放到客户上手上，手把手教会客户修复电脑，配置网络。&
（360企业安全集团总裁吴云坤）
吴云坤认为，这次政府和企业在周一上班之所以没有被大规模的感染，和这些机构的全面、细致、严格的工作有很大关系。
据悉，某银行在周六上午六点半就建立了响应群，将免疫工具下发，八点半部署全国防护策略，到今天早晨十点半，全行无一例感染；有关部门也第一时间向全国发布了警示和处置指导视频，对全国进行指导。
最终，随着周一工作日电脑开机高峰的结束，360威胁情报中心发布的态势显示，经过72小时全国动员和应急响应，感染和影响得到了控制，周一受感染机构的增长速度比前两天明显放缓，之前被业界广泛担忧的国内机构被大规模感染的状况并没有出现。
周一仅有零星电脑遭感染
&从我们的实际反馈看，证明了之前所有处置和响应工作是有成效的，360威胁情报中心接到的求助信息看，周一只有个别机构和企业有零星电脑感染。&吴云坤说。
此外，这次的永恒之蓝的大规模爆发开始于上周五下午，周末正好是大型机构、政府机关使用电脑的低峰期，这在客观上避免了蠕虫病毒的快速扩散，也为相关机构和行业进行应急处置提供了48小时的缓冲时间。
隔离网不是安全的自留地
本次事件也使全行业开始反思，吴云坤认为，我们整体的网络安全工作主要存在三大问题：第一，国家在网络安全建设上，需要找到能力型厂商。这次勒索病毒爆发事件，是对我国网络安全防御体系的整体考验，这次从病毒爆发重灾区和应急响应上看，过去在基础架构上的安全规划较少，同时很多安全厂商集体失声或反应较慢。
第二，内网隔离不能一隔了之，隔离网不是安全的自留地。多年来，我们强调内外网隔离的思想，认为网络隔离是解决网络安全问题最有效的方式，有些单位的信息安全工作人员仍旧简单地以为，只要隔离就能安全解决问题。但随着互联网时代的日益兴盛，网络边界越来越不清晰，业务应用场景越来越复杂，也有更多的技术手段可以轻易突破网络边界。
第三，政企机构的安全意识需要提高。虽然网络安全已经上升了国家战略层面和法制层面，但是国内机构和企业整体安全意识还不强，此次事件发生前一个月，相关补丁和预警就已经发布，但此次被感染的大多数客户都是因为没有及时打补丁所导致了的。
您至少需输入5个字评论 相关文章界面JMedia联盟成员推荐阅读社会化媒体
了解更多>>
桂ICP备 号
桂公网安备 36号
阅读下一篇
自媒体运营攻略
行业经验交流
Hi，在你登录以后，就可以永久免费的收藏任何您感兴趣的内容，关注感兴趣的作者！
请输入正确的邮箱
已有帐号请点击
帐号创建成功！
我们刚刚给你发送了一封验证邮件
请在48小时内查收邮件,并按照提示验证邮箱
感谢你对微口网的信任与支持
如果你没有收到邮件，请留意垃圾箱 或 重新发送
你输入的邮箱还未注册
还没有帐号请点击
你输入的邮箱还未注册
又想起来了？
邮件发送成功！
我们刚刚给你发送了一封邮件
请在5分钟内查收邮件,并按照提示重置密码
感谢你对微口网的信任与支持
如果你没有收到邮件，请留意垃圾箱 或 重新发送
对不起，你的帐号尚未验证
如果你没有收到邮件，请留意垃圾箱 或
意见与建议
请留下您的联系方式
* 留下您正确的联系方式，以便工作人员尽快与你取得联系
转藏至我的藏点