比特幣病毒肆虐全球

1. 誰是勒索軟體真正的攻擊目標

據悉，這個在國內被大家簡稱為「比特幣病毒」的惡意軟體，目前攻陷的國家已經達到99個，並且大型機構、組織是頭號目標。


在英國NHS中招之後，緊接著位於桑德蘭的尼桑造車廠也宣告「淪陷」。西班牙除了最早被黑的通訊巨頭Telefonica，能源公司Iberdrola和燃氣公司Gas Natural也沒能倖免於難。德國乾脆直接被搞得在火車站「示眾」。這個被大家稱之為「比特幣病毒」的勒索蠕蟲，英文大名叫做WannaCry，另外還有倆比較常見的小名，分別是WanaCrypt0r和WCry。
它是今年三月底就已經出現過的一種勒索程序的最新變種，而追根溯源的話是來自於微軟操作系統一個叫做「永恆之藍」（Eternal Blue）的漏洞。美國國家安全局（NSA）曾經根據它開發了一種網路武器，上個月剛剛由於微軟發布了新補丁而被「拋棄」。

三月底那次勒索程序就叫WannaCry，所以如果你在外媒看到WannaCry 2.0或者WanaCrypt0r 2.0的說法，所指也是本次爆發的勒索程序。

隨後，微軟在3月發布的補丁編號為MS17-010，結果眾多大企業們和一部分個人用戶沒能及時安裝它，才讓不知道從什麼途徑獲取並改造了NSA網路武器的WannaCry有機可乘。
而且這回的勒索軟體目標並非只有英國NHS，而是遍布全球，總覺得有種「人家不是只針對英國醫療系統」一樣、奇怪的「有人跟我一樣糟就放心」了的潛台詞。雖然最後事實證明確實全球遭殃。
但WannaCry最早從英國NHS開始爆發，真的只是巧合嗎？

對於任何勒索病毒而言，都是最有可能被攻擊的「肥肉」：醫護人員很可能遇到緊急狀況，需要通過電腦系統獲取信息（例如病人記錄、過敏史等）來完成急救任務，這種時候是最有可能被逼無奈支付「贖金」的。
醫療信息與管理系統學會的隱私和安全總監Lee
Kim也解釋說，出於信息儲備過於龐大以及隱私考慮，「在醫療和其他一些行業，我們在處理這些（系統）漏洞方面確實會不那麼及時」。這也是為什麼科技領域普遍認為WannaCry幕後黑手的時機把握得非常巧妙，畢竟微軟更新MS17-010補丁還不到兩個月。從開發並釋放WannaCry人士角度來考慮這個問題，他們其實並不在乎具體要把哪個行業作為攻擊目標，因為他們的邏輯就是任何有利可圖的領域都是「肥肉」，都要上手撈一筆。所以他們確實並不是非要跟英國NHS過不去，只不過是好下手罷了。
個人電腦用戶被攻擊的比例比企業和大型機構低很多，這不僅僅是因為個人電腦打補丁比較方便快捷，也因為這樣攻擊不僅效率不高、獲利的可能也更小。WannaCry的運作機制，根本就是為區域網大規模攻擊而設計的。

這樣看來，前面提到的全世界其他受攻擊大型企業和組織，無論交通、製造、通訊行業，還是國內比較慘烈的學校，確實都是典型存在需要及時從資料庫調取信息的領域。

至於敲詐信息的語言問題，Wired在多方搜集信息後發現，WannaCry其實能以總共27種語言運行並勒索贖金，每一種語言也都相當流利，絕對不是簡單機器翻譯的結果。截至發稿前，WannaCry病毒的發源地都還沒能確認下來。
與其說WannaCry幕後是某種單兵作戰的「黑客」，倒不如說更有可能是招募了多國人手的大型團伙，並且很有可能「醉溫之意不在酒」。畢竟想要簡單撈一筆的人，根本沒有理由做出如此周全的全球性敲詐方案。

WannaCry在隱藏操作者真實身份這方面，提前完成的工作相當縝密。不僅僅在語言系統上聲東擊西，利用比特幣來索取贖金的道理其實也是一樣：杜絕現實貨幣轉賬後被通過匯入賬戶「順藤摸瓜」的可能。而且WannaCry的開發者早就有了一個范圍寬廣、長期作戰的策劃：「在情況好轉之前，它會先變糟糕的——相當糟糕。」（This』ll get worse—a lot worse—before it gets better.）
不過，在晚些時候，一位22歲的英國程序猿小哥就似乎「誤打誤撞」阻止了WannaCry的進一步擴散。

這位小哥在社交網路上的昵稱是MalwareTech（中文意思大概是「惡意軟體技術」，聽起來反而更像個黑客），阻止了WannaCry的進一步全球肆虐後，他在自己的博客上寫下了全過程，甚至英國情報機關GCHQ都在官網轉po了這篇博文。
MalwareTech本來應該在度假中，不過他還是迅速反應，找到了一份WannaCry軟體的樣本。閱讀代碼時，他發現了一個沒有被注冊過的域名，下面的代碼意思就是WannaCry在黑點電腦前的運行中會先試圖訪問該域名，如果訪問失敗就黑掉系統，如果成功則自動退出。

於是MalwareTech就把這個域名給注冊了。

在後來一些中文媒體的報道中，小哥的這一舉動被強調成是「突發奇想」或者「下意識」之舉。正是因為無效域名被注冊，後來被WannaCry感染的電腦都在訪問該域名時得到了肯定的返回值，於是沒有再鎖定信息、展開敲詐。
不過MalwareTech自己解釋卻不是這樣的。他在博客中寫道，注冊這個域名是他作為網路安全工作人員的「標准做法」（standard practice）。過去一年裡，遇到所有這樣短時間訪問量激增的無效域名，他都會將其注冊後扔進前面圖里提到的「天坑」（sinkhole）里，而這個「天坑」的作用就是「捕獲惡意流量」。

WannaCry樣本中域名，在昨天全球范圍攻擊開始後訪問量瞬間激增，此前卻沒有任何被訪跡象。

然而MalwareTech職業靈敏度，讓他開始考慮WannaCry是否會定期或在特請情況下修改程序中的無效域名，因為如果是這樣的話，僅僅注冊他所發現的這個域名就無法阻止未來襲擊。

即使軟體里沒有這樣的部分，開發者依然能夠手動升級WannaCry後再度把它傳播開來，所需要做的也就僅僅是替換一個新的無效域名而已。






還有一種更糟糕的情況：如果WannaCry程序中還有另一層自我保護機制，那麼無效域名的注冊很有可能導致目前所有被感染電腦自動為所有信息加密，無法復原。
為了排除後一種情況，MalwareTech乾脆修改了自己一台電腦的主機文件，讓它無法連接那個已經被注冊了的前無效域名。

電腦成功藍屏了。
MalwareTech寫道：「你可能無法想像一個成年男人在屋裡興奮得跳來跳去，原因竟然是自己電腦被勒索軟體搞失靈了。但我當時確實就那樣了。」測試結果表明，他的「標准做法」確實阻止了WannaCry的進一步傳播。

但是小哥親自警告：「這事沒完」
和某些信息平台熱炒MalwareTech「拯救了全世界」的梗不同，英國《衛報》和《英國電訊報》都在標題里明確告訴大家，小哥自己都已經作出警告：「這事沒完！」
域名被注冊後WannaCry的停止擴散，在他看來只是病毒製造者一個不夠成熟的自我保護機制。對方的真正意圖並非通過域名是否能連接上來「指揮」病毒的運行，而是通過這種方式判斷病毒是否被電腦安全高手捕獲。
一旦WannaCry運行時發現域名有反應，真實反應並不是「好心」地停止攻擊，而是避免自己被扔進「沙盒」（sandbox）安全機制被人全面分析，乾脆退出獲得域名響應的電腦系統。






MalwareTech雖然功不可沒，但他只是阻止了「比特幣病毒」現行樣本的擴散，但開發者也已經意識到了這項弱點，隨時可能用升級版勒索程序卷土重來。
當然，也不排除，此次勒索軟體的最終目的，不是真的想勒索，而是想展現給一些有不法分子查看這個病毒的威力，從而出售這個病毒給他們。如果真的是這樣的話，那麼接下來的日子，網路安全，將會面臨一個很嚴峻的挑戰。
此次勒索軟體威脅的不僅是個人用戶，還有眾多機構和企業。
因此提醒，所有網路用戶今後都應加強安全意識，注意更新安全補丁和使用各種殺毒工具。

2. 鍥藉唴瓚2.8涓囧舵満鏋勯伃鍕掔儲鐥呮瘨鏀誨嚮錛屼腑鎷涘悗鑳藉惁鎮㈠嶆枃浠訛紵

5鏈12鏃ユ櫄錛屾瘮鐗瑰竵鍕掔儲鐥呮瘨浠ユ儕浜虹殑閫熷害鍦ㄥ叏鐞冭寖鍥村唴鐖嗗彂錛屽叾鏀誨嚮鎵嬫典護浜鴻︽儠銆備竴鏃︾數鑴戞枃浠朵笉騫歌惤鍏ラ粦瀹涔嬫墜錛屽畠浠灝嗚鍔犲瘑閿佸畾錛屽彧鏈夋敮浠橀珮棰濊祹閲戱紝榛戝㈡墠浼氶噴鏀炬帶鍒舵潈錛屽惁鍒欐暟鎹灝嗘棤娉曟仮澶錛屽挨鍏舵槸瀵逛簬浼佷笟銆侀珮鏍＄瓑鍐呯綉鐜澧冧笅鐨勫叧閿鏁版嵁錛屽傚疄楠屽ゆ暟鎹鍜屾瘯涓氳捐★紝鎹熷け鍙鑳芥棤娉曚及閲銆

鎹緇熻★紝鍥藉唴瓚呰繃2.8涓囧舵満鏋勫凡緇忛伃鍙楀叾褰卞搷錛岃繛鍔犳補絝欍侀搧璺鍞紲ㄧ郴緇熺瓑鍏鍏辨湇鍔¤炬柦涔熸棤娉曞垢鍏嶃傞仐鎲劇殑鏄錛屽畨鍏ㄤ笓瀹舵槑紜鎸囧嚭錛屼竴鏃︿腑姣掞紝鐩鍓嶉櫎浜よ祹閲戝栵紝鍑犱箮鏃犺В銆傚逛簬閭ｄ簺鏂囦歡鑷沖叧閲嶈佺殑鐢ㄦ埛錛屼笓瀹跺緩璁灝界″瓨鍦ㄩ庨櫓錛屼絾鍙浠ヨ冭檻灝藉揩鏀浠樿祹閲戜互閬垮厤鏁版嵁姘鎬箙涓㈠け錛屼絾騫朵笉鑳界『淇濅竴瀹氳兘鎮㈠嶃

闃茶寖鍜屾竻闄よ繖縐嶇棶姣掞紝鍞涓鐨勪繚闄╂帾鏂芥槸褰誨簳閲嶈呰＄畻鏈虹郴緇熴傚湪閲嶈呭悗錛屽姟蹇呰繀閫熷畨瑁呭井杞鍙戝竷鐨勭揣鎬ュ畨鍏ㄤ慨澶嶈ˉ涓侊紝浠ラ槻姝㈢棶姣掑啀嬈″叆渚點傚嫆緔㈢棶姣掔殑濞佽儊涓嶅瑰皬瑙戱紝姣忎竴涓鐢ㄦ埛閮介渶瑕佹彁楂樿︽儠騫跺姞寮洪槻鎶ゃ

3. 製造勒索病毒的黑客會有什麼刑罰

近日，「比特幣勒索病毒」肆虐互聯網，使全球多個國家、多家機構及個人電腦遭受此種病毒軟體的攻擊。據互聯網相關安全專家分析，此種病毒可進行遠程攻擊，無需用戶任何操作，只要開機聯網，就能在電腦里執行任意代碼、植入惡意程序進行控制勒索。其傳播速度之快，范圍之廣，影響之嚴重，猶如「網路瘟疫」，給整個互聯網生態和電腦用戶帶來極大的危害和極其嚴重的損失。

警示：做好預防工作

不過，同時也應該看到，此次病毒勒索事件給我們最大的警示不是刑法如何適用，而是如何預防此類犯罪行為的發生。截至目前，我們仍然沒有發現真正的病毒製造者，也沒有有效的破解加密文件的方法去挽回可能造成的重大損失。

事實上，在規制網路犯罪中，事前的預防比事後的打擊更為重要。因互聯網無國界，跨區域的特點，網路犯罪行為的實施和所產生的後果已經突破了傳統國家地域之間的界限，因此加強國際合作，探討綜合治理模式，共同打擊網路犯罪也顯得愈發重要。

4. 中招比特幣病毒後，如何解密防止文件被鎖

2017年5月12日，比特幣病毒引發了一場全球性的網路風暴，英國醫院、中國高校校園網，甚至超過30萬台電腦受到嚴重沖擊，這場攻擊事件讓全球多地陷入混亂。盡管黑客身份尚不明朗，但關於如何應對勒索病毒的攻擊，我們不能忽視。

WannaCry勒索病毒詳解

WannaCry，名副其實的"想哭"，通過NSA泄露的EternalBlue漏洞進行蠕蟲式傳播，一旦感染，它會掃描電腦的TCP445埠，加密存儲文件後，要求受害者以比特幣支付贖金，贖金金額在300至600美元之間。然而，5月13日，一名英國研究員意外發現的隱藏開關域名曾短暫阻止了病毒的快速擴散。

然而，黑客並未就此罷休。5月14日，WannaCry變種WannaCry2.0出現，取消了KillSwitch，攻擊速度更快。到5月15日，WannaCry已影響金融、能源、醫療等多個行業，中國校園網尤其受影響，實驗室數據和畢業設計遭到加密，形勢嚴峻。

無論你是否曾遭遇攻擊，都應加強防護措施，因為網路安全威脅無處不在，及時備份數據，保持系統更新，使用防病毒軟體，都是防範勒索病毒的重要手段。

5. 為什麼「比特幣勒索病毒」比「熊貓燒香」危害大

比特幣病毒席捲全球網路，其肆虐程度不禁讓人聯想到2006年的著名病毒「熊貓燒香」。不過兩者區別顯著，熊貓燒香作者為名氣，比特幣病毒則主為求財。而這次的病毒是利用了美國的一個漏洞，進行的有目標的攻擊。

6. 比特幣敲詐者的危害是什麼

「比特幣敲詐者」病毒再次變種 可盜取個人隱私

今年一月份首次現身中國的「比特幣敲詐者」病毒如今呈指數級爆發，騰訊反病毒實驗室日前發現，該病毒瘋狂變種，僅5月7日當天新變種數就已達13萬，不僅敲詐勒索用戶，甚至還能盜取個人隱私。騰訊反病毒實驗室分析，從攻擊源來看，這是由黑客控制的僵屍網路以網路郵件為傳播載體發起的一場風暴。

「比特幣敲詐者」 呈指數級爆發

比特幣是一種新興的網路虛擬貨幣，因可兌換成大多數國家的貨幣而在全世界廣受追捧。與此同時，一種名為「CTB-Locker」的「比特幣敲詐者」病毒也肆虐全球，其通過遠程加密用戶電腦內的文檔、圖片等文件，向用戶勒索贖金，否則這些加密的文檔將在指定時間永久銷毀。

僵屍網路助「比特幣敲詐者」愈發猖狂

根據騰訊反病毒實驗室監測，「比特幣敲詐者」的攻擊源大部分來自美國，其次是法國、土耳其等。從IP來看，這些攻擊源來自一個黑客控制的僵屍網路，黑客利用這個僵屍網路發起郵件風暴。郵件內容大多是接收發票之類，誘導用戶去點擊下載附件。

「比特幣敲詐者」攻擊源分布

所謂僵屍網路 （Botnet） 是指採用一種或多種傳播手段，將大量主機感染bot程序（僵屍程序）病毒，從而在控制者和被感染主機之間所形成的一個可一對多控制的網路。攻擊者通過各種途徑傳播僵屍程序感染互聯網上的大量主機，而被感染的主機將通過一個控制信道接收攻擊者的指令，組成一個僵屍網路。

據了解，之所以用僵屍網路這個名字，是為了更形象地讓人們認識到這類危害的特點：眾多的計算機在不知不覺中如同中國古老傳說中的僵屍群一樣被人驅趕和指揮著，成為被人利用的一種工具。

僵屍網路助「比特幣敲詐者」愈發猖狂

國家互聯網應急中心監測的最新數據顯示，僅2014年上半年，中國境內就有625萬余台主機被黑客用作木馬或僵屍網路受控端，1.5萬個網站鏈接被用於傳播惡意代碼，2.5萬余個網站被植入後門程序，捕獲移動互聯網惡意程序3.6萬余個，新出現信息系統高危漏洞1243個。

騰訊反病毒實驗室安全專家表示，僵屍網路構成了一個攻擊平台，利用這個平台可以有效地發起各種各樣的攻擊行為，可以導致整個基礎信息網路或者重要應用系統癱瘓，也可以導致大量機密或個人隱私泄漏，還可以用來從事網路欺詐等其他違法犯罪活動。無論是對整個網路還是對用戶自身，都造成了比較嚴重的危害。「比特幣敲詐者」便是利用僵屍網路發起郵件風暴，進行各種各樣的攻擊。

「比特幣敲詐者」瘋狂變種 可竊取隱私

據了解，「比特幣敲詐者」病毒敲詐過程具有高隱蔽性、高技術犯罪、敲詐金額高、攻擊高端人士、中招危害高的「五高」特點。用戶一旦中招，病毒將瀏覽所有文檔（後綴為.txt、.doc、.zip等文件）和圖片（後綴為.jpg、.png等文件），並將這些文件進行加密讓用戶無法打開，用戶必須支付一定數量的「比特幣」當做贖金才可以還原文件內容。

用戶必須支付贖金才可解鎖文件

騰訊反病毒實驗室的監測數據顯示，從今年4月開始，「比特幣敲詐者」疫情最為嚴重，為了持久有效的攻擊，躲避靜態特徵碼的查殺，病毒也在不斷地演變，圖標多選用文檔圖標（如doc,pdf等），而自身的殼不斷地變形變異。其中，5月7日新變種達到最高值，單天就高達13萬個！

「比特幣敲詐者」變異趨勢

騰訊反病毒實驗室安全專家表示，近期發現的「比特幣敲詐者」病毒不僅敲詐用戶，而且還新增了盜號的特性，會默默搜集用戶電腦里的密碼配置文件，如：電子郵箱、聊天工具、網銀帳號、比特幣錢包等等的密碼，威脅用戶財產安全。目前，騰訊安全團隊已第一時間對該病毒進行了深入分析，並可完美查殺此類病毒以及所有變種。

贖迴文件需數千元 安全專家支招防範技巧

據路透社報道，「比特幣敲詐者」病毒出自俄羅斯的一名黑客，名字叫艾維蓋尼耶·米哈伊洛維奇·波格契夫(Evgeniy Mikhailovich Bogachev)，曾憑借這類勒索木馬病毒令12個國家超過一百萬計算機感染，經濟損失超過1億美元。美國聯邦調查局（FBI）官網顯示，波格契夫在FBI通緝十大黑客名單中排名第二，是某網路犯罪團體的頭目。FBI懸賞300萬美元通緝波格契夫，這也是美國在打擊網路犯罪案件中所提供的最高懸賞金。

專家強調，正因為危害較大，FBI才會懸賞如此高的獎金緝拿病毒作者。用戶一旦中招，意味著電子版的合同，多年老照片，剛剛寫好的企劃案，剛剛做成的設計圖，統統在病毒的加密下無法打開。病毒製造者主要利用用戶急切恢復文件的心理實施敲詐，成功率極高。據悉，比特幣近期雖然行情低迷，但單個成交價也在1391元人民幣左右（4月20日更新數據），所以，雖然是幾個比特幣的勒索，對於用戶來說也不是小數目。

專家提醒，不要輕易下載來路不明的文件，尤其是後綴為.exe，.scr的可執行性文件，不要僅憑圖標判斷文件的安全性。另外，平時養成備份習慣，將一些重要文件備份到移動硬碟、網盤，一旦被木馬感染，也可及時補救。

7. 什麼是比特幣勒索蠕蟲病毒

這幾天，大規模勒索蠕蟲病毒襲擊迅速波及全球100多個國家和地區，病毒鎖死用戶數據和電腦文件，直到用戶支付價值300-600美元的比特幣贖金。黑客如此大規模公然向全球計算機用戶直接勒索，史無前例，堪稱向全世界發出恐嚇。
具體的行為和防範方法

今天我們就再來深入了解一下，這款病毒是一個什麼樣的病毒，如何傳播，何以造成如此嚴重的後果呢？

病毒源自美國國家安全局(NSA)早期泄露的網路武器庫

本次蔓延全球的「WannaCry」病毒屬於蠕蟲式勒索軟體，通過利用編號為MS17－010的Windows漏洞（被稱為「永恆之藍」）主動傳播感染受害者。之前，美國國家安全局（NSA）曾通過「永恆之藍」武器控制了幾乎整個中東的銀行和金融機構。

而因為這個漏洞信息被泄露，被黑客利用，導致了這一次的全球病毒蔓延事件。
勒索蠕蟲病毒爆發四天已三次變種

0.1版：黑客通過網路武器傳播，勒索用戶，沒有蠕蟲功能；

1.0版：具備蠕蟲功能，大規模傳播，5月12日到5月14日主力傳播；

2.0版：勒索病毒，更換及取消了「自殺開關」。所謂「自殺開關」，是病毒作者為了防止蠕蟲爆發不可控制設置的一個「開關」，如果檢查特定的域名被注冊，就不再繼續感染，5月14日，2.0版更換開關域名，很快也被注冊

14日，勒索病毒2.0第二個變種，取消了自殺開關，繼續傳播。
關於目前病毒傳播的情況，360安全產品負責人孫曉駿表示：從個人用戶看，勒索蠕蟲病毒的感染速度已經放緩。在360安全衛士的5億用戶中，絕大多數用戶在3月修復漏洞，不受影響，約20萬沒有打補丁的用戶電腦被病毒攻擊，基本全部攔截。

通過本次勒索蠕蟲病毒肆虐事件，我們應該吸取那些教訓

網路安全專家稱：這個病毒利用了微軟的一個漏洞，而該漏洞微軟在今年3月份已經發布補丁，對漏洞進行了修復。但是我們有的用戶沒有打補丁的習慣，沒有及時修復這次漏洞，導致電腦中招。

這次勒索病毒攻擊事件，再一次給人們敲響了網路安全的警鍾，互聯網等信息技術的快速發展，在給人們帶來巨大福祉的同時，也帶來了前所未有的網路安全挑戰。

建議大家要重視網路安全問題，及時安裝安全防護軟體，及時升級操作系統和各種應用的安全補丁，設置高安全強度口令並定期更換，不要下載安裝來路不明的應用軟體，對特別重要的數據採取備份措施等。