全球勒索病毒大爆發，金山毒霸詳細支招應對

從5月12日起，毒霸安全中心監測到Onion、WNCRY兩類敲詐者病毒變種在全國大範圍內出現爆發態勢，與以往不同的是，此類新變種添加了NSA黑客工具包中的「永恆之藍」0day漏洞利用，通過445埠(文件共享)在內網進行蠕蟲式感染傳播，沒有安裝安全軟體或及時更新系統補丁的其他內網用戶就極有可能被動感染,所以目前感染用戶主要集中在企業、高校等內網環境下。

一旦感染該蠕蟲病毒變種，系統重要資料文件就會被加密並勒索高額的比特幣贖金(摺合人民幣2000~50000不等)。

從目前監控到的情況來看，全網已經有數萬用戶感染，QQ、微博等社交平台上也是哀鴻遍野，所以本次敲詐者病毒傳播感染的後續威脅不容小覷。

敲詐勒索病毒+遠程執行漏洞的蠕蟲式傳播，這樣的組合極大增強了本次病毒安全威脅的程度，對近期國內的網絡安全形勢都是一次嚴峻考驗。

在監測到本次敲詐者蠕蟲傳播威脅事件後的第一時間，我們的安全團隊也迅速跟進，目前金山毒霸可以防禦查殺本次的敲詐者蠕蟲變種。

下面給出我們針對本次敲詐者蠕蟲的安全防禦方案、傳播分析、以及其他安全建議，盡力讓用戶規避或減少遭遇敲詐勒索的風險。

[傳播感染背景]

本輪敲詐者蠕蟲病毒傳播主要包括Onion、WNCRY兩大家族變種，本次感染事件首先在英國、俄羅斯等多個國家爆發，新聞報導有多家企業、醫療機構的系統中招，損失非常慘重。

安全機構全球監測已經發現目前多達74個國家遭遇本次敲詐者蠕蟲攻擊。

從5月12日開始，國內的感染傳播量也開始急劇增加，在多個高校和企業內部集中爆發並且愈演愈烈。

【1】 全球74個國家遭遇Onion、WNCRY敲詐者蠕蟲感染攻擊

【2】24小時內監測到的WNCRY敲詐者蠕蟲攻擊次數超過10w+

本次感染急劇爆發的主要原因在於其傳播過程中使用了前段時間泄漏的美國國家安全局(NSA)黑客工具包中的「永恆之藍」漏洞(微軟3月份已經發布補丁，漏洞編號:MS17-010)。

和歷史上的「震盪波」、「衝擊波」等大規模蠕蟲感染類似，本次傳播攻擊利用的「永恆之藍」漏洞可以通過445埠直接遠程攻擊目標主機，傳播感染速度非常快。

【3】本次敲詐者蠕蟲病毒變種通過「永恆之藍」漏洞進行網絡攻擊

雖然國內部分網絡運營商已經屏蔽掉個人用戶的445網絡埠，但是在教育網、部分運行商的大區域網、校園企業內網依舊存在大量暴漏的攻擊目標，對於企業來說尤其嚴重，一旦內部的關鍵伺服器系統遭遇攻擊，帶來的損失不可估量。

從我們檢測到反饋情況看，國內多個高校都集中爆發了感染傳播事件，甚至包括機場航班信息、加油站等終端系統遭受影響，預計近期由本次敲詐者蠕蟲病毒造成的影響會進一步加劇。

【4】全國各地的高校內網的敲詐者蠕蟲感染攻擊爆發

【5】某高校機房全部遭遇WNCRY敲詐者蠕蟲攻擊

【6】國內某地加油站系統遭遇本次敲詐者蠕蟲變種攻擊

【7】某機場航班信息終端同樣遭遇了敲詐者蠕蟲攻擊

【敲詐蠕蟲病毒感染現象】

中招系統中的文檔、圖片、壓縮包、影音等常見文件都會被病毒加密，然後向用戶勒索高額比特幣贖金。

WNCRY變種一般勒索價值300~600美金的比特幣，而onion變種甚至要求用戶支付3個比特幣，以目前的比特幣行情，摺合人民幣在3萬左右。

此類病毒一般使用RSA等非對稱算法，沒有私鑰就無法解密文件。

WNCRY敲詐者病毒要求用戶在3天內付款，否則解密費用翻倍，並且一周內未付款將刪除密鑰導致無法恢復。

從某種意義上來說這種敲詐者病毒「可防不可解」，需要安全廠商和用戶共同加強安全防禦措施和意識。

【8】感染WNCRY勒索病毒的用戶系統彈出比特幣勒索窗口

【9】用戶文件資料被加密，後綴改為「wncry」，桌面被改為勒索恐嚇

我們對部分變種的比特幣支付地址進行追蹤，發現目前已經有少量用戶開始向病毒作者支付勒索贖金，從下圖中我們可以看到這個變種的病毒作者已經收到19個用戶的比特幣贖金，累計3.58個比特幣，市值約人民幣4萬元。

【10】 某個敲詐者蠕蟲的比特幣支付信息追蹤

【防禦措施建議】

1. 安裝殺毒軟體，保持安全防禦功能開啟。

推薦下載安裝金山毒霸，我們安全團隊已經在第一時間真對該敲詐者蠕蟲病毒加強了查殺防禦措施。

保持毒霸防禦開啟，即可攔截此次的敲詐者蠕蟲攻擊。

(毒霸下載地址: http://www.duba.net/)

【11】毒霸查殺WNCRY敲詐者蠕蟲病毒

【12】毒霸敲詐者病毒防禦攔截WNCRY病毒加密用戶文件

2. 及時更新升級系統，微軟在3月份已經針對NSA泄漏的漏洞發布了MS17-010升級補丁，包括本次被敲詐者蠕蟲病毒利用的「永恆之藍」漏洞，建議用戶儘快升級安裝。

此次利用漏洞影響以下版本的作業系統：

Windows XP／Windows 2000／Windows 2003 (微軟已經不再提供安全補丁升級服務，建議關閉445埠)

Windows Vista／Windows Server 2008／WindowsServer 2008 R2

Windows 7／Windows 8／Windows 10

Windows Server 2012／Windows Server 2012 R2／Windows Server 2016

補丁下載地址: https://technet.microsoft.com/zh-cn/library/security/MS17-010（建議根據系統版本下載安裝對應的補丁升級包）

【13】 微軟MS17-010補丁列表

3. 使用XP和2003版本系統的用戶可以選擇關閉445埠，規避遭遇此次敲詐者蠕蟲病毒的感染攻擊。

可以參考以下操作步驟。

1） 開啟系統防火牆保護。

控制面板 —> 安全中心 —> Windows防火牆 —> 啟用。

【14】 開啟系統防火牆保護

2） 關閉系統445埠。

a）WIN+R 輸入cmd，打開命令行操作窗口，輸入命令「netstat -an」,檢測445埠是否開啟。

b）如上圖假如445埠開啟，依次輸入以下命令進行關閉：

net stop rdr / net stop srv / net stop netbt

成功後的效果如下：

4. 謹慎打開不明來源的網址和郵件，打開office文檔的時候禁用宏開啟，網絡掛馬和釣魚郵件一直是國內外勒索病毒傳播的重要渠道。

【16】釣魚郵件文檔中暗藏勒索者病毒，誘導用戶開啟宏運行病毒

5. 養成良好的備份習慣，及時使用網盤或移動硬碟備份個人重要文件。

本次敲詐者蠕蟲爆發事件中，國內很多高校和企業都遭遇攻擊，很多關鍵重要資料都被病毒加密勒索，希望廣大用戶由此提高重要文件備份的安全意識。