比特币病毒文件修复

1

勒索病毒简报

1.“勒索病毒”到底是什么

根据报道，5月12日，全球突发比特币病毒疯狂袭击公共和商业系

统事件！英国各地超过40家医院遭到大范围网络黑客攻击，国家医

疗服务系统（NHS）陷入一片混乱。中国多个高校校园网也集体沦陷。

全球有接近74个国家受到严重攻击！

报道指出所谓“勒索病毒软件”，是黑客用来攻击用户计算机，对计

算机内部的信息、资源进行加密，并以解密为交换条件对用户进行钱

财勒索的恶意软件。它收取的赎金一般以“比特币”支付，目的在于

隐蔽黑客身份。据了解，按照“汇率”，1比特币约等于582美元。

根据统计，在美国国内，单单2016年，“勒索软件”攻击发生的频

率就激增了300%，几乎每天都有4000件此类勒索案件发生，其危害

程度绝对不容忽视。如今，“勒索软件”更将魔爪伸向移动设备，包

括手机。它的阴影笼罩着人们普通生活、工作涉及到的一切。

由于利用“勒索软件”攻击发生在缺乏完善监控的网络空间，对于案

件的侦破有一定的难度，因此专家建议，针对勒索软件最好的防卫措

施便是预防，并建议用户应采用“垃圾邮件过滤”、“防火墙”、杀

毒软件、备份数据等方法来进行预防。如果计算机不幸被感染，应该

尽快将切断任何网络及关机。

2.专家揭"勒索病毒"真面目今日或再迎病毒传染高峰是怎么回事

12号，全球近百个国家和地区遭受到一种勒索软件的攻击，有网络

2

安全公司表示，目前全球至少发生了约7万5千起此类网络攻击事件。

事件发生后，受波及的多国采取应对措施，欧洲刑警组织也对“幕后

黑手”展开调查。13号，欧洲刑警组织在其官网上发布消息称，欧

洲刑警组织已经成立网络安全专家小组，对发动本轮网络攻击的“幕

后黑手”展开调查。

此外，欧洲刑警组织还开始与受影响国家的相关机构展开紧密合作，

共同应对网络攻击威胁，并向受害者提供帮助。据报道，电脑被这种

勒索软件感染后，其中文件会被加密锁住，支付攻击者所要求的赎金

后才能解密恢复。

网络安全专家说，这种勒索软件利用了“视窗”操作系统的一个名为

“永恒之蓝”的漏洞。微软发布相关漏洞补丁美国微软公司12号宣

布针对攻击所利用的“视窗”操作系统漏洞，为一些它已停止服务的

“视窗”平台提供补丁。

英全民医疗体系电脑系统恢复正常在本轮网络攻击中，英国NHS，也

就是全民医疗体系旗下多家医疗机构的电脑系统瘫痪。目前，除了其

中6家外，其余约97%已经恢复正常。

英国首相特雷莎·梅13号发表讲话，称英国国家网络安全中心正在

与所有受攻击的机构合作调查。事实上，这次大规模的网络攻击并不

仅限于英国。

当地时间12号，俄罗斯内政部表示，内政部约1000台电脑遭黑客攻

击，但电脑系统中的信息并未遭到泄露。同样遭到攻击的美国联邦快

递集团表示，部分使用Windows操作系统的电脑遭到了攻击，目前正

3

在尽快补救。

西班牙国家情报中心也证实，西班牙多家公司遭受了大规模的网络黑

客攻击。电信业巨头西班牙电信总部的多台电脑陷入瘫痪。

研究人员：全球损失不可估量美国著名软件公司赛门铁克公司研究人

员13号预计，此次网络攻击事件，全球损失不可估量。赛门铁克公

司研究人员表示，修复漏洞中最昂贵的部分是清空每台受攻击的电脑

或服务器的恶意软件，并将数据重新加密。

单单此项内容就将花费高达数千万美元。据路透社报道，软件公司关

于修复漏洞的高额损失并没有包含受影响的企业所遭受的损失。

我国相关部门采取防范措施由于这个勒索蠕虫病毒的发展速度迅猛，

不仅在世界范围内造成了极大的危害，对我国的很多行业网络也造成

极大影响，目前已知遭受攻击的行业包括教育、石油、交通、公安等，

针对这个情况，公安部网安局正在协调我国各家网络信息安全企业对

这个勒索蠕虫病毒进行预防和查杀。据公安部网安局专家介绍，虽然

目前国内部分网络运营商已经采取了防范措施，但是在一些行业内网

中依然存在大量漏洞，并成为攻击目标，而一旦这些行业内部的关键

服务器系统遭到攻击，从而将会带来很严重的损失。

公安部网络安全保卫局总工程师郭启全：因为它是在互联网上传播，

互联网是连通的，所以它是全球性的。有些部门的内网本来是和外网

是逻辑隔离或者是物理隔离的，但是现在有些行业有些非法外联，或

者是有些人不注意用U盘又插内网又插外网，因此很容易把病毒带到

内网当中。

4

据记者了解，这个勒索蠕虫病毒会在局域网内进行主动攻击，病毒会

通过文件共享端口进行蠕虫式感染传播，而没有修补系统漏洞的局域

网用户就会被病毒感染。公安部网络安全保卫局总工程师郭启全：现

在我们及时监测病毒的传播、变种情况，然后还是要及时监测发现，

及时通报预警，及时处置。

这几天，全国公安机关和其他部门和专家密切配合，特别是一些信息

安全企业的专家，尽快支持我们重要行业部门，去快速处置，快速升

级，打补丁，另外公安机关还在开展侦查和调查。勒索蠕虫病毒真面

目如何？5月12日开始散播勒索蠕虫病毒，从发现到大面积传播，

仅仅用了几个小时，其中高校成为了重灾区。

那么，这款病毒是一个什么样的病毒，如何传播，何以造成如此严重

的后果呢？这款勒索蠕虫病毒是针对微软的永恒之蓝的漏洞进行传

播和攻击的。一旦电脑感染该病毒，被感染电脑会主动对局域网内的

其他电脑进行随机攻击，局域网内没有修补漏洞的电脑理论上将无一

幸免的感染该病毒。

而该漏洞微软在今年3月份已经发布补丁，对漏洞进行了修复。网络

安全专家孙晓骏：这个病毒利用了一个漏洞，但是我们用户没有打补

丁的习惯，没有及时修复这次漏洞，这个病毒样本通过漏洞攻击了非

常多的电脑。

根据网络安全公司数据统计，截止5月13日晚8点，我国共有39730

家机构被感染，其中教育科研机构有4341家，高校成为了这次蠕虫

病毒的重灾区。网络安全专家孙晓骏：这次病毒利用了445的一个重

5

要的端口。

校园网因为ip直连的情况，导致没有一个nat和防火墙来阻断对445

端口的访问所以在校园网没有打补丁的机器就直接暴露在病毒之下

了。因为电脑蠕虫病毒有主动攻击的特性，所以每一次蠕虫病毒的传

播范围都很广。

然而在5月12号爆发的蠕虫病毒与以往不同，它入侵电脑后会加密

电脑中图片、文档、视频、压缩包等各类资料，并跳出弹窗，被告之

只有交了赎金，才能解密电脑中被加密的资料。被感染蠕虫病毒后，

不到十秒，电脑里的所有用户文件全部被加密无法打开。

网络安全专家介绍，用户电脑一旦被感染这种勒索病毒，被加。

3.全新勒索病毒爆发,怎么预防和补救

当人们渐渐忘记了前段时间“想哭”病毒事件带给大家的不快的时

候，一种全新的勒索病毒又突然袭来！其实安全威胁永远不会消失，

而且经常会更加凶猛。据外媒报道，欧洲多国突然遭到一种未知新病

毒的冲击，和勒索病毒很像，都是远程锁定设备，然后索要价值300

美元的比特币作为赎金。

据UC头条报道，全新勒索病毒爆发多国已有受害者被病毒攻击并支

付赎金

英国、乌克兰、俄罗斯、丹麦等地都已经爆发这种新病毒，包括总部

位于伦敦的全球最大广告公司WPP、俄罗斯石油公司Rosneft、丹麦

航运巨头APMoller-Maersk等都中了毒。

全新勒索病毒爆发多国已有受害者被病毒攻击并支付赎金

6

其中，乌克兰的情况最严重，大量商业银行、私人公司、电信运营商、

政府部门系统、首都基辅鲍里斯波尔国际机场都受到了攻击，甚至乌

克兰副总理罗岑科·帕夫洛也中招了，他还曝光了政府电脑被攻击后

混乱的现场。甚至，乌克兰的ATM机也被拖下了水。可见这次的全新

勒索病毒确实比“想哭”还让人更加想哭。

据悉，这种新病毒被命名为Petrwrap或者Petya，而Avira、赛门铁

克、金山毒霸、腾讯电脑管家等安全机构已经确认，新病毒和此前感

染了150多个国家地区23多万台电脑的WannaCry一样，也是通过永

恒之蓝漏洞传播，所以系统一定要打好补丁、关闭445端口。监测表

明，目前已经有至少9位受害者支付了赎金。

4.全新勒索病毒是什么

全新勒索病毒是叫Petya勒索病毒。据外媒报道，与Wannacry勒索

病毒技术同源的Petya勒索病毒变种本周二在全球爆发，包括英国、

乌克兰、波兰、意大利、丹麦、俄罗斯、美国等多家大型企业报告遭

受病毒袭击，其中重灾区乌克兰的政府、国有银行、交通、能源等关

键基础设施和部门遭受袭击，甚至乌克兰总理的电脑都遭受攻击。

与5月爆发的Wannacry相比，Petya勒索病毒变种的传播速度更快。

它不仅使用了NSA“永恒之蓝”等黑客武器攻击系统漏洞，还会利用

“管理员共享”功能在内网自动渗透。

据悉，Petya勒索病毒最早出现在2016年初，以前主要利用电子邮

件传播，最新爆发的类似Petya的病毒变种则具备了全自动化的攻击

能力。该病毒会加密磁盘主引导记录（MBR），导致系统被锁死无法正

7

常启动，然后在电脑屏幕上显示勒索提示。如果未能成功破坏MBR，

病毒会进一步加密文档、视频等磁盘文件。

与WannaCry类似，解锁Petya病毒也需要支付加密的数字货币。据

悉，这种病毒锁住电脑后，要求用户支付300美元的加密数字货币才

能解锁。根据比特币交易市场的公开数据显示，病毒爆发最初一小时

就有10笔赎金付款，其“吸金”速度完全超越了Wannacry。但最新

消息显示，由于病毒作者的勒索邮箱已经被封，现在交赎金也无法恢

复系统。

5.必加勒索新变种病毒已经再次爆发

据报道，在6月27日晚间，大规模勒索蠕虫病毒攻击重新席卷全球，

某网站公布的数据显示，名为”Petya”的勒索病毒变种又开始肆虐，

乌克兰、俄罗斯等欧洲多国已大面积感染。

报道称根据某网站的数据显示，在欧洲国家重灾区，新病毒变种的传

播速度达到每10分钟感染5000余台电脑，多家运营商、石油公司、

零售商、机场、ATM机等企业和公共设施已大量沦陷，甚至乌克兰副

总理的电脑也遭到感染。根据比特币交易市场的公开数据显示，病毒

爆发最初一小时就有10笔赎金付款。

网络安全人士表示，与5月爆发的Wannacry相比，Petya勒索病毒

变种的传播速度更快。它不仅使用了NSA“永恒之蓝”等黑客武器攻

击系统漏洞，还会利用“管理员共享”功能在内网自动渗透，在欧洲

国家重灾区，新病毒变种的传播速度达到每10分钟感染5000余台电

脑，多家运营商、石油公司、零售商、机场、ATM机等企业和公共设

8

施已大量沦陷，甚至乌克兰副总理的电脑也遭到感染。

互联网安全专家认为，面对这种局面，应该认真思考安全基础工作的

是否扎实，立足于尽可能的防患于未然，最大程度将易被攻陷的节点

减到最小。

6.为什么勒索病毒在中国会是大面积在校园扩散

勒索病毒到底是什么？作为中国最大的安全公司，360的工程师已经

在第一时间行动起来。

据360安全中心分析，此次校园网勒索病毒是由NSA泄漏的“永恒之

蓝”黑客武器传播的。“永恒之蓝”可远程攻击Windows的445端口

（文件共享），如果系统没有安装今年3月的微软补丁，无需用户任

何操作，只要开机上网，“永恒之蓝”就能在电脑里执行任意代码，

植入勒索病毒等恶意程序。

也就是说“勒索”软件利用的是微软操作系统的一个漏洞。据悉，这

个漏洞最早是美国国家安全局（NSA）发现的，美国国安局将其命名

为“永恒之蓝”（EternalBlue）。

后来，一个名叫“影子经纪人”的黑客组织从美国国安局的黑客武器

库那里窃取了密码，然后在网上公开售卖牟利。目前，“永恒之蓝”

传播的勒索病毒以ONION和WNCRY两个家族为主，中毒后的表现是：

受害机器的磁盘文件会被篡改为相应的后缀，图片、文档、视频、压

缩包等各类资料都无法正常打开，只有支付赎金才能解密恢复。

这两类勒索病毒，勒索金额分别是5个比特币和300美元，折合人民

币分别为5万多元和2000多元。大家可能还有一个疑惑，为什么在

9

中国会是大面积在校园爆发？有报道说，这次病毒选择攻击校园。

还真不是这么回事。由于国内曾多次出现利用445端口传播的蠕虫病

毒，部分运营商对个人用户封掉了445端口。

但是教育网并无此限制，存在大量暴露着445端口的机器，因此校园

成为此次不法分子使用NSA黑客武器攻击的重灾区。正值高校毕业季，

勒索病毒已造成一些应届毕业生的论文被加密篡改，直接影响到毕业

答辩。

360针对校园网勒索病毒事件的监测数据显示，国内首先出现的是

ONION病毒，平均每小时攻击约200次，夜间高峰期达到每小时1000

多次；WNCRY勒索病毒则是5月12日下午新出现的全球性攻击，并

在中国的校园网迅速扩散，夜间高峰期每小时攻击约4000次。据今

天的信息来看，病毒还在蔓延，高校依然是重灾区。

因此，360提醒广大校园网用户：1近期不要用电脑和手机登录校园

网，谨防被病毒波及。2要及时为计算机安装最新的安全补丁。

3尽快备份自己电脑中的重要文件，在这场大面积病毒攻击中，绝不

能有侥幸心理。预防：不要上不明网站，下载注意点，经常用杀毒软

件杀毒。

7.勒索病毒发生变种全球爆发勒索病毒电脑中毒了怎么办

据美国中文网综合报道，上周开始在全球蔓延的勒索病毒，已影响

150多个国家的20多万人。目前，勒索病毒已经变种成WannaCry2.0

勒索病毒，不受先前“KillSwitch”开关的管制，并对全球发动第二

波攻击。企业、学校、医院里大量没有进行安全更新的电脑，可能将

10

集体中毒。

据悉在5月12日晚间，全球近100个国家的微软系统计算机同时遭

到名为WannaCry（想哭吗）或WannaDecryptor（想解锁吗）的电脑

病毒袭击。感染病毒的计算机想要解除锁定，只能向对方支付所要求

的比特币，否则硬盘将被彻底清空。

最新消息显示，勒索病毒出现了变种：WannaCry2.0，与之前版本不

同的是，这个变种取消了KillSwitch，不能通过注册某个域名来阻

止变种勒索病毒的传播，其传播速度可能会更快。WannaCry勒索病

毒此前发作的时候会向某个域名发出请求，如果该域名存在就会退出，

域名不存在则继续攻击，这个域名就是它的KillSwitch。现在，这

个开关已不存在，意味着病毒会持续发动攻击。

欧洲刑警组织负责人罗布·温赖特（RobWainwright）星期天接受访

问时表示，索病毒的网络攻击至少波及150国，受害人数多达20万

人。

8.全新勒索病毒是什么

全新勒索病毒是叫Petya勒索病毒。

据外媒报道，与Wannacry勒索病毒技术同源的Petya勒索病毒变种

本周二在全球爆发，包括英国、乌克兰、波兰、意大利、丹麦、俄罗

斯、美国等多家大型企业报告遭受病毒袭击，其中重灾区乌克兰的政

府、国有银行、交通、能源等关键基础设施和部门遭受袭击，甚至乌

克兰总理的电脑都遭受攻击。与5月爆发的Wannacry相比，Petya

勒索病毒变种的传播速度更快。

11

它不仅使用了NSA“永恒之蓝”等黑客武器攻击系统漏洞，还会利用

“管理员共享”功能在内网自动渗透。据悉，Petya勒索病毒最早出

现在2016年初，以前主要利用电子邮件传播，最新爆发的类似Petya

的病毒变种则具备了全自动化的攻击能力。

该病毒会加密磁盘主引导记录（MBR），导致系统被锁死无法正常启动，

然后在电脑屏幕上显示勒索提示。如果未能成功破坏MBR，病毒会进

一步加密文档、视频等磁盘文件。

与WannaCry类似，解锁Petya病毒也需要支付加密的数字货币。据

悉，这种病毒锁住电脑后，要求用户支付300美元的加密数字货币才

能解锁。

根据比特币交易市场的公开数据显示，病毒爆发最初一小时就有10

笔赎金付款，其“吸金”速度完全超越了Wannacry。但最新消息显

示，由于病毒作者的勒索邮箱已经被封，现在交赎金也无法恢复系统。