勒索病毒是怎么传播 勒索病毒怎么回事介绍

勒索病毒简介：

勒索病毒，是一种新型电脑病毒，主要以邮件，程序木马，网页挂马的形式进行传播。该病毒性质恶劣、危害极大，一旦感染将给用户带来无法估量的损失。这种病毒利用各种加密算法对文件进行加密，被感染者一般无法解密，必须拿到解密的私钥才有可能破解。

传播途径：

勒索病毒文件一旦进入本地，就会自动运行，同时删除勒索软件样本，以躲避查杀和分析。接下来，勒索病毒利用本地的互联网访问权限连接至黑客的C&C服务器，进而上传本机信息并下载加密私钥与公钥，利用私钥和公钥对文件进行加密。除了病毒开发者本人，其他人是几乎不可能解密。加密完成后，还会修改壁纸，在桌面等明显位置生成勒索提示文件，指导用户去缴纳赎金。且变种类型非常快，对常规的杀毒软件都具有免疫性。攻击的样本以exe、js、wsf、vbe等类型为主，对常规依靠特征检测的安全产品是一个极大的挑战。

根据勒索病毒的特点可以判断，其变种通常可以隐藏特征，但却无法隐藏其关键行为，经过总结勒索病毒在运行的过程中的行为主要包含以下几个方面：

1、通过脚本文件进行>

为防止用户感染该类病毒，我们可以从安全技术和安全管理两方面入手：

1、不要打开陌生人或来历不明的邮件，防止通过邮件附件的攻击;

2、尽量不要点击office宏运行提示，避免来自office组件的病毒感染;

3、需要的软件从正规(官网)途径下载，不要双击打开js、vbs等后缀名文件;

4、升级深信服NGAF到最新的防病毒等安全特征库;

5、升级防病毒软件到最新的防病毒库，阻止已存在的病毒样本攻击;

6、定期异地备份计算机中重要的数据和文件，万一中病毒可以进行恢复。

希望可以帮到您，谢谢！

永恒之蓝病毒 对计算机的攻击性还是比较强的，有的用户不太明白永恒之蓝病毒是什么，不知道该如何预防。这里我为大家带来详细教程，赶紧看看吧！

永恒之蓝病毒是什么？

据了解，这次事件是不法分子通过改造之前泄露的NSA黑客武器库中“永恒之蓝”攻击程序发起的网络攻击事件。

这次的“永恒之蓝”勒索蠕虫，是NSA网络军火民用化的全球第一例。一个月前，第四批NSA相关网络攻击工具及文档被Shadow Brokers组织公布，包含了涉及多个Windows系统服务（SMB、RDP、IIS）的远程命令执行工具，其中就包括“永恒之蓝”攻击程序。

恶意代码会扫描开放445文件共享端口的Windows机器，无需用户任何 *** 作，只要开机上网，不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序。

目前，“永恒之蓝”传播的勒索病毒以ONION和WNCRY两个家族为主，受害机器的磁盘文件会被篡改为相应的后缀，、文档、视频、压缩包等各类资料都无法正常打开，只有支付赎金才能解密恢复。这两类勒索病毒，勒索金额分别是5个比特币和300美元，折合人民币分别为5万多元和2000多元。

安全专家还发现，ONION勒索病毒还会与挖矿机（运算生成虚拟货币）、远控木马组团传播，形成一个集合挖矿、远控、勒索多种恶意行为的木马病毒“大礼包”，专门选择高性能服务器挖矿牟利，对普通电脑则会加密文件敲诈钱财，最大化地压榨受害机器的经济价值。

没有关闭的445端口“引狼入室”据360企业安全方面5月13日早晨提供的一份公告显示，由于以前国内多次爆发利用445端口传播的蠕虫，部分运营商在主干网络上封禁了445端口，但是教育网及大量企业内网并没有此限制而且并未及时安装补丁，仍然存在大量暴露445端口且存在漏洞的电脑，导致目前蠕虫的泛滥。

因此，该安全事件被多家安全机构风险定级为“危急”。

永恒之蓝勒索病毒如何防范？

我了解到，国内首先出现的是ONION病毒，平均每小时攻击约200次，夜间高峰期达到每小时1000多次；WNCRY勒索病毒则是5月12日下午新出现的全球性攻击，并在中国的校园网迅速扩散，夜间高峰期每小时攻击约4000次。

目前大型企业、高校、政府网络安全管理方面可以赶快测定是否受到了影响：

扫描内网，发现所有开放445 SMB服务端口的终端和服务器，对于Win7及以上版本的系统确认是否安装了MS07-010补丁，如没有安装则受威胁影响。Win7以下的Windows XP/2003目前没有补丁，只要开启SMB服务就受影响。

个人可自行判定电脑是否打开了445端口。

不过目前90%未关闭的445端口集中在中国台湾和香港地区，大陆地区虽然占比很少，但基数很大。虽然，在2008年遭受类似的蠕虫攻击后，运营商已经封闭了大多数445端口，但是很多类似于教育网、大型企业内网等相对独立的网络没有自动关闭445端口，所以影响范围很大。

该攻击已经肆虐到了全世界上百个国家和地区，这种大规模的勒索攻击十分罕见，多家安全公司都进行了紧急处理，在今晨5、6点左右开始对外发布紧急通知。

最恐怖的一点在于，对装载Win7及以上版本的 *** 作系统的电脑而言，目前微软已发布补丁MS17-010修复了“永恒之蓝”攻击的系统漏洞，可以立即电脑安装此补丁。汪列军说，对个人电脑，可能可以自行学习及装载，但是对于大型组织机构而言，面对成百上千台机器，必须使用集中管理的客户端，尤其如果之前没有做好安全防护措施的大型组织管理机构，处理起来十分棘手。

之前提到，有两个勒索家族出现，汪列军认为，不排除该勒索蠕虫出现了多个变种。

不法分子是将此前公布的“永恒之蓝”攻击程序改装后进行的攻击。汪列军解析，可以理解为该NSA攻击工具内核没变，但是不法分子改变了其“载核”，加上了勒索攻击的一系列调动工具，由于该NSA攻击工具可以被公开下载，不排除可有多个不法分子改装该工具发动勒索袭击。

应急处理办法以下为360企业安全提供给的一份处理办法建议：

网络层面目前利用漏洞进行攻击传播的蠕虫开始泛滥，强烈建议网络管理员在网络边界的防火墙上阻断445端口的访问，如果边界上有IPS和360新一代智慧防火墙之类的设备，请升级设备的检测规则到最新版本并设置相应漏洞攻击的阻断，直到确认网内的电脑已经安装了MS07-010补丁或关闭了Server服务。

终端层面暂时关闭Server服务。

检查系统是否开启Server服务：

1、打开开始按钮，点击运行，输入cmd，点击确定

2、输入命令：netstat -an回车

3、查看结果中是否还有445端口

如果发现445端口开放，需要关闭Server服务，以Win7系统为例， *** 作步骤如下：

点击开始按钮，在搜索框中输入cmd，右键点击菜单上面出现的cmd图标，选择以管理员身份运行，在出来的 cmd 窗口中执行“net stop server”命令，会话如下图：

感染处理对于已经感染勒索蠕虫的机器建议隔离处置。

根治方法对于Win7及以上版本的 *** 作系统，目前微软已发布补丁MS17-010修复了“永恒之蓝”攻击的系统漏洞，请立即电脑安装此补丁。出于基于权限最小化的安全实践，建议用户关闭并非必需使用的Server服务， *** 作方法见应急处置方法节。

对于Windows XP、2003等微软已不再提供安全更新的机器，推荐使用360“NSA武器库免疫工具”检测系统是否存在漏洞，并关闭受到漏洞影响的端口，以避免遭到勒索蠕虫病毒的侵害。这些老 *** 作系统的机器建议加入淘汰替换队列，尽快进行升级。

恢复阶段建议针对重要业务系统立即进行数据备份，针对重要业务终端进行系统镜像，制作足够的系统恢复盘或者设备进行替换。

1、在安全的电脑上下载工具，NSA TOOL工具和文档卫士，百度搜索即可找到官方下载网址。

2、通过U盘将下载好的安装包复制到中病毒的电脑上，此时请先断开电脑网络，关闭无线，拔掉网线。

3、双击nastoolexe文件，确定使用，软件自动运行自解压程序，几秒钟即可解压完成，自动运行工具包。

4、查杀完毕后，安装文档卫士，文档卫士自动运行，软件会在每次打开文档时进行备份，开机会提示备份情况。

勒索病毒，是一种新型电脑病毒，主要以邮件、程序木马、网页挂马的形式进行传播。该病毒性质恶劣、危害极大，一旦感染将给用户带来无法估量的损失。这种病毒利用各种加密算法对文件进行加密，被感染者一般无法解密，必须拿到解密的私钥才有可能破解。

传播途径：

勒索病毒文件一旦进入本地，就会自动运行，同时删除勒索软件样本，以躲避查杀和分析。接下来，勒索病毒利用本地的互联网访问权限连接至黑客的C&C服务器，进而上传本机信息并下载加密私钥与公钥，利用私钥和公钥对文件进行加密。除了病毒开发者本人，其他人是几乎不可能解密。加密完成后，还会修改壁纸，在桌面等明显位置生成勒索提示文件，指导用户去缴纳赎金。且变种类型非常快，对常规的杀毒软件都具有免疫性。攻击的样本以exe、js、wsf、vbe等类型为主，对常规依靠特征检测的安全产品是一个极大的挑战。

防范计算机病毒的方法：

a、建立病毒防治的规章制度，严格管理。

b、建立病毒防治和应急体系。

c、进行计算机安全教育，提高安全防范意识。

d、对系统进行风险评估。

e、选择公安部认证的病毒防治产品。

f、正确配置，使用病毒防治产品。

g、正确配置系统，减少病毒侵害事件。

h、定期检查敏感文件。

i、适时进行安全评估，调整各种病毒防治策略。

j、建立病毒事故分析制度。

k、确保恢复，减少损失。

扩展资料

计算机病毒发作后的表现：

(1)系统无法启动，数据丢失。计算机病毒破坏了硬盘的引导扇区后，就无法从硬盘启动计算机系统了。有些计算机病毒篡改了硬盘的关键内容(如硬盘分配表、根目录区等)，使得原先保存在硬盘上的数据几乎完全丢失。

(2)部分文档丢失或者破坏。类似系统文件的丢失或者被破坏，有些计算机病毒在发作时会删除或破坏硬盘上的文档，造成数据的丢失。

(3)部分文档自动加密码。还有些计算机病毒利用加密算法，将加密密钥保存在计算机病毒程序体内或其他隐蔽的地方，而被感染的文件将被加密。

一、历史备份还原

如果已经对系统或者文件进行了备份，那么将不会再担忧和烦恼了。可以直接从云盘、硬盘或其他灾备系统中，恢复被加密的文件。值得注意的是，在文件恢复之前，第一要隔离中招主机，还要确保系统中的病毒已被清除，已经对磁盘进行格式化或者是重装了系统，以免插上移动硬盘的瞬间，或是网盘下载文件到本地后，备份文件也被加密。

事先进行备份，既是最有效也是成本最低的恢复文件和系统的方式。

二、解密工具恢复

绝大多数勒索病毒使用的加密算法都是国际公认的标准算法，这种加密方式的特点是，只要加密密钥足够长，普通电脑可能需要数十万年才能够破解，破解成本是极高的。通常情况，如果不支付赎金是无法解密恢复文件的。

但是，对于以下三种情况，可以通过互联网上的解密工具恢复感染文件。

1）勒索病毒的设计编码存在漏洞或并未正确实现加密算法。

2）勒索病毒的制造者主动发布了密钥或主密钥。

3）执法机构查获带有密钥的服务器，并进行了分享。

需要注意的是：使用解密工具之前，务必要备份加密的文件，防止解密不成功导致无法恢复数据。

三、专业人员代付

勒索病毒的赎金一般为比特币或者其他数字货币，数字货币的购买和支付对一般用户来说具有一定的难度和风险。具体主要体现在：

1）统计显示，95%以上的勒索病毒攻击者来自境外，由于语言不通，容易在沟通上产生误解，影响文件的解密。

2）数字货币交付需要在特定的交易平台下进行，不熟悉数字货币交易时，容易人才两空。

所以，即使支付赎金可以解密，也不建议自行支付赎金。建议联系专业的数据恢复公司进行处理，以保证数据能成功安全的恢复。

以上就是关于勒索病毒是怎么传播 勒索病毒怎么回事介绍全部的内容，包括:勒索病毒是怎么传播 勒索病毒怎么回事介绍、永恒之蓝病毒是什么 如何防范永恒之蓝病毒、中了勒索病毒怎么办等相关内容解答，如果想了解更多相关内容，可以关注我们，你们的支持是我们更新的动力！