勒索病毒袭击百国 “想哭”病毒已经有三种变形

勒索病毒席卷全球？据了解，目前该软件攻击了数百个国家。这个只有3.3M长的小病毒，已经占领了全球绝大部分的WIN7电脑。自病毒爆发以来，已有150多个国家被感染，是世界网络世界的“生化危机”。那么，这个赎金的力量是什么呢？以及如何预防？

比特币交易软件

学名:WannaCry

时间:2017年5月12日

方法:自我复制，主动传播和文件加密

WannaCry首先在英国爆发。先是英国很多医院被招进来，然后几个小时就传遍了全世界。欧洲刑警组织总干事罗布·韦恩·赖特表示，截至15日，WannaCry已在至少150个国家引发了网络攻击，影响了金融、能源和医疗保健等许多行业，并引发了严重的危机管理问题。

消息称，这款恶意软件以蠕虫般的方式传播，扫描电脑上的TCP445端口，攻击主机并对主机上存储的文件进行加密，然后以比特币的形式要求支付赎金，赎金金额从300美元到600美元不等。

灾难开始24小时后有所好转。5月13日晚，一个22岁的英国程序员哥哥似乎找到了一个错误破解游戏的方法。他意外发现了WannaCry的“Kill Switch”域名，阻止了病毒的大规模传播。

然而，好消息并没有持续很久。5月14日，WannaCry ransomware出现了一个变种——wanna cry 2.0。与之前的版本不同，这个变种取消了Kill Switch，不能通过注册一个域名来关闭变种病毒的传播，这个变种的传播速度会更快。

比特币交易软件

很多网络安全公司已经确定该病毒源自美国国家安全局的病毒库。

美国总统国土安全和反恐事务助理托马斯·博塞特15日表示，12日开始的勒索软件网络攻击已收到近7万美元的赎金。与此同时，美国情报机构因囤积操作系统安全漏洞而受到批评。

收到近7万美元赎金，未追回任何数据

Bossert在白宫新闻发布会上表示，ransomware已经感染了150个国家的30多万台电脑，但好消息是“周末期间感染率有所放缓”。虽然网络攻击似乎旨在勒索金钱，但支付的赎金总额可能不到7万美元，而且据美国所知，支付的赎金没有导致任何数据恢复。

Bossert表示，在此次事件中，美国国土安全部部长约翰·凯利领导的团队每天发布两次情况报告，并与相关专家和运营中心举行了几次电话会议。到目前为止，还没有联邦系统被感染。总的来说，美国的感染率低于世界上许多其他国家。

病毒的传播

Bossert指出，目前这个ransomware有三个变种，但是所有的病毒变种都可以通过修补操作系统来防止。

解密工具指日可待？

欧洲刑警组织正在继续努力寻找敲诈袭击背后的黑客。一些网络安全专家指出，攻击的范围如此之大，以至于背后可能有不止一名黑客。

上周末，微软破例为Windows XP等已停止安全更新服务的旧操作系统提供紧急补丁。

俄罗斯软件制造商卡巴斯基表示，该公司正在努力开发能够解锁“想哭”的加密文件并尽快发布的工具。

付费解锁文件

韩国至少有12家企业受到影响。为了应对“网络攻击”，韩国陆军将情报作战防御系统的“INFORCON”级别从4级提升到3级。韩国国防部和联合参谋总部表示，尚未发现蠕虫感染。韩说，他已经向官兵、军官和公务员通报了预防措施。一些部队还限制网络的使用，以防止蠕虫入侵。

恶意软件，或与拉扎勒斯黑客组织有关

在这次网络攻击中，犯罪分子利用今年早些时候泄露的国家安全局网络武库中的黑客工具制造了恶意软件。

当被要求对此发表评论时，Bossert认为，勒索软件不是由美国国家安全局开发的，而是由犯罪团伙开发的，要么是罪犯，要么是外国政府。他们通过电子邮件“钓鱼”的方式集成相关工具来创建“感染、加密和锁定”。

Bossert没有回答美国情报机构泄露的黑客工具是否会导致未来更多的网络攻击。

当天晚些时候，俄罗斯的网络安全公司卡巴斯基实验室和美国的赛门铁克公司表示，该软件可能与一个名为“拉扎勒斯”的黑客组织有关。

黑客组织

“相当于美国战斧导弹被盗”

“以常规武器为类比，这一事件相当于美军战斧巡航导弹被盗...微软公司总裁首席法律官史密斯说。

据报道，这种WannaCry攻击是通过微软系统中的MS17-010漏洞传播的。MS17-010最初归国家安全局所有，并用于开发网络武器。不久前，这个秘密被黑客泄露了。在美国国家安全局泄露的文件中，WannaCry的攻击代码被称为“永恒的蓝色”，因此许多媒体报道称该攻击被称为“永恒的蓝色”。

史密斯抨击美国政府，要求当局停止这种秘密隐藏安全漏洞以备后用的做法。他呼吁有关部门在发现漏洞后及时通知软件制作者，不要私自出售、收藏和使用，更不要让其流入别有用心的人手中。

勒索病毒

美国总统特朗普的国土安全顾问汤姆·博斯特否认了这一点。他说:“这种利用数据进行勒索的工具不是美国国家安全局开发的。”他说，该工具由犯罪分子开发，嵌入文件，通过网络钓鱼电子邮件传播，并造成感染、加密和锁定。

国家安全局因囤积安全漏洞而受到谴责

前一天，美国微软公司总裁首席法律官布拉德·史密斯发表博文，谴责美国政府部门囤积操作系统安全漏洞，认为这起事件相当于盗窃美军战斧巡航导弹。

前白宫反恐协调员理查德·克拉克15日在一篇文章中透露，2013年，他建议美国情报机构应立即将发现的安全漏洞告知软件公司。"奥巴马政府接受了这一政策建议，但显然在实施过程中存在问题."。

美国公民自由联盟在一份声明中批评国家安全局囤积安全漏洞“非常令人不安”。声明称:“国会本应通过一项加强网络安全的法律，要求政府及时向公司披露漏洞。”“立即修补安全漏洞，而不是囤积它们，是让每个人的数字生活更加安全的最佳方式。”

打开防火墙

微软提供了操作系统补丁

及时更新系统，安装安全补丁。

俄罗斯卡巴斯基实验室15日接受新华社采访时表示，及时下载定期补丁，确保最新升级的防护软件完全启用，可以防止名为“想哭”的ransomware入侵电脑。但是如果电脑已经感染了这种病毒，只能重新安装系统继续使用电脑，被绑架的文件就会丢失。

卡巴斯基的专家指出，ransomware使用的加密算法非常严格，目前已知的解密方法无效。用户永远不要使用在各种网站上传播或通过电子邮件主动提供的工具和程序来解密它们。轻率下载的解密程序，可能对中毒的电脑和与之连接的电脑有潜在的危害，甚至加速ransomware的传播。

想哭病毒突变

卡巴斯基认为，人们应该尽快下载微软提供的“Windows”操作系统补丁，修复MS17-010漏洞，为计算机安装技术可靠的安全监控软件，并升级到最新版本，特别是让软件的系统扫描功能自动工作，以降低ransomware入侵计算机的风险。各单位网络管理员还需要使用各种网络保护方案，以确保本单位内部网络中的所有网络节点都处于严密的监控之下。监控软件一旦发现恶意程序渗入电脑，只能立即切断被感染电脑与互联网和公司内网的连接，备份未被恶意加密的文件，然后重新安装电脑系统。

目前，包括卡巴斯基在内的网络安全公司正在开发更有效的技术手段来抵御ransomware，解密恶意加密的文件。一旦研发成功，信息就会及时发布。