详细说明｜NSA “比特币病毒”勒索蠕虫爆发，启动时勒索发生了什么(附解决方案和预防措施)

本文:网络信息安全专栏作者李勤

5 月 12 日夜里 20 大规模勒索手机软件感染事件在世界各地爆发，用户只要启动手机上网就可以受到攻击。包括英国、俄罗斯、所有欧洲及其在内的五个小时内中国许多高校校园网络、大中型企业内网和政府部门网络系统被勒索支付的巨额保释金(有的需要BTC)可以破译恢复数据，甚至导致课堂教学系统崩溃，包括校园一卡通系统。

“比特币病毒”勒索蠕虫爆发，启动时勒索发生了什么(附解决方案和预防措施)(/uploadfile/leiphone13/4a0b3589be_.jpg)

［起源：中国之音］

据统计，这一事件是犯罪分子在改造前泄露的 NSA 在网络黑客军械库中，“比特币病毒”攻击程序启动了网络攻击。

“比特币病毒”的勒索蠕虫是 NSA 世界上第一个互联网武器民用化案例。一个月前，第四批 NSA 黑客攻击设备和文本文件 Shadow Brokers机构的发布包括多个 Windows 服务程序（SMB、RDP、IIS）远程命令是一种特殊的工具，包括比特币病毒的进攻过程。

故意代码扫描仪对外开放 445 文档共享端口 Windows设备不需要客户操作。如果手机上网，犯罪分子可以将勒索手机软件、远程操作木马病毒、虚拟货币挖掘机等恶意软件嵌入电脑和服务器中。

现阶段，“比特币病毒”传递的勒索病毒感染以ONION和WNCRY为主，受害设备的磁盘文件将被篡改为相应的后缀名称。照片、文本文档、短视频、压缩文件等材料不能正常打开，只要支付保释金即可破译修复。这两种勒索病毒感染的勒索金额分别为5枚比特币和300美元，约合人民币分别为5枚 万多和 2000 多元化。

安全专家还发现，ONION勒索病毒感染将继续与挖币机（计算形成数字货币）合作、远程控制特洛伊木马集团的传播，形成特洛伊木马程序“礼包”，结合挖掘硬币、远程控制和勒索各种恶意行为，专业选择高性能服务器挖掘硬币牟取暴利。普通计算机经常加密文件勒索资金，以最大限度地提取受害设备的经济价值。

根据5月13日上午360企业安全生产水平的公告，由于在中国使用445端口号的蜘蛛之前，一些网络运营商在主要网络上关闭了445端口号，但教育信息网络和大量企业内部网络没有这样的限制，没有立即安装补丁，仍有很多曝光445端口号和漏洞笔记本电脑，导致目前蜘蛛泛滥。

因此，安全事故被几个安全部门评估为风险“紧急”。

因此，安全事故被几个安全部门评估为风险

“紧急”。

尚未在中国范围内实际获得 对外开放的设备总数为445端口号。然而，我们了解到，中国首先发生的是ONION病毒感染，每小时攻击200次左右，晚上高峰时间每小时攻击1000次；WNCRY勒索病毒感染是5月12日下午新的国际攻击，在中国校园网络迅速传播，晚上高峰时间攻击约4000次。

可以快速测量知名企业、高校、政府部门的网络安全防护是否受到影响:

扫描仪内部网络，发现所有开放445SMB服务端口的终端和服务器，确定是否为Win7或以上版本的系统软件安装MS07-010补丁包，如果未安装，将受到威胁。WindowsXP/2003Win7以内没有补丁包，只需打开SMB服务项目即可受到影响。

我可以自己判断电脑是否打开。 445 端口号。但是，对其360 企业安全生产知名专家王列军在接受采访时了解到，现阶段 90 %未取消的 445端口号集中在中国台湾和香港。虽然大陆的份额很小，但数量很大。虽然在2008年被类似的蜘蛛攻击后，网络运营商已经关闭了大多数445端口号，但许多独立的网络，如教育信息网络和大中型企业内部网络，并没有自动退出445端口号，因此危害范围很大。

王列军判断，

这种进攻已经席卷了世界上许多国家和地区。这种大规模的勒索进攻非常罕见。他昨晚甚至通宵加班，紧急处理这个问题。

发现今天早上5日，几家安全公司做了紧急处理、6点多，紧急通知逐步向公众公布。

最可怕的一点是，对于携带Win7或以上版本号的操作系统笔记本电脑，微软已经宣布补丁MS17-010处理了“比特币病毒”攻击安全漏洞，并可以立即在计算机上运行补丁包。汪列军说，对于个人计算机来说，他们很可能能够自己学习和携带，但对于大型机构来说，他们必须使用标准化管理的客户端来处理无数的机器，尤其是在大中型组织管理机构之前，他们没有做好安全防护措施，操作非常复杂。

前面提到，发生了两种勒索家族，汪列军认为，也不排除勒索蠕虫的几个变异。

犯罪分子在修改之前发布的“比特币病毒”攻击程序流程后进行攻击。王列军分析，可以看作NSA攻击专用工具的核心是不变的，但犯罪分子影响了他们的“核心”，并添加了一系列刺激勒索攻击的专用工具，因为NSA攻击专用工具可以公开免费下载，不排除几个犯罪分子会改造工具发起勒索围攻。

以下是360企业安全生产给出的处理方法提案:

现阶段，利用系统漏洞攻击传输的蜘蛛逐渐泛滥，强烈要求网络工程师阻挡网络边界的网络防火墙 445 如果边界上有端口浏览， IPS 和 360新一代智能网络防火墙等机器，请将机器设备的检查标准更新到最新版本，并配备相应的漏洞攻击屏障，直到确定MS07-010补丁包已安装并关闭Server服务项目。

Server服务项目暂时关闭。

检查设备是否打开Server服务项目：

1、开启 逐渐 按钮，点击 操作，输入cmd，点击确定

2、输入指令：netstat -an 回车键

3、检查结果中是否有445端口号

一旦发现445端口号对外开放，以Win7系统软件为例，Server服务项目必须关闭，操作流程如下：

点一下 逐渐 按钮，在输入框中搜索 cmd ，选择鼠标右键底部菜单上发生的cmd标志 作为管理员运作 ，在出的 cmd 窗口中实行 “net stopserver”指令，对话如下图所示：

建议对已经感觉到七勒索蠕虫的设备进行保护和处理。

对于Win7或以上版本号的操作系统，微软已宣布补丁MS17-010处理“比特币病毒”攻击安全漏洞。请及时用电脑操作此补丁包。

对于Win7或以上版本号的操作系统，微软已宣布补丁MS17-010处理“比特币病毒”攻击安全漏洞。请及时用电脑操作此补丁包。建议用户根据管理权限关闭不必要的Server服务项目。操作步骤见应急管理模式 节。

WindowsXP、微软等2003年不再提供安全补丁。建议使用360“NSA军械库免疫专用工具”监控系统是否存在漏洞，关闭受系统漏洞影响的端口号，防止勒索蠕虫病毒感染。免疫专用工具下载链接：http://dl.360safe.com/nsa/nsatool.exe。建议将这些旧软件的设备添加到替换序列中，以便尽快改进。建议重新备份关键业务管理系统的数据库，对关键业务流程终端设备进行系统镜像文件，制作足够的恢复系统磁盘或更换机械设备。另外，安全厂商已经发布了防止产品解决的产品，大家自己搜索吧！