比特幣蠕蟲病毒專殺工具

A. 淺談Wannacry蠕蟲比特幣勒索病毒軟體

全球范圍內遭遇了一場前所未有的網路危機，Wannacry蠕蟲比特幣勒索病毒的爆發造成了數百個國家數千家企業和公共組織的嚴重損失。這款病毒利用NSA黑客工具——ETERNALBLUE漏洞，通過SMB伺服器漏洞迅速傳播，就像一個古老而強大的時空穿越機器，潛伏多年後突然被激活。

5月12日，WannaCry蠕蟲的全球性攻擊震驚了網路安全界。它要求受害者支付比特幣以解鎖被鎖定的文件，這無疑是網路世界的一場災難。解決措施包括立即斷網，檢測並隔離受感染的計算機，阻止病毒通過移動設備擴散。同時，針對"永恆之藍"的檢測和恢復工具也成為了對抗勒索的手段。

這個事件的背景，可以追溯到方程式組織的內部資料被盜事件，影子經紀人的行動暴露了他們與美國國家安全局的潛在聯系。這些高級網路攻擊工具被用於WannaCry，使其傳播效率大增，引發了全球范圍內的大規模勒索活動。網路安全漏洞的濫用，不僅被黑客和犯罪分子所利用，也成為了安全機構爭奪網路空間控制權的工具。

盡管黑客設置的秘密開關域名是為了躲避沙箱檢測，但這也表明了勒索軟體的復雜性和潛在的惡意。對於勒索軟體的未來，我們不能排除其他可能的利用方式，尤其是當國家機構掌握如此強大的網路工具時。對於受害者，專家建議不要輕易支付勒索，因為這可能會刺激更多的攻擊行為。

B. 誰是勒索軟體真正的攻擊目標

據悉，這個在國內被大家簡稱為「比特幣病毒」的惡意軟體，目前攻陷的國家已經達到99個，並且大型機構、組織是頭號目標。


在英國NHS中招之後，緊接著位於桑德蘭的尼桑造車廠也宣告「淪陷」。西班牙除了最早被黑的通訊巨頭Telefonica，能源公司Iberdrola和燃氣公司Gas Natural也沒能倖免於難。德國乾脆直接被搞得在火車站「示眾」。這個被大家稱之為「比特幣病毒」的勒索蠕蟲，英文大名叫做WannaCry，另外還有倆比較常見的小名，分別是WanaCrypt0r和WCry。
它是今年三月底就已經出現過的一種勒索程序的最新變種，而追根溯源的話是來自於微軟操作系統一個叫做「永恆之藍」（Eternal Blue）的漏洞。美國國家安全局（NSA）曾經根據它開發了一種網路武器，上個月剛剛由於微軟發布了新補丁而被「拋棄」。

三月底那次勒索程序就叫WannaCry，所以如果你在外媒看到WannaCry 2.0或者WanaCrypt0r 2.0的說法，所指也是本次爆發的勒索程序。

隨後，微軟在3月發布的補丁編號為MS17-010，結果眾多大企業們和一部分個人用戶沒能及時安裝它，才讓不知道從什麼途徑獲取並改造了NSA網路武器的WannaCry有機可乘。
而且這回的勒索軟體目標並非只有英國NHS，而是遍布全球，總覺得有種「人家不是只針對英國醫療系統」一樣、奇怪的「有人跟我一樣糟就放心」了的潛台詞。雖然最後事實證明確實全球遭殃。
但WannaCry最早從英國NHS開始爆發，真的只是巧合嗎？

對於任何勒索病毒而言，都是最有可能被攻擊的「肥肉」：醫護人員很可能遇到緊急狀況，需要通過電腦系統獲取信息（例如病人記錄、過敏史等）來完成急救任務，這種時候是最有可能被逼無奈支付「贖金」的。
醫療信息與管理系統學會的隱私和安全總監Lee
Kim也解釋說，出於信息儲備過於龐大以及隱私考慮，「在醫療和其他一些行業，我們在處理這些（系統）漏洞方面確實會不那麼及時」。這也是為什麼科技領域普遍認為WannaCry幕後黑手的時機把握得非常巧妙，畢竟微軟更新MS17-010補丁還不到兩個月。從開發並釋放WannaCry人士角度來考慮這個問題，他們其實並不在乎具體要把哪個行業作為攻擊目標，因為他們的邏輯就是任何有利可圖的領域都是「肥肉」，都要上手撈一筆。所以他們確實並不是非要跟英國NHS過不去，只不過是好下手罷了。
個人電腦用戶被攻擊的比例比企業和大型機構低很多，這不僅僅是因為個人電腦打補丁比較方便快捷，也因為這樣攻擊不僅效率不高、獲利的可能也更小。WannaCry的運作機制，根本就是為區域網大規模攻擊而設計的。

這樣看來，前面提到的全世界其他受攻擊大型企業和組織，無論交通、製造、通訊行業，還是國內比較慘烈的學校，確實都是典型存在需要及時從資料庫調取信息的領域。

至於敲詐信息的語言問題，Wired在多方搜集信息後發現，WannaCry其實能以總共27種語言運行並勒索贖金，每一種語言也都相當流利，絕對不是簡單機器翻譯的結果。截至發稿前，WannaCry病毒的發源地都還沒能確認下來。
與其說WannaCry幕後是某種單兵作戰的「黑客」，倒不如說更有可能是招募了多國人手的大型團伙，並且很有可能「醉溫之意不在酒」。畢竟想要簡單撈一筆的人，根本沒有理由做出如此周全的全球性敲詐方案。

WannaCry在隱藏操作者真實身份這方面，提前完成的工作相當縝密。不僅僅在語言系統上聲東擊西，利用比特幣來索取贖金的道理其實也是一樣：杜絕現實貨幣轉賬後被通過匯入賬戶「順藤摸瓜」的可能。而且WannaCry的開發者早就有了一個范圍寬廣、長期作戰的策劃：「在情況好轉之前，它會先變糟糕的——相當糟糕。」（This』ll get worse—a lot worse—before it gets better.）
不過，在晚些時候，一位22歲的英國程序猿小哥就似乎「誤打誤撞」阻止了WannaCry的進一步擴散。

這位小哥在社交網路上的昵稱是MalwareTech（中文意思大概是「惡意軟體技術」，聽起來反而更像個黑客），阻止了WannaCry的進一步全球肆虐後，他在自己的博客上寫下了全過程，甚至英國情報機關GCHQ都在官網轉po了這篇博文。
MalwareTech本來應該在度假中，不過他還是迅速反應，找到了一份WannaCry軟體的樣本。閱讀代碼時，他發現了一個沒有被注冊過的域名，下面的代碼意思就是WannaCry在黑點電腦前的運行中會先試圖訪問該域名，如果訪問失敗就黑掉系統，如果成功則自動退出。

於是MalwareTech就把這個域名給注冊了。

在後來一些中文媒體的報道中，小哥的這一舉動被強調成是「突發奇想」或者「下意識」之舉。正是因為無效域名被注冊，後來被WannaCry感染的電腦都在訪問該域名時得到了肯定的返回值，於是沒有再鎖定信息、展開敲詐。
不過MalwareTech自己解釋卻不是這樣的。他在博客中寫道，注冊這個域名是他作為網路安全工作人員的「標准做法」（standard practice）。過去一年裡，遇到所有這樣短時間訪問量激增的無效域名，他都會將其注冊後扔進前面圖里提到的「天坑」（sinkhole）里，而這個「天坑」的作用就是「捕獲惡意流量」。

WannaCry樣本中域名，在昨天全球范圍攻擊開始後訪問量瞬間激增，此前卻沒有任何被訪跡象。

然而MalwareTech職業靈敏度，讓他開始考慮WannaCry是否會定期或在特請情況下修改程序中的無效域名，因為如果是這樣的話，僅僅注冊他所發現的這個域名就無法阻止未來襲擊。

即使軟體里沒有這樣的部分，開發者依然能夠手動升級WannaCry後再度把它傳播開來，所需要做的也就僅僅是替換一個新的無效域名而已。






還有一種更糟糕的情況：如果WannaCry程序中還有另一層自我保護機制，那麼無效域名的注冊很有可能導致目前所有被感染電腦自動為所有信息加密，無法復原。
為了排除後一種情況，MalwareTech乾脆修改了自己一台電腦的主機文件，讓它無法連接那個已經被注冊了的前無效域名。

電腦成功藍屏了。
MalwareTech寫道：「你可能無法想像一個成年男人在屋裡興奮得跳來跳去，原因竟然是自己電腦被勒索軟體搞失靈了。但我當時確實就那樣了。」測試結果表明，他的「標准做法」確實阻止了WannaCry的進一步傳播。

但是小哥親自警告：「這事沒完」
和某些信息平台熱炒MalwareTech「拯救了全世界」的梗不同，英國《衛報》和《英國電訊報》都在標題里明確告訴大家，小哥自己都已經作出警告：「這事沒完！」
域名被注冊後WannaCry的停止擴散，在他看來只是病毒製造者一個不夠成熟的自我保護機制。對方的真正意圖並非通過域名是否能連接上來「指揮」病毒的運行，而是通過這種方式判斷病毒是否被電腦安全高手捕獲。
一旦WannaCry運行時發現域名有反應，真實反應並不是「好心」地停止攻擊，而是避免自己被扔進「沙盒」（sandbox）安全機制被人全面分析，乾脆退出獲得域名響應的電腦系統。






MalwareTech雖然功不可沒，但他只是阻止了「比特幣病毒」現行樣本的擴散，但開發者也已經意識到了這項弱點，隨時可能用升級版勒索程序卷土重來。
當然，也不排除，此次勒索軟體的最終目的，不是真的想勒索，而是想展現給一些有不法分子查看這個病毒的威力，從而出售這個病毒給他們。如果真的是這樣的話，那麼接下來的日子，網路安全，將會面臨一個很嚴峻的挑戰。
此次勒索軟體威脅的不僅是個人用戶，還有眾多機構和企業。
因此提醒，所有網路用戶今後都應加強安全意識，注意更新安全補丁和使用各種殺毒工具。

C. 比特幣病毒入侵，有什麼好的辦法防治嗎

比特幣病毒是一種敲詐病毒，該病毒是通過遠程對感染者的電腦文件加密，從而向這台感染電腦的用戶索要加密用戶電腦文件，從而向用戶勒索贖金，用戶文件只能在支付贖金後才能打開。它運用的是4096位演算法，這種演算法，普通電腦需要幾十萬年才能破解出來，超級電腦破解所需時間也可能得按年計算，國內外尚無任何機構和個人能夠破解該病毒，支付贖金是恢復文件的唯一辦法。說通俗一點，該病毒像一個擁有金剛不壞之身的搶劫者，路上的人們都是他的攻擊對象，而警察卻不能制服他。

那麼我們該如何防止它，避免讓自己的電腦中招呢？

1. 今後養成定期備份自己電腦中的重要文件資料到移動硬碟、U盤，備份完後離線保存該磁碟。這樣隨你刪，刪完之後我還有~

2. 要養成不明鏈接不要點擊，不明文件不要下載，不明郵件不要打開的好習慣。

3. 安裝最新的安全補丁，各大網路平台都可以找到

4. 關閉445、135、137、138、139埠，關閉網路共享。win10重啟後，微軟會自動處理這個漏洞。win7可以打開360衛士、電腦管家等，進行漏洞補丁的修復；而以被流放的XP 的用戶就只能自己手動關閉455埠了。

• 如何關閉455埠？

在控制面板中找到Windows防火牆，開啟防火牆，進入防火牆的高級設置，在「入站規則」中新建一條規則，本地埠號選擇445，操作選擇阻止連接。其他埠號也是同樣的方法。

最後祝大家好運~

D. 勒索病毒WannaCry怎麼解決

比特幣勒索病毒wanacry介紹:
WannaCry（想哭，又叫Wanna Decryptor），一種「蠕蟲式」的勒索病毒軟體，大小3.3MB，由不法分子利用NSA（National
Security Agency，美國國家安全局）泄露的危險漏洞「EternalBlue」（永恆之藍）進行傳播。
該惡意軟體會掃描電腦上的TCP 445埠(Server Message
Block/SMB)，以類似於蠕蟲病毒的方式傳播，攻擊主機並加密主機上存儲的文件，然後要求以比特幣的形式支付贖金。勒索金額為300至600美元。
2017年5月14日，WannaCry 勒索病毒出現了變種：WannaCry 2.0，取消Kill Switch
傳播速度或更快。截止2017年5月15日，WannaCry造成至少有150個國家受到網路攻擊，已經影響到金融，能源，醫療等行業，造成嚴重的危機管理問題。中國部分Windows操作系統用戶遭受感染，校園網用戶首當其沖，受害嚴重，大量實驗室數據和畢業設計被鎖定加密。
目前，安全業界暫未能有效破除該勒索軟體的惡意加密行為。微軟總裁兼首席法務官Brad
Smith稱，美國國家安全局未披露更多的安全漏洞，給了犯罪組織可乘之機，最終帶來了這一次攻擊了150個國家的勒索病毒。
WannaCry勒索病毒預防方法：
1、為計算機安裝最新的安全補丁，微軟已發布補丁MS17-010修復了「永恆之藍」攻擊的系統漏洞，請盡快安裝此安全補丁；對於windowsXP、2003等微軟已不再提供安全更新的機器，可使用360「NSA武器庫免疫工具」檢測系統是否存在漏洞，並關閉受到漏洞影響的埠，可以避免遭到勒索軟體等病毒的侵害。
2、關閉445、135、137、138、139埠，關閉網路共享。
3、強化網路安全意識：不明鏈接不要點擊，不明文件不要下載，不明郵件不要打開……
4、盡快（今後定期）備份自己電腦中的重要文件資料到移動硬碟、U盤，備份完後離線保存該磁碟。
5、建議仍在使用windowsxp，windows2003操作系統的用戶盡快升級到windows7/windows10，或windows2008/2012/2016操作系統。

E. 比特幣勒索病毒是什麼 蠕蟲病毒預防方法大全

關閉445埠，及時安裝發布的系統補丁，然後安裝防護類的軟體。
Windows用戶可以通過格式化所有硬碟從而徹底在設備上消除wanacry勒索病毒。
個人用戶可以聯系國內外安全廠商例如:奇虎360，金山毒霸，卡巴斯基，麥克菲爾，騰訊安全管家等安全中心尋求協助恢復重要數據。
利用「勒索病毒免疫工具」進行修復。用戶通過其他電腦下載騰訊電腦管家「勒索病毒免疫工具」離線版，並將文件拷貝至安全、無毒的U盤；再將指定電腦在關閉WiFi，拔掉網線，斷網狀態下開機，並盡快備份重要文件；然後通過U盤使用「勒索病毒免疫工具」離線版，進行一鍵修復漏洞；聯網即可正常使用電腦。
利用「文件恢復工具」進行恢復。已經中了病毒的用戶，可以使用電腦管家-文件恢復工具進行文件恢復，有一定概率恢復您的文檔。
注意:也可持續關注相關安全廠商的處理辦法，等待更加優越的完美解鎖。