最近幾天很多人遭受了名為WannaCry（想哭，又叫Wanna Decryptor）勒索病毒的攻擊，一種“蠕蟲式”的勒索病毒軟件，該病毒會(huì)鎖定并加密電腦各種文件，用戶打開會(huì)彈出索要比特幣的彈窗，勒索金額300-600美元，部分用戶支付贖金后也沒有解密，搞得人心惶惶，而且勒索病毒又出現(xiàn)了變種升級(jí)版本，那么勒索病毒攻擊原理是什么呢？這邊 小編跟大家介紹比特幣病毒原理。

WannaCry勒索病毒由不法分子利用NSA（National Security Agency，美國(guó)國(guó)家安全局）泄露的危險(xiǎn)漏洞“EternalBlue”（永恒之藍(lán)）進(jìn)行傳播，勒索病毒主要攻擊沒有更新到最新版本的windows系統(tǒng)設(shè)備，比如xp、vista、win7、win8等。

該惡意軟件會(huì)掃描電腦上的TCP 445端口(Server Message Block/SMB)，以類似于蠕蟲病毒的方式傳播，攻擊主機(jī)并加密主機(jī)上存儲(chǔ)的文件，然后要求以比特幣的形式支付贖金。勒索金額為300至600美元。

當(dāng)用戶主機(jī)系統(tǒng)被該勒索軟件入侵后，彈出勒索對(duì)話框，提示勒索目的并向用戶索要比特幣。而對(duì)于用戶主機(jī)上的重要文件，如：照片、圖片、文檔、壓縮包、音頻、視頻、可執(zhí)行程序等幾乎所有類型的文件，都被加密的文件后綴名被統(tǒng)一修改為“.WNCRY”。目前，安全業(yè)界暫未能有效破除該勒索軟的惡意加密行為，用戶主機(jī)一旦被勒索軟件滲透，只能通過重裝操作系統(tǒng)的方式來解除勒索行為，但用戶重要數(shù)據(jù)文件不能直接恢復(fù)。

WannaCry主要利用了微軟“視窗”系統(tǒng)的漏洞，以獲得自動(dòng)傳播的能力，能夠在數(shù)小時(shí)內(nèi)感染一個(gè)系統(tǒng)內(nèi)的全部電腦。勒索病毒被漏洞遠(yuǎn)程執(zhí)行后，會(huì)從資源文件夾下釋放一個(gè)壓縮包，此壓縮包會(huì)在內(nèi)存中通過密碼：[email protected]解密并釋放文件。這些文件包含了后續(xù)彈出勒索框的exe，桌面背景圖片的bmp，包含各國(guó)語言的勒索字體，還有輔助攻擊的兩個(gè)exe文件。這些文件會(huì)釋放到了本地目錄，并設(shè)置為隱藏。（注釋：“永恒之藍(lán)”是NSA泄露的漏洞利用工具的名稱，并不是該病毒的名稱。永恒之藍(lán)”是指NSA泄露的危險(xiǎn)漏洞“EternalBlue”，此次的勒索病毒W(wǎng)annaCry是利用該漏洞進(jìn)行傳播的，當(dāng)然還可能有其他病毒也通過“永恒之藍(lán)”這個(gè)漏洞傳播，因此給系統(tǒng)打補(bǔ)丁是必須的。）

2017年5月12日，WannaCry蠕蟲通過MS17-010漏洞在全球范圍大爆發(fā)，感染了大量的計(jì)算機(jī)，該蠕蟲感染計(jì)算機(jī)后會(huì)向計(jì)算機(jī)中植入敲詐者病毒，導(dǎo)致電腦大量文件被加密。受害者電腦被黑客鎖定后，病毒會(huì)提示支付價(jià)值相當(dāng)于300美元（約合人民幣2069元）的比特幣才可解鎖。

2017年5月13日晚間，由一名英國(guó)研究員于無意間發(fā)現(xiàn)的WannaCry隱藏開關(guān)（Kill Switch）域名，意外的遏制了病毒的進(jìn)一步大規(guī)模擴(kuò)散，研究人員分析此次Wannacrypt勒索軟件時(shí)，發(fā)現(xiàn)它并沒有對(duì)原文件進(jìn)行這樣的 “深度處理”，而是直接刪除。這看來算是一個(gè)比較低級(jí)的 “失策”，而360此次正是利用了勒索者的 “失策”，實(shí)現(xiàn)了部分文件恢復(fù)。

2017年5月14日，監(jiān)測(cè)發(fā)現(xiàn)，WannaCry 勒索病毒出現(xiàn)了變種：WannaCry 2.0， 與之前版本的不同是，這個(gè)變種取消了Kill Switch，不能通過注冊(cè)某個(gè)域名來關(guān)閉變種勒索病毒的傳播，該變種傳播速度可能會(huì)更快。請(qǐng)廣大網(wǎng)民盡快升級(jí)安裝Windows操作系統(tǒng)相關(guān)補(bǔ)丁，已感染病毒機(jī)器請(qǐng)立即斷網(wǎng)，避免進(jìn)一步傳播感染。

二、勒索病毒攻擊類型
常用的Office文件（擴(kuò)展名為.ppt、.doc、.docx、.xlsx、.sxi）
并不常用，但是某些特定國(guó)家使用的html' target='_blank'>office文件格式（.sxw、.odt、.hwp）
壓縮文檔和媒體文件（.zip、.rar、.tar、.mp4、.mkv）
電子郵件和郵件數(shù)據(jù)庫(kù)（.eml、.msg、.ost、.pst、.deb）
數(shù)據(jù)庫(kù)文件（.sql、.accdb、.mdb、.dbf、.odb、.myd）
開發(fā)者使用的源代碼和項(xiàng)目文件（.php、.java、.cpp、.pas、.asm）
密匙和證書（.key、.pfx、.pem、.p12、.csr、.gpg、.aes）
美術(shù)設(shè)計(jì)人員、藝術(shù)家和攝影師使用的文件（.vsd、.odg、.raw、.nef、.svg、.psd）
虛擬機(jī)文件（.vmx、.vmdk、.vdi）

三、勒索病毒應(yīng)對(duì)方法
如何預(yù)防Windows勒索病毒？防止感染ONION、WNCRY勒索病毒補(bǔ)丁下載
開機(jī)怎么防止被勒索病毒感染?360預(yù)防勒索病毒開機(jī)指南
Win7快速關(guān)閉135,137,138,139,445端口預(yù)防比特幣勒索病毒的方法
電腦感染勒索病毒后通過DiskGenius恢復(fù)數(shù)據(jù)的方法

沒有及時(shí)更新補(bǔ)丁的Windows設(shè)備極其容易遭受勒索病毒的攻擊，所以為了防止電腦中招，大家務(wù)必做好必要的更新和預(yù)防工作。

鄭重聲明：本文版權(quán)歸原作者所有，轉(zhuǎn)載文章僅為傳播更多信息之目的，如作者信息標(biāo)記有誤，請(qǐng)第一時(shí)間聯(lián)系我們修改或刪除，多謝。