5月15日,，Wanna系列敲詐者木馬在全球范圍的爆發(fā),，持續(xù)引發(fā)著關(guān)注,。針對(duì)外界對(duì)于Wanna系列敲詐者木馬的最關(guān)心的疑問(wèn)，騰訊電腦管家安全團(tuán)隊(duì)今日做出系統(tǒng)回答,。

對(duì)于此次病毒爆發(fā)事件，騰訊電腦管家安全團(tuán)隊(duì)表示,，目前最直接的贏家是病毒作者,，也就是通過(guò)勒索獲取到比特幣資產(chǎn)的不法分子，有報(bào)道說(shuō)黑客已在這次的病毒攻擊中獲利3.6萬(wàn)美元,。但實(shí)際上這場(chǎng)席卷全球的勒索病毒風(fēng)波是一次網(wǎng)絡(luò)災(zāi)難,，對(duì)所有人都是一次巨大的打擊，沒(méi)有贏家,。

以下為問(wèn)答全文：

問(wèn)：這次的敲詐者木馬主要影響了哪些地區(qū),、單位或用戶,？

答：敲詐者木馬是全球很多地方爆發(fā)的一種軟件勒索病毒，只有繳納高額贖金（比特幣）才能解密資料和數(shù)據(jù),，英國(guó)多家醫(yī)院中招,，病人的資料受到外泄威脅，同時(shí)俄羅斯,，意大利,，整個(gè)歐洲都受到不同程度的威脅。5月12日晚上20時(shí)左右,，中國(guó)的校園網(wǎng),、機(jī)場(chǎng)、銀行,、加油站,、醫(yī)院、警察,、出入境等事業(yè)單位開(kāi)始大規(guī)模爆發(fā),，眾多學(xué)生、機(jī)構(gòu)電腦被感染,。

問(wèn)：有人說(shuō)這個(gè)病毒是來(lái)自于美國(guó)安全部門(mén),，是黑客從美國(guó)安全部門(mén)的網(wǎng)絡(luò)攻擊武器庫(kù)里偷出來(lái)的，這是真的嗎,？

答：根據(jù)從“影子經(jīng)紀(jì)人”公布的相關(guān)文件進(jìn)行代碼逆向分析與代碼同源性分析,，發(fā)現(xiàn)NSA經(jīng)常使用這些武器從事網(wǎng)絡(luò)間諜活動(dòng)，此次病毒發(fā)行者也是利用了去年被盜的NSA自主設(shè)計(jì)的Windows系統(tǒng)黑客工具Eternal Blue“永恒之藍(lán)”,。

問(wèn)：這個(gè)影響較大的敲詐者木馬主要表現(xiàn)形式是什么,？

答：此次的敲詐者木馬是一個(gè)名稱為“WannaCry”的新家族，該木馬通過(guò)加密形式,，鎖定用戶電腦里的txt,、doc、ppt,、xls等后綴名類型的文檔,，導(dǎo)致用戶無(wú)法正常使用程序，從而進(jìn)行勒索,，要求用戶提交贖金之后才解鎖,。

問(wèn)：Wanna系列敲詐者木馬和以往的敲詐者木馬有哪些不同？為什么此次的傳播速度這么快,？

答：敲詐者木馬本身沒(méi)什么不一樣,，但是Wana系列敲詐者木馬的傳播渠道是利用了445端口傳播擴(kuò)散的SMB漏洞MS17-101，微軟在17年3月發(fā)布了該漏洞的補(bǔ)丁,。2017年4月,，黑客組織ShadowBrokers公布的EquationGroup（方程式組織）使用的“網(wǎng)絡(luò)軍火庫(kù)”中包含了該漏洞的利用程序,，而該勒索軟件的攻擊者或者攻擊組織就是在借鑒了“網(wǎng)絡(luò)軍火庫(kù)”后進(jìn)行了這次全球大規(guī)模的攻擊，主要影響校園網(wǎng),，醫(yī)院,、事業(yè)單位等內(nèi)網(wǎng)用戶。

問(wèn)：為何這個(gè)病毒蔓延的如此之快,，從技術(shù)上來(lái)說(shuō),，有什么新的特征值得關(guān)注？

答：此次攻擊利用的是Windows系統(tǒng)的445端口,，而445端口常用于局域網(wǎng)之間共享文件或者打印機(jī),，感染病毒主機(jī)通過(guò)掃描局域網(wǎng)內(nèi)主機(jī)進(jìn)行相關(guān)攻擊，由于未更新安全補(bǔ)丁同時(shí)開(kāi)啟445端口主機(jī)過(guò)多,，病毒同時(shí)在失陷主機(jī)植入木馬程序,，再次攻擊感染新的有漏洞主機(jī)，導(dǎo)致在局域網(wǎng)內(nèi)傳播感染速度非常之快,。

問(wèn)：WannaCry勒索病毒之前就出現(xiàn)過(guò),，但為何會(huì)在這個(gè)時(shí)間點(diǎn)出現(xiàn)大面積的爆發(fā)，有什么內(nèi)幕嗎,？

答：去年8月份,，名為“影子經(jīng)紀(jì)人”（The Shadow Brokers） 的神秘黑客組織通過(guò)社交平臺(tái)宣稱，他們攻擊了一個(gè)有美國(guó)國(guó)家安全局（NSA）背景的黑客組織“方程式組織”,，將NSA 用于大規(guī)模監(jiān)控和情報(bào)活動(dòng)的網(wǎng)絡(luò)武器和文件公布在Github,、Tumblr和PastBin 等互聯(lián)網(wǎng)平臺(tái)上，文件內(nèi)容涉及大量的網(wǎng)絡(luò)武器和文件,，包括命令和控制中心（C&C）服務(wù)器的安裝腳本、配置文件,，以及針對(duì)一些知名網(wǎng)絡(luò)設(shè)備制造商的路由器和防火墻等產(chǎn)品的網(wǎng)絡(luò)武器,。本次感染急劇爆發(fā)的主要原因在于其傳播過(guò)程中使用了其工具包中的“永恒之藍(lán)”漏洞，微軟公司今年3月份已經(jīng)發(fā)布補(bǔ)丁,，漏洞編號(hào)MS17-010,， 由于該次攻擊使用常用的445端口進(jìn)行攻擊，如果相關(guān)企事業(yè)單位未對(duì)使用Windows系統(tǒng)主機(jī)更新相關(guān)補(bǔ)丁程序,，就會(huì)導(dǎo)致病毒大范圍在局域網(wǎng)內(nèi)傳播,，出現(xiàn)典型的短時(shí)間內(nèi)爆發(fā)式攻擊。

問(wèn)：為什么校園網(wǎng)用戶容易中招,？

答：由各大高校通常接入的網(wǎng)絡(luò)是為教育,、科研和國(guó)際學(xué)術(shù)交流服務(wù)的教育科研網(wǎng)，此骨干網(wǎng)出于學(xué)術(shù)目的,，大多沒(méi)有對(duì)445端口做防范處理,，這是導(dǎo)致這次高校成為重災(zāi)區(qū)的原因之一,。

此外，如果用戶電腦開(kāi)啟防火墻,，也會(huì)阻止電腦接收445端口的數(shù)據(jù),。但中國(guó)高校內(nèi)，一些同學(xué)為了打局域網(wǎng)游戲,，有時(shí)需要關(guān)閉防火墻,，也是此次事件在中國(guó)高校內(nèi)大肆傳播的另一原因。

問(wèn)：Wanna系列敲詐者木馬有哪些危害,？被攻擊以后怎么解鎖,？

答：Wanna系列敲詐者木馬的危害主要表現(xiàn)為電腦的所有文檔被加密，用戶需要支付高額贖金才能解密,。目前,，被敲詐者木馬上鎖的電腦均無(wú)法解鎖，但可以嘗試使用電腦管家-文件恢復(fù)工具進(jìn)行文件恢復(fù),，有一定概率恢復(fù)文檔,。

問(wèn)：目前有哪些應(yīng)對(duì)Wanna系列敲詐者木馬的辦法？

答：有效預(yù)防此次Wanna勒索病毒可通過(guò)以下行為進(jìn)行規(guī)避,。

一是,，臨時(shí)關(guān)閉端口。Windows用戶可以使用防火墻過(guò)濾個(gè)人電腦,，并且臨時(shí)關(guān)閉135,、137、445端口3389遠(yuǎn)程登錄（如果不想關(guān)閉3389遠(yuǎn)程登錄,，至少也是關(guān)閉智能卡登錄功能）,，并注意更新安全產(chǎn)品進(jìn)行防御，盡量降低電腦受攻擊的風(fēng)險(xiǎn),。

二是,，及時(shí)更新 Windows已發(fā)布的安全補(bǔ)丁。在3月MS17-010漏洞剛被爆出的時(shí)候,，微軟已經(jīng)針對(duì)Win7,、Win10等系統(tǒng)在內(nèi)提供了安全更新；此次事件爆發(fā)后,，微軟也迅速對(duì)此前尚未提供官方支持的Windows XP等系統(tǒng)發(fā)布了特別補(bǔ)丁,。

三是，利用“勒索病毒免疫工具”進(jìn)行修復(fù),。用戶通過(guò)其他電腦下載騰訊電腦管家“勒索病毒免疫工具”離線版,，并將文件拷貝至安全、無(wú)毒的U盤(pán),；再將指定電腦在關(guān)閉WiFi,，拔掉網(wǎng)線,，斷網(wǎng)狀態(tài)下開(kāi)機(jī)，并盡快備份重要文件,；然后通過(guò)U盤(pán)使用“勒索病毒免疫工具”離線版,，進(jìn)行一鍵修復(fù)漏洞；聯(lián)網(wǎng)即可正常使用電腦,。

四是,，利用“文件恢復(fù)工具”進(jìn)行恢復(fù)。已經(jīng)中了病毒的用戶,，可以使用電腦管家-文件恢復(fù)工具進(jìn)行文件恢復(fù),，有一定概率恢復(fù)您的文檔。

另外,，企業(yè)網(wǎng)絡(luò)管理員可使用“管理員助手”檢測(cè)電腦設(shè)備安防情況,。騰訊反病毒實(shí)驗(yàn)室安全團(tuán)隊(duì)經(jīng)過(guò)技術(shù)攻關(guān)，于14日晚推出了針對(duì)易感的企業(yè)客戶推出了一個(gè)電腦管家“管理員助手”診斷工具,。企業(yè)網(wǎng)絡(luò)管理員只要下載這一診斷工具,，輸入目標(biāo)電腦的IP或者設(shè)備名稱，即可診斷目標(biāo)電腦是否存在被感染勒索病毒的漏洞,；并可在診斷報(bào)告的指導(dǎo)下,，對(duì)尚未打補(bǔ)丁的健康設(shè)備及時(shí)打補(bǔ)丁、布置防御,。

問(wèn)：騰訊電腦管家應(yīng)對(duì)此類敲詐者木馬有什么辦法,？

答：針對(duì)于此次Wanna勒索病毒，騰訊電腦管家可提供漏洞防御,，主動(dòng)攔截,，文檔保護(hù)三層安全保護(hù)及文件鑒黑，同時(shí)緊急開(kāi)發(fā)上線一系列工具協(xié)助用戶解決勒索病毒問(wèn)題：

1.使用電腦管家-勒索病毒免疫工具,，關(guān)閉漏洞端口并安裝系統(tǒng)補(bǔ)丁,。

2.開(kāi)啟電腦管家實(shí)時(shí)防護(hù)，啟用文檔守護(hù)者功能,，預(yù)防變種攻擊。

3.已經(jīng)中了病毒的用戶,，可以使用電腦管家-文件恢復(fù)工具進(jìn)行文件恢復(fù),，有一定概率恢復(fù)您的文檔。

4.針對(duì)企業(yè)網(wǎng)絡(luò)管理員,，可以使用“管理員助手”檢測(cè)電腦設(shè)備安全防御情況,，進(jìn)行漏洞診斷、補(bǔ)丁更新和布置防御,。

問(wèn)：目前網(wǎng)上流傳該木馬病毒作者已經(jīng)放出密匙是否屬實(shí),？

答：同時(shí)由于該木馬加密使用AES加密文件,，并使用非對(duì)稱加密算法RSA2048加密隨機(jī)密鑰，每個(gè)文件使用一個(gè)隨機(jī)密鑰,，理論上不可破解,。針對(duì)目前網(wǎng)上有傳該木馬病毒的作者放出密鑰，已證實(shí)為謠言,。實(shí)則是在公網(wǎng)環(huán)境中,，由于病毒的開(kāi)關(guān)機(jī)制被設(shè)置為關(guān)閉模式暫時(shí)停止了傳播，但不排除作者制作新變種的可能,。提醒廣大用切勿輕信謠言,，以免造成更嚴(yán)重的損失。

問(wèn)：無(wú)現(xiàn)金支付越來(lái)越普及的現(xiàn)在,，這種病毒讓一些加油站,、醫(yī)院都出現(xiàn)了支付癱瘓的情況，也暴露了現(xiàn)在無(wú)現(xiàn)金支付的脆弱性,，從技術(shù)上來(lái)講,，我們有哪些措施，才能保障支付終端的安全,，讓無(wú)現(xiàn)金支付真正高枕無(wú)憂,。

答：支付終端應(yīng)該具有更高的安全性要求和保障，此次攻擊的是支撐支付終端的服務(wù)器系統(tǒng),，由于目前在很多企業(yè)WindowsServer服務(wù)器安全依賴防火墻安全策略,，服務(wù)器系統(tǒng)日常運(yùn)維應(yīng)及時(shí)更新安全補(bǔ)丁、使用安全軟件加固服務(wù)器系統(tǒng),，同時(shí)支付前端可以采用安全硬件設(shè)備保證終端安全,，重要數(shù)據(jù)做好容災(zāi)和備份工作，同時(shí)作為終端的使用和運(yùn)維人員,，也需要相應(yīng)地提高安全意識(shí),。

問(wèn)：此次勒索病毒蔓延全球，誰(shuí)是贏家,？病毒作者,，比特幣，安全廠商,？

答：目前最直接的贏家是病毒作者,，也就是通過(guò)勒索獲取到比特幣資產(chǎn)的不法分子，有報(bào)道說(shuō)黑客已在這次的病毒攻擊中獲利3.6萬(wàn)美元,。但實(shí)際上這場(chǎng)席卷全球的勒索病毒風(fēng)波是一次網(wǎng)絡(luò)災(zāi)難,，對(duì)所有人都是一次巨大的打擊，沒(méi)有贏家。

被推上風(fēng)口浪尖的比特幣經(jīng)過(guò)此次事件,，證交會(huì)批準(zhǔn)比特幣ETF基金上市的概率又降低了,，比特幣正式進(jìn)入到主流金融市場(chǎng)，進(jìn)一步坐實(shí)在美國(guó)的合法地位遙遙無(wú)期,。與此同時(shí),，全面爆發(fā)的勒索病毒侵入用戶生活工作的方方面面，讓大家意識(shí)到了網(wǎng)絡(luò)病毒的威脅與嚴(yán)重后果,。此役過(guò)后,，相同手法的病毒攻擊將不會(huì)大規(guī)模出現(xiàn)。而安全廠商作為守護(hù)用戶網(wǎng)絡(luò)安全的最后一道屏障更加談不上受益之說(shuō),，面對(duì)復(fù)雜的網(wǎng)絡(luò)環(huán)境永遠(yuǎn)是如履薄冰,，不敢放松警惕。

目前,，針對(duì)這次勒索病毒事件,，各大安全廠商都已經(jīng)推出相應(yīng)解決方案，以騰訊電腦管家為例,，兩天之內(nèi)連續(xù)發(fā)布“勒索病毒免疫工具”“文件恢復(fù)工具”“文檔守護(hù)者”等工具,，用戶可按照相關(guān)工具的使用說(shuō)明保護(hù)電腦安全，避免自己的電腦感染勒索病毒,。

相關(guān)報(bào)道:

• 俄國(guó)防部：因用俄產(chǎn)軟件 勒索病毒對(duì)該部攻擊無(wú)效

• 誰(shuí)是勒索病毒幕后黑手,？美媒：線索指向朝鮮黑客

• 外媒:泰教師編制程序 攔阻上百萬(wàn)勒索病毒程序

• 白宮：支付黑客贖金并未讓任何數(shù)據(jù)恢復(fù)

• 微軟總裁指責(zé)美國(guó)安局：勒索病毒都是政府造的孽

• “勒索病毒”幕后工具指向美國(guó)國(guó)安局(組圖)