勒索病毒席卷全球解密

5月12日开始在全球蔓延的WannaCry勒索病毒已经席卷了至少150个国家的20万台电脑。病毒要求用户在被感染后的三天内交纳相当于300美元的 ，三天后“赎金”将翻倍。七天内不缴纳赎金的电脑数据将被全部删除。其背后的主要原因之一是，许多人不知 为何物、也不知道如何用 支付赎金。而购买大量加密货币需要一定时间，并且开通 钱包账户、进行交易也需要一个较长的流程。 　　让我们一起来看一看WannaCry病毒席卷全球的过程中，一些有趣的细节：

Q：勒索病毒到底是什么？为什么会出现这一次的WannaCry？

A：赎金是勒索软件的最终目标。勒索软件通过网络系统的漏洞而进入受害者的电脑，直到受害者付清赎金后才将电脑解锁。

而这一次的WannaCry病毒，主要攻击Windows系统，引诱用户点击看似正常的邮件、附件或文件，并完成病毒的下载和安装，称为“钓鱼式攻击”。安装后的病毒会将用户电脑锁死，把所有文件都改成加密格式，并修改用户桌面背景，弹出提示框告知交纳“赎金”的方式。

而据英国金融时报和纽约时报披露，病毒发行者正是利用了去年被盗的美国国家安全局（NSA）自主设计的Windows系统黑客工具Eternal Blue，把今年2月的一款勒索病毒升级。

所以，微软总裁在周日刊发博文，控诉美国国家安全局未披露更多的安全漏洞，给了犯罪组织可乘之机，最终带来了这一次攻击了150个国家的勒索病毒。

Q: 病毒是怎么散布开来的？

A：最早被曝感染病毒的是西班牙，随后短短三小时内，德国、法国、俄罗斯、美国、越南、印度尼西亚、菲律宾、中国台湾、哈萨克斯坦、乌克兰等多个地区都被波及。

卡巴斯基实验室数据显示，俄罗斯、乌克兰、印度和中国台湾是受WannaCry勒索病毒影响最严重的地区。

而WannaCry对英国国家医疗服务体系（NHS）的袭击最为惨无人道：至少有25家医院电脑系统瘫痪、救护车无法派遣，极有可能延误病人 ，造成性命之忧。

中国亦在周六开始受到影响，重灾区是校园系统和公安办事系统，部分ATM和加油站和支付系统也受到影响。广东珠海市住房公积金管理中心今日还紧急发布通知，宣布暂停办理珠海市住房公积金业务，加固升级内外网络。

Q：我付不起赎金怎么办啊？

A：嘿嘿，勒索病毒倒还挺仁慈的。

Facebook账号爆料公社称，一名网友的电脑中了WannaCry病毒后，被要求支付0.345 （约合人民币3600元）。这名网友致邮勒索病毒的客服，称“我月收入只有400美元，你真的要这样对我吗？”。

然后他得到了这样的回复：“我们在你们当地的团队遇到了重挫。我们显然高估了你们的收入，你现在不必支付任何费用，我们会帮你的电脑解锁。”

客服还附言：“不过如果你喜欢我们，并且有意请我们喝几杯咖啡的话，我们永远欢迎你。”

而如果你仔细看看勒索病毒的留言，你还会发现……

不过对苦命的学生党来说，辛辛苦苦码了一年的论文没被学校挂掉，反而被黑客挂掉了，是蛮惨的：

Q：以前的病毒都会勒索资金吗？ 出现之前都是用什么来支付的？

A：最早的勒索病毒出现在1989年，不过2005年才开始逐渐猖獗。汇款、短信小额付款、在线虚拟货币（Ukash、Paysafecard）都是曾经的支付方式。

Q：那为什么这一次要用 来支付？

A：原因有三： 可以全球收款、匿名交易方便黑客藏身、去中心化让让黑客可以通过程序自动处理赎金。另外，这并不是 第一次成为勒索病毒的“赎金”载体。

一财此前指出， 投资者普遍认为， 被用于勒索，是因为 不仅相对于其他传统支付工具有优势，同时在其他虚拟货币中也是最佳选择。

首先， 有一定的匿名性，便于黑客隐藏身份；其次它不受地域限制，可以全球范围收款；同时 还有“去中心化”的特点，可以让黑客通过程序自动处理受害者赎金。而相比于其他 ， 目前占有最大的市场份额，具有最好的流动性，所以成为黑客选择。

所以说， 只是个支付方式，和这次勒索病毒袭击事件没什么关系，就跟犯罪人士喜欢使用美元现钞一样。

而这并不是 第一次成为勒索病毒的“赎金”载体。三年前的另一款勒索软件CryptoLocker，就已经利用 大赚2700万美元，当时的支付要求是300美元或欧元，或者2 。

300美元这个数额似乎不少见，2007年的一起特洛伊木马，也要求用户付300美元来赎回电脑中的个人资料。

Q：这都第四天了，病毒还在传播吗？

A（反问）：有一个好消息，和一个坏消息，你要先听哪个？

我知道你要先听坏消息。根据北京市委网信办、北京市公安局、北京市经信委周日发布的联合通知，监测发现，WannaCry勒索蠕虫出现了变种WannaCry 2.0。这个变种取消了所谓的Kill Switch，不能通过注册某个域名来关闭变种勒索蠕虫的传播。就是说，该变种的传播速度可能会更快。

Q：Kill Switch...？

A：这就是那个好消息了。一位推名为“Malware Tech”的英国网络安全人员无意间购买了一个特殊的域名后，阻止了WannaCry的传播。这个域名被称为Kill Switch（死亡开关）。

这位网络安全人员在分析病毒的代码时，发现在代码的始端，有一个毫无规律的奇怪域名地址：www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com

他好奇地搜索了一下，发现这个域名没有被注册。而于是他把它买了下来。

然后这个域名开始迅速接到接到了几乎全世界各个国家的电脑。下图显示了这位英国人在买下这一域名后的访问量。

经过一系列确认后，他兴奋地跳了起来——WannaCry病毒的散播确得到了遏止，功臣正是随手买了个域名的自己。

而对病毒代码进行进一步分析后，这位英国人还发现，代码中有如下内容：

（每一个感染了病毒的机器，在启动之前都会事先访问一下这个域名，如果这个域名依旧不存在，那就继续传播；如果已经被人注册了，那就停止传播。）

他本人开心了很久：

我承认，在我无意间注册这个域名之前，完全不知道他能停止这次病毒的传播。纯属意外。所以以后我简历上大概可以加一句，一不小心阻止了一场全球性的网络攻击。^^

不过忧伤的是，WannaCry好像已经变种了……

Q：那我到底应该怎么预防电脑中病毒……

A：相信你早就知道了，不过我们还是再讲一遍：升系统！打补丁！删端口！

微软在病毒散播开来之后就迅速为Win10用户提供了更新，而其他系统可以前往https://technet.microsoft.com/zh-cn/library/security/MS17-010查询相应的补丁，XP、2003等微软已不再提供安全更新的，需要通过其他软件来检查是否存在漏洞，或启用个人防火墙关闭445及135、138等端口。