全球遭受网络勒索攻击腾讯安全反病毒实验室新时代

全球遭受络勒索攻击 腾讯安全反病毒实验室揭秘“Wannacry”

北京时间12日晚间，全球范围内有近百个国家遭到大规模络攻击，被攻击者被要求支付比特币解锁。在中国，部分高校校园爆发WannaCry勒索事件，致使大量学生电脑上的资料文档被锁，需要付费才能解锁。据公开报道显示，受到该WannaCry勒索的国家包括中国、英国、美国、西班牙、意大利、葡萄牙、俄罗斯和乌克新一轮电改才可以说是正式转为实质性启动。兰等。针对当前的勒索攻击，腾讯安全反病毒实验室第一时间跟进并给出了深度权威的分析。

(勒索弹窗)

据腾讯安全反病毒实验室安全研究人员分析发现，此次勒索事件与以往相比最大的区别在于，勒索病毒结合了蠕虫的方式进行传播，传播方式采用了前不久NSA被泄漏出来的MS漏洞。在NSA泄漏的文件中，WannaCry传播方式的漏洞利用代码被称为EternalBlue，所以也有的报道称此次攻击为永恒之蓝。

据了解，MS漏洞指的是攻击者利用该漏洞，向用户机器的445端口发送精心设计的络数据包文，实现远程代码执行。如果用户电脑开启防火墙，也会阻止电脑接收445端口的数据。但是在中国高校内，同学之间为了打局域游戏，有时需要关闭防火墙，这也是此次事件在中国高校内大肆传播的原因。

(勒索病毒执行后下载的压缩包)

安全研究人员指出，勒索病毒被漏洞远程执行后，会从资源文件夹下释放一个压缩包，此压缩包会在内存中通过密码WNcry@2ol7解密并释放文件。这些文件包括了后续弹出勒索框的exe，桌面背景图片的bmp，辅助攻击的两个exe文件以及含有各国语言的勒索字体。这些文件会释放到本地目录，并设置为隐藏。其中ry*就是后续弹出的勒索窗口，而在窗口右上角的语言选择框中，可以针对不同国家的用户进行定制的展示，这些字体的信息也存在于之前资源文件释放的压缩包中。

(以下后缀名的文件会被加密)

通过分析病毒，安全研究人员进一步发现，含有txt、doc、ppt、xls等后缀名类型的文件会被加密。以图片为例，查看电脑中的图片，发现图片文件已经被勒索软件通过Windows Crypto API进行AES+RSA的组合加密，并且后缀名改为了*.WNCRY。此时如果点击勒索界面的decrypt，会弹出解密的框，但只有受害者缴纳赎金后，才可以解密。此外，安全研究人员还发现，不法分子是通过115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn、12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw、13AM4VW2d郭聪认为hxYgXeQepoHkHSQuy6NgaEb94等三个账号随机选取一个作为钱包地址，收取非法钱财。

(图片被加密)

腾讯安全反病毒实验室安全研究人员表示，用Windows系统远程漏洞进行传播，是此次勒索软件的一大特点，也是在高校爆发的根本原因，所以开启防火墙是简单直接的方法。具体操作步骤如下：

以Windows 7，通过图例简单介绍如何关闭445端口。

1、打开控制面板点击防火墙;

2、点击高级设置;

3、先点击入站规则，再点击新建规则;

4、勾中端口，点击协议与端口;

5、勾选特定本地端口，填写445，点击下一步;

6、点击阻止链接，一直下一步，并给规则命名后，就可以了。

(腾讯电脑管家修复漏洞图)

此外，广大用户也可以通过升级微软补丁来阻止攻击。目前，腾讯电脑管家实时安全保护已兼顾漏洞防御和主动拦截，用户可保持腾讯电脑管家开启状态来防范，并尽快使用漏洞修复功能进行扫描修复。

关注ITBear科技资讯公众号（itbear365 ），每天推送你感兴趣的科技内容。

特别提醒：本内容转载自其他媒体，目的在于传递更多信息，并不代表本赞同其观点。其原创性以及文中陈述文字和内容未经本站证实，对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺，并请自行核实相关内容。本站不承担此类作品侵权行为的直接及连带。如若本有任何内容侵犯您的权益，请及时联系我们，本站将会在24小时内处理完毕。

希爱力他达拉非
如何治疗小儿积食发热
怎样用亮甲治灰指甲
泰州治疗白斑病费用