從5月12日起，毒霸安全中心監(jiān)測(cè)到Onion、WNCRY兩類敲詐者病毒變種在全國(guó)大范圍內(nèi)出現(xiàn)爆發(fā)態(tài)勢(shì)，與以往不同的是，此類新變種添加了NSA黑客工具包中的“永恒之藍(lán)”0day漏洞利用，通過445端口(文件共享)在內(nèi)網(wǎng)進(jìn)行蠕蟲式感染傳播，沒有安裝安全軟件或及時(shí)更新系統(tǒng)補(bǔ)丁的其他內(nèi)網(wǎng)用戶就極有可能被動(dòng)感染,所以目前感染用戶主要集中在企業(yè)、高校等內(nèi)網(wǎng)環(huán)境下。一旦感染該蠕蟲病毒變種，系統(tǒng)重要資料文件就會(huì)被加密并勒索高額的比特幣贖金(折合人民幣2000~50000不等)。

　　從目前監(jiān)控到的情況來看，全網(wǎng)已經(jīng)有數(shù)萬用戶感染，QQ、微博等社交平臺(tái)上也是哀鴻遍野，所以本次敲詐者病毒傳播感染的后續(xù)威脅不容小覷。敲詐勒索病毒+遠(yuǎn)程執(zhí)行漏洞的蠕蟲式傳播，這樣的組合極大增強(qiáng)了本次病毒安全威脅的程度，對(duì)近期國(guó)內(nèi)的網(wǎng)絡(luò)安全形勢(shì)都是一次嚴(yán)峻考驗(yàn)。

　　在監(jiān)測(cè)到本次敲詐者蠕蟲傳播威脅事件后的第一時(shí)間，我們的安全團(tuán)隊(duì)也迅速跟進(jìn)，目前金山毒霸可以防御查殺本次的敲詐者蠕蟲變種。下面給出我們針對(duì)本次敲詐者蠕蟲的安全防御方案、傳播分析、以及其他安全建議，盡力讓用戶規(guī)避或減少遭遇敲詐勒索的風(fēng)險(xiǎn)。

　　[傳播感染背景]

　　本輪敲詐者蠕蟲病毒傳播主要包括Onion、WNCRY兩大家族變種，本次感染事件首先在英國(guó)、俄羅斯等多個(gè)國(guó)家爆發(fā)，新聞報(bào)道有多家企業(yè)、醫(yī)療機(jī)構(gòu)的系統(tǒng)中招，損失非常慘重。安全機(jī)構(gòu)全球監(jiān)測(cè)已經(jīng)發(fā)現(xiàn)目前多達(dá)74個(gè)國(guó)家遭遇本次敲詐者蠕蟲攻擊。從5月12日開始，國(guó)內(nèi)的感染傳播量也開始急劇增加，在多個(gè)高校和企業(yè)內(nèi)部集中爆發(fā)并且愈演愈烈。

　　【1】 全球74個(gè)國(guó)家遭遇Onion、WNCRY敲詐者蠕蟲感染攻擊

　　【2】24小時(shí)內(nèi)監(jiān)測(cè)到的WNCRY敲詐者蠕蟲攻擊次數(shù)超過10w+

　　本次感染急劇爆發(fā)的主要原因在于其傳播過程中使用了前段時(shí)間泄漏的美國(guó)國(guó)家安全局(NSA)黑客工具包中的“永恒之藍(lán)”漏洞(微軟3月份已經(jīng)發(fā)布補(bǔ)丁，漏洞編號(hào):MS17-010)。和歷史上的“震蕩波”、“沖擊波”等大規(guī)模蠕蟲感染類似，本次傳播攻擊利用的“永恒之藍(lán)”漏洞可以通過445端口直接遠(yuǎn)程攻擊目標(biāo)主機(jī)，傳播感染速度非常快。

　　【3】本次敲詐者蠕蟲病毒變種通過“永恒之藍(lán)”漏洞進(jìn)行網(wǎng)絡(luò)攻擊

　　雖然國(guó)內(nèi)部分網(wǎng)絡(luò)運(yùn)營(yíng)商已經(jīng)屏蔽掉個(gè)人用戶的445網(wǎng)絡(luò)端口，但是在教育網(wǎng)、部分運(yùn)行商的大局域網(wǎng)、校園企業(yè)內(nèi)網(wǎng)依舊存在大量暴漏的攻擊目標(biāo)，對(duì)于企業(yè)來說尤其嚴(yán)重，一旦內(nèi)部的關(guān)鍵服務(wù)器系統(tǒng)遭遇攻擊，帶來的損失不可估量。從我們檢測(cè)到反饋情況看，國(guó)內(nèi)多個(gè)高校都集中爆發(fā)了感染傳播事件，甚至包括機(jī)場(chǎng)航班信息、加油站等終端系統(tǒng)遭受影響，預(yù)計(jì)近期由本次敲詐者蠕蟲病毒造成的影響會(huì)進(jìn)一步加劇。

　　【4】全國(guó)各地的高校內(nèi)網(wǎng)的敲詐者蠕蟲感染攻擊爆發(fā)

　　【5】某高校機(jī)房全部遭遇WNCRY敲詐者蠕蟲攻擊

　　【6】國(guó)內(nèi)某地加油站系統(tǒng)遭遇本次敲詐者蠕蟲變種攻擊

　　【7】某機(jī)場(chǎng)航班信息終端同樣遭遇了敲詐者蠕蟲攻擊

　　【敲詐蠕蟲病毒感染現(xiàn)象】

　　中招系統(tǒng)中的文檔、圖片、壓縮包、影音等常見文件都會(huì)被病毒加密，然后向用戶勒索高額比特幣贖金。WNCRY變種一般勒索價(jià)值300~600美金的比特幣，而onion變種甚至要求用戶支付3個(gè)比特幣，以目前的比特幣行情，折合人民幣在3萬左右。此類病毒一般使用RSA等非對(duì)稱算法，沒有私鑰就無法解密文件。WNCRY敲詐者病毒要求用戶在3天內(nèi)付款，否則解密費(fèi)用翻倍，并且一周內(nèi)未付款將刪除密鑰導(dǎo)致無法恢復(fù)。從某種意義上來說這種敲詐者病毒“可防不可解”，需要安全廠商和用戶共同加強(qiáng)安全防御措施和意識(shí)。

　　【8】感染W(wǎng)NCRY勒索病毒的用戶系統(tǒng)彈出比特幣勒索窗口

　　【9】用戶文件資料被加密，后綴改為“wncry”，桌面被改為勒索恐嚇

　　我們對(duì)部分變種的比特幣支付地址進(jìn)行追蹤，發(fā)現(xiàn)目前已經(jīng)有少量用戶開始向病毒作者支付勒索贖金，從下圖中我們可以看到這個(gè)變種的病毒作者已經(jīng)收到19個(gè)用戶的比特幣贖金，累計(jì)3.58個(gè)比特幣，市值約人民幣4萬元。

　　【10】 某個(gè)敲詐者蠕蟲的比特幣支付信息追蹤

　　【防御措施建議】

　　1. 安裝殺毒軟件，保持安全防御功能開啟。推薦下載安裝金山毒霸，我們安全團(tuán)隊(duì)已經(jīng)在第一時(shí)間真對(duì)該敲詐者蠕蟲病毒加強(qiáng)了查殺防御措施。保持毒霸防御開啟，即可攔截此次的敲詐者蠕蟲攻擊。

　　(毒霸下載地址: http://www.duba.net/)

　　【11】毒霸查殺WNCRY敲詐者蠕蟲病毒

　　【12】毒霸敲詐者病毒防御攔截WNCRY病毒加密用戶文件

　　2. 及時(shí)更新升級(jí)系統(tǒng)，微軟在3月份已經(jīng)針對(duì)NSA泄漏的漏洞發(fā)布了MS17-010升級(jí)補(bǔ)丁，包括本次被敲詐者蠕蟲病毒利用的“永恒之藍(lán)”漏洞，建議用戶盡快升級(jí)安裝。

　　此次利用漏洞影響以下版本的操作系統(tǒng)：

　　Windows XP/Windows 2000/Windows 2003 (微軟已經(jīng)不再提供安全補(bǔ)丁升級(jí)服務(wù)，建議關(guān)閉445端口)

　　Windows Vista/Windows Server 2008/WindowsServer 2008 R2

　　Windows 7/Windows 8/Windows 10

　　Windows Server 2012/Windows Server 2012 R2/Windows Server 2016

　　補(bǔ)丁下載地址: https://technet.microsoft.com/zh-cn/library/security/MS17-010(建議根據(jù)系統(tǒng)版本下載安裝對(duì)應(yīng)的補(bǔ)丁升級(jí)包)

　　【13】 微軟MS17-010補(bǔ)丁列表

　　3. 使用XP和2003版本系統(tǒng)的用戶可以選擇關(guān)閉445端口，規(guī)避遭遇此次敲詐者蠕蟲病毒的感染攻擊�？梢詤⒖家韵虏僮鞑襟E。

　　1) 開啟系統(tǒng)防火墻保護(hù)�？刂泼姘� —> 安全中心 —> Windows防火墻 —> 啟用。

　　【14】 開啟系統(tǒng)防火墻保護(hù)

　　2) 關(guān)閉系統(tǒng)445端口。

　　a)WIN+R 輸入cmd，打開命令行操作窗口，輸入命令“netstat -an”,檢測(cè)445端口是否開啟。

　　b)如上圖假如445端口開啟，依次輸入以下命令進(jìn)行關(guān)閉：

　　net stop rdr / net stop srv / net stop netbt

　　成功后的效果如下：

　　4. 謹(jǐn)慎打開不明來源的網(wǎng)址和郵件，打開office文檔的時(shí)候禁用宏開啟，網(wǎng)絡(luò)掛馬和釣魚郵件一直是國(guó)內(nèi)外勒索病毒傳播的重要渠道。

　　【16】釣魚郵件文檔中暗藏勒索者病毒，誘導(dǎo)用戶開啟宏運(yùn)行病毒

　　5. 養(yǎng)成良好的備份習(xí)慣，及時(shí)使用網(wǎng)盤或移動(dòng)硬盤備份個(gè)人重要文件。本次敲詐者蠕蟲爆發(fā)事件中，國(guó)內(nèi)很多高校和企業(yè)都遭遇攻擊，很多關(guān)鍵重要資料都被病毒加密勒索，希望廣大用戶由此提高重要文件備份的安全意識(shí)。