永恒之蓝勒索蠕虫最全知识手册.PDF

“永恒之蓝”勒索蠕虫最全知识手册 2017 年 5 月 12 日，“永恒之蓝”勒索蠕虫爆发，短短几小时，攻击了中 国、英国、美国、德国、日本等近百个国家，至少 1600 家美国组织，11200 家 俄罗斯组织都受到了攻击，截至到 5 月 13 日20 点，国内也有 29372 家机构组 织的数十万台机器感染，其中有教育科研机构 4341 家中招，是此次事件的重灾 区，事件影响持续发酵中。 什么是“永恒之蓝”勒索蠕虫？ 中了“永恒之蓝”勒索蠕虫如何紧急处置？ 。。。。。。 针对大家最关心的“永恒之蓝”勒索蠕虫的相关问题 360 企业安全专家进行专业解答，集成《“永恒之蓝”勒索蠕虫最全 知识手册》 关于“永恒之蓝”勒索蠕虫，你该知道的都在这里！ 1. 什么是蠕虫病毒 ？ 答：蠕虫病毒是一种常见的计算机病毒 ，它的主要特点是利用电脑存 在的漏洞，通过网络进行自主的复制和传播，只要一释放出来，就会在无 人干预的情况下以指数级快速扩散。 2. 这个病毒到底什么原理？ 答：这个病毒是勒索软件和蠕虫病毒的合体，利用了 Windows 操作 系统的一个漏洞，投送勒索软件到受害主机。在有蠕虫的环境中，有漏洞 的用户电脑只要开机就会很快被感染，不需要任何用户操作，并且被感染 的受害主机还会对其他主机发起同样的攻击，所以传播速度极快。 3. 中了这个病毒会有什么危害？ 答：受害主机中招后，病毒就会在受害主机中植入勒索程序 ，硬盘中 存储的文件将会被加密无法读取，勒索蠕虫病毒将要求受害者支付价值 300/600 美元的比特币才能解锁，而且越往后可能要求的赎金越多，不能 按时支付赎金的系统会被销毁数据。 4. 这个病毒为什么影响这么严重？ 答：本次事件被认为是迄今为止影响面最大的勒索交费恶意活动事件， 一旦受害主机存在被该病毒利用的漏洞，在连接网络的情况下，即使不做 任何操作，病毒就会在受害主机中植入勒索程序，此外，由于其属于蠕虫 病毒，具有自我复制、传播的特性，因此扩散速度极快。据 360 统计，短 短一天多的时间，病毒已经攻击了近百个国家的上千家企业和公共组织， 包括至少 1600 家美国组织，11200 家俄罗斯组织和 28388 个中国机构， 全球超过 10 万家机构中招。病毒已经覆盖了国内几乎所有地区，影响范 围遍布高校、火车站、自助终端、邮政、加油站、医院、政府办事终端等 多个领域，被感染的电脑数字还在不断增长中。 5. 这个病毒传播面有多大，国内多少机构中招？ 答：该勒索蠕虫病毒已经攻击了近百个国家，中国、英国、美国、德 国、日本、土耳其、西班牙、意大利、葡萄牙、俄罗斯和乌克兰等国家的 上千家企业及公共组织。据 360 威胁情报中心监测，国内至少有 28388 个机构被感染，有数十万台机器被加密勒索，覆盖了国内几乎所有地区。 目前攻击事态仍在蔓延，被感染的电脑数字还在不断增长中。 6. 谁是这个病毒的制造者？ 答：该病毒的制作者尚未查清，但可以确认该病毒爆发所利用的植入 工具，是4 月 14 日由Shadow Brokers 组织泄漏的美国国家安全局(NSA) 专用黑客工具，名字叫做“永恒之蓝”，是基于 Windows 网络共享协议 漏洞进行攻击的。 7. 该勒索蠕虫病毒在局域网内是怎么传播的？ 答：该勒索蠕虫病毒一旦被植入受害主机后，该受害主机会自动随机 扫描网络内的开放 445 端口的有漏洞的其他主机，并通过 SMB 协议将勒 索蠕虫病毒再植入到新的目标主机中，新的受害主机将会执行同样的动作， 因此扩散传播速度极快。 8. 封闭内网的主机无法连接互联网 ，是如何感染勒索蠕虫病毒的？ 答：该勒索蠕虫病毒属于蠕虫类勒索蠕虫病毒，自我复制能力极强， 首次被植入的途径较多，例如有可能是已经感染的终端接入内网。 9. WannaCry 病毒除了利用 SMB 漏洞传播复制，还有其他方式吗， 会通过邮件、IM 文件、U 盘传播吗？ 答：此威胁可能会通过邮件、IM 文件或 U 盘发送传播，所以建议安 装 360 提供的免疫工具并及时安装补丁。同时建议