紧急！ 全球爆发比特币病毒！ 浙江部分高校已中招（附预防方法）

5月12日，勒索软件攻击在英国、意大利、俄罗斯等全球多个国家爆发。 中国的校园网也未能幸免。 一些高校的电脑被感染，一些学生的毕业论文被病毒加密。 只有支付高额赎金才能挽回损失。

在英国，5月12日，英国国民健康服务体系遭受大规模网络攻击。 多家公立医院的电脑系统几乎同时瘫痪，电话线也被切断，导致多名急诊病人被迫转院。 《每日邮报》称，英格兰和苏格兰至少有19家NHS旗下的医疗机构，包括医院和全科医生诊所，遭到网络攻击。

（勒索病毒全球爆发热图）

勒索：支付 300 美元解锁电脑

据杭州师范大学的一名学生说，“我晚上在宿舍用电脑播放视频。 显示语言有中文、韩文、日文和英文。 信件内容大致是如果你想解锁你电脑上的文件，请支付300美元等值的比特币。 它还威胁说，如果你在一周内不付款，你将永远无法恢复文件。” “我的室友也感染了同样的病毒。 我们用同一个校园网，就是晚上断网的那种。”

据了解，该病毒发布者于2017年2月使用去年被盗的美国国家安全局（NSA）自主设计的Windows系统黑客工具“永恒之蓝”进行病毒升级，感染Windows用户必须支付比特币在 7 天内作为赎金，否则所有计算机数据将被删除且无法修复。 该病毒要求用户在被感染三天内支付相当于300美元的比特币，三天后“赎金”将翻倍。

（电脑中毒后屏幕弹出的勒索字条）

对系统中的照片、图片、文档、压缩包、音频、视频、可执行程序等几乎所有类型的文件进行加密，加密文件的后缀统一改为“.WNCRY”。

（加密文件名）

攻击者狂妄自大，声称“除了攻击者，即使上帝降临，这些文件也无法恢复”（勒索病毒提供免费解密多个加密文件证明攻击者可以解密加密文件，“点击按钮TOR防止比特币，你可以免费恢复一些文件。”勒索软件作者在界面中的声明是，“3天内支付正常，3天后翻倍，一周后不提供恢复。”）现实非常悲观。勒索病毒的加密强度很强，如果没有密钥，暴力破解需要非常高的计算量，基本不可能成功解密。。。

（可以解密多个文件）

勒索软件将自身复制到每个文件夹并将其重命名为“@WanaDecryptor@.exe”。 并衍生出大量语言配置文件、带加密功能的文件、表单文件等。

样本哈希值

功能说明

5BEF35496FCBDBE841C82F4D1AB8B7C2

DB349B97C37D22F5EA1D1841E3C89EB4

F107A717F76F4F910AE9CB4DC5290594

主程序带有域名开关，负责利用漏洞传播并释放WannaCry勒索病毒执行。

7F7CCAA16FB15EB1C7399D422F8363E8

84C82835A5D21BBCF75A61706D8AB549

509C41EC97BB81B0567B059AA2F50FE8

86721E64FFBD69AA6944B9672BCABB6D

D6114BA5F10AD67A4131AB72531F02DA

F529F4556A5126BBA499C26D67892240

WannaCry勒索程序，发布Tor程序连接暗网，自动后缀加密文件，弹出勒索窗口

3E218283B2094D52EDC2661A8B62D7E3（带壳VMP）

0CB40A8A51539E2C5727C3EC87AF8A56

7BF2B57F2A205768755C07F238FB32CC

3503DF16479880FDF484ACE875FF3588

B0AD5902366F860F85B892867E5B1E87

E372D07207B4DA75B3434584CD9F3450

FA44F2474BA1C807AD2AAE6F841B8B09

7BF2B57F2A205768755C07F238FB32CC

775A0631FB8229B2AA3D7621427085AD

勒索软件窗口文件显示勒索内容、倒计时信息、比特币购买地址、攻击者比特币钱包等信息。

4FEF5E34143E646DBF9907C4374276F5

删除加密文件时产生的临时文件

8495400F199AC77853C53B5A3F278F3E

负责启动勒索病毒表单文件

示例主程序首先连接到 URL“switch”。 如果连接成功，它将自行退出而不会触发任何恶意行为。 只有当连接失败时才会进行后续行为。

（安天发布的主程序示例代码运行过程）

（腾讯安全联合实验室反病毒实验室发布的病毒攻击流程图）

样本启动后，首先会请求以下域名：

只有在请求失败后才会进行加密； 否则，将放弃进一步加密，直接退出。 我们称这个域名为“切换域名”：

虽然网上有报道：该域名已经被英国安全人员注册，可以访问，所以只要被感染主机能够成功访问该URL，该样本就不会触发后续的恶意行为。

但也有网站报道：出现了新的变种病毒TOR防止比特币，没有这个开关黑客随时可能利用新的蠕虫。

所以尽快安装补丁才是王道。

预防：如何避免电脑中毒？

中国国家互联网应急中心表示，目前安全行业还未能有效破解勒索病毒的恶意加密行为。 一旦用户主机被勒索软件渗透，唯一的清除勒索软件的方法就是重新安装操作系统。 无法直接恢复文件。

在防范方面，腾讯安全联合实验室反病毒实验室负责人、腾讯电脑管家安全技术专家马劲松指出，一是暂时关闭端口。 Windows用户可以使用防火墙过滤个人电脑，暂时关闭135、137、445端口3389远程登录（如果不想关闭3389远程登录，至少要关闭智能卡登录功能），注意更新安全产品进行防御，以最大限度地降低计算机攻击风险。

（Windows用户可以使用防火墙过滤个人电脑，暂时关闭135、137、445端口3389远程登录）

二是及时更新Windows发布的安全补丁。 MS17-010漏洞在3月份首次曝光时，微软已经为Win7、Win10等系统提供了安全更新； 事件爆发后，微软也迅速发布了Windows XP等尚未提供官方支持的系统。 特殊补丁。

（微软官方宣布此前已修复受NSA泄露武器影响的漏洞）

因此，Windows用户可以通过微软官网安装最新的Windows漏洞补丁，降低电脑被NSA武器攻击的可能性。 网址是：。

（微软官方发布了修复NSA泄露武器的补丁）

三是使用“勒索病毒免疫工具”进行修复。 用户通过其他电脑下载腾讯电脑管家“勒索病毒免疫工具”离线版，并将文件复制到安全无毒的U盘中； 并尽快备份重要文件； 然后通过U盘使用离线版“勒索病毒免疫工具”一键修复漏洞； 连接到互联网后，计算机可以正常使用。

（腾讯电脑管家推出针对勒索病毒的“勒索病毒免疫工具”）

4.校园网用户，教程来了！

第五，备份。 必须备份重要数据以防止数据丢失。 尽快（以后定期）将电脑中的重要文件和数据备份到移动硬盘或U盘中，备份后离线保存。

希望大家在使用电脑时养成良好的安全习惯，及时打补丁，安装安全防护软件，到官方渠道下载软件。

最后提醒各位同学加强网络安全意识，不要点击陌生链接，不要下载陌生文件，不要打开陌生邮件！

青年树人

培养安全网络意识，避免不必要的麻烦

以上内容综合自互联网及各大网站