近日，一則勒索病毒出變種新聞引關(guān)注。如今網(wǎng)絡(luò)黑客商業(yè)化已經(jīng)非常成熟了，造槍（制造）、賣槍（販賣）、拿箱子（購(gòu)買(mǎi)實(shí)施者）、掛馬（傳播）、分銷、變現(xiàn)，“一條龍”下環(huán)環(huán)相扣，每天在全球黑產(chǎn)網(wǎng)絡(luò)中流轉(zhuǎn)的交易額數(shù)以億元計(jì)算。

國(guó)內(nèi)遭勒索病毒襲擊的重災(zāi)區(qū)是校園網(wǎng)，相比之下，英國(guó)遭到攻擊的醫(yī)院已經(jīng)陷入了一片混亂。據(jù)英國(guó)鏡報(bào)等報(bào)道，受病毒影響的40家醫(yī)院所有IT系統(tǒng)、電話系統(tǒng)、患者管理系統(tǒng)等目前通通暫停。這意味著所有系統(tǒng)都處于離線狀態(tài)，醫(yī)院根本無(wú)法接聽(tīng)來(lái)電。候診的急癥病人會(huì)根據(jù)醫(yī)生的安排，轉(zhuǎn)移到其他地方，且至少一家醫(yī)院被迫關(guān)閉。　　

報(bào)道稱，目前已經(jīng)發(fā)生了超過(guò)45000次攻擊，主要發(fā)生在俄羅斯，已經(jīng)至少有10筆每筆額度300美元左右的贖金被打到黑客提供的比特幣賬戶。　　

360安全中心分析，此次校園網(wǎng)勒索病毒是由NSA泄漏的“永恒之藍(lán)”黑客武器傳播的。“永恒之藍(lán)”可遠(yuǎn)程攻擊Windows的445端口(文件共享)，如果系統(tǒng)沒(méi)有安裝今年3月的微軟補(bǔ)丁，無(wú)需用戶任何操作，只要開(kāi)機(jī)上網(wǎng)，不法分子就能在電腦和服務(wù)器中植入勒索軟件、遠(yuǎn)程控制木馬、虛擬貨幣挖礦機(jī)等惡意程序。　

由于國(guó)內(nèi)曾多次出現(xiàn)利用445端口傳播的蠕蟲(chóng)病毒，部分運(yùn)營(yíng)商對(duì)個(gè)人用戶封掉了445端口。但是教育網(wǎng)并無(wú)此限制，存在大量暴露著445端口的機(jī)器，因此成為不法分子使用NSA黑客武器攻擊的重災(zāi)區(qū)。

360針對(duì)校園網(wǎng)勒索病毒事件的監(jiān)測(cè)數(shù)據(jù)顯示，國(guó)內(nèi)首先出現(xiàn)的是ONION病毒，平均每小時(shí)攻擊約200次，夜間高峰期達(dá)到每小時(shí)1000多次;WNCRY勒索病毒則是5月12日下午新出現(xiàn)的全球性攻擊，并在中國(guó)的校園網(wǎng)迅速擴(kuò)散，夜間高峰期每小時(shí)攻擊約4000次。　　

至此，幕后開(kāi)發(fā)者還未找到，攻擊還在持續(xù)中......

勒索病毒是怎么傳播的？

該類型病毒的目標(biāo)性強(qiáng)，主要以郵件為傳播方式。

勒索病毒文件一旦被用戶點(diǎn)擊打開(kāi)，會(huì)利用連接至黑客的C&C服務(wù)器，進(jìn)而上傳本機(jī)信息并下載加密公鑰和私鑰。然后，將加密公鑰私鑰寫(xiě)入到注冊(cè)表中，遍歷本地所 有磁盤(pán)中的Office 文檔、圖片等文件，對(duì)這些文件進(jìn)行格式篡改和加密;加密完成后，還會(huì)在桌面等明顯位置生成勒索提示文件，指導(dǎo)用戶去繳納贖金。

勒索病毒文件一旦進(jìn)入本地，就會(huì)自動(dòng)運(yùn)行，同時(shí)刪除勒索軟件樣本，以躲避查殺和分析。接下來(lái)，勒索病毒利用本地的互聯(lián)網(wǎng)訪問(wèn)權(quán)限連接至黑客的C&C服務(wù)器，進(jìn)而上傳本機(jī)信息并下載加密私鑰與公鑰，利用私鑰和公鑰對(duì)文件進(jìn)行加密。除了病毒開(kāi)發(fā)者本人，其他人是幾乎不可能解密。加密完成后，還會(huì)修改壁紙，在桌面等明顯位置生成勒索提示文件，指導(dǎo)用戶去繳納贖金。且變種類型非常快，對(duì)常規(guī)的殺毒軟件都具有免疫性。攻擊的樣本以exe、js、wsf、vbe等類型為主，對(duì)常規(guī)依靠特征檢測(cè)的安全產(chǎn)品是一個(gè)極大的挑戰(zhàn)。

勒索病毒一般會(huì)攻擊任何人，但一部分針對(duì)企業(yè)用戶(如xtbl，wallet)，一部分針對(duì)所有用戶。