勒索蠕蟲病毒出現變種 勒索病毒開發者是誰？勒索病毒是怎么傳播的

近日，一則勒索病毒出變種新聞引關注。如今網絡黑客商業化已經非常成熟了，造槍（制造）、賣槍（販賣）、拿箱子（購買實施者）、掛馬（傳播）、分銷、變現，“一條龍”下環環相扣，每天在全球黑產網絡中流轉的交易額數以億元計算。

國內遭勒索病毒襲擊的重災區是校園網，相比之下，英國遭到攻擊的醫院已經陷入了一片混亂。據英國鏡報等報道，受病毒影響的40家醫院所有IT系統、電話系統、患者管理系統等目前通通暫停。這意味著所有系統都處于離線狀態，醫院根本無法接聽來電。候診的急癥病人會根據醫生的安排，轉移到其他地方，且至少一家醫院被迫關閉。　　

報道稱，目前已經發生了超過45000次攻擊，主要發生在俄羅斯，已經至少有10筆每筆額度300美元左右的贖金被打到黑客提供的比特幣賬戶。　　

360安全中心分析，此次校園網勒索病毒是由NSA泄漏的“永恒之藍”黑客武器傳播的。“永恒之藍”可遠程攻擊Windows的445端口(文件共享)，如果系統沒有安裝今年3月的微軟補丁，無需用戶任何操作，只要開機上網，不法分子就能在電腦和服務器中植入勒索軟件、遠程控制木馬、虛擬貨幣挖礦機等惡意程序。　

由于國內曾多次出現利用445端口傳播的蠕蟲病毒，部分運營商對個人用戶封掉了445端口。但是教育網并無此限制，存在大量暴露著445端口的機器，因此成為不法分子使用NSA黑客武器攻擊的重災區。

360針對校園網勒索病毒事件的監測數據顯示，國內首先出現的是ONION病毒，平均每小時攻擊約200次，夜間高峰期達到每小時1000多次;WNCRY勒索病毒則是5月12日下午新出現的全球性攻擊，并在中國的校園網迅速擴散，夜間高峰期每小時攻擊約4000次。　　

至此，幕后開發者還未找到，攻擊還在持續中......

勒索病毒是怎么傳播的？

該類型病毒的目標性強，主要以郵件為傳播方式。

勒索病毒文件一旦被用戶點擊打開，會利用連接至黑客的C&C服務器，進而上傳本機信息并下載加密公鑰和私鑰。然后，將加密公鑰私鑰寫入到注冊表中，遍歷本地所 有磁盤中的Office 文檔、圖片等文件，對這些文件進行格式篡改和加密;加密完成后，還會在桌面等明顯位置生成勒索提示文件，指導用戶去繳納贖金。

勒索病毒文件一旦進入本地，就會自動運行，同時刪除勒索軟件樣本，以躲避查殺和分析。接下來，勒索病毒利用本地的互聯網訪問權限連接至黑客的C&C服務器，進而上傳本機信息并下載加密私鑰與公鑰，利用私鑰和公鑰對文件進行加密。除了病毒開發者本人，其他人是幾乎不可能解密。加密完成后，還會修改壁紙，在桌面等明顯位置生成勒索提示文件，指導用戶去繳納贖金。且變種類型非常快，對常規的殺毒軟件都具有免疫性。攻擊的樣本以exe、js、wsf、vbe等類型為主，對常規依靠特征檢測的安全產品是一個極大的挑戰。

勒索病毒一般會攻擊任何人，但一部分針對企業用戶(如xtbl，wallet)，一部分針對所有用戶。