段子手让肆虐全球的勒索病毒也没了脾气

周五夜里，小编收到这样一条消息

（微信截图）

接着呢，小编去刷了刷票圈，之后又刷了刷微博，结果察觉到事情呈现出愈演愈烈的态势，紧接着事情立刻就登上了微博热搜。

认为事态严峻的小编，赶忙快跑去公司瞅瞅，能不能跟大伙讲一讲这事儿。

小编当时没能拿到病毒的样本，手头也不存在中了病毒的机子，认为拿着几张在网上疯狂传播的图片跟大家讲述事情好像有那么点敷衍，所以就没再继续去做了。

今天小编拿到了最新版本病毒的样本，准备带大家看看~

（没错，就是它！）

对于这个病毒，在这几天期间，大家大多都看过了许多与之相关的文章，小编因为此，也就不再去详细叙述了，只是进行简单陈述一下。

作为病毒，在理论层面而言，属于处于病毒鄙视链最底层的存在，毫无文雅可言~

打个比方，黑客干坏事的一般分两种，偷东西的和敲竹杠的。

通常来讲，那些实施盗窃行为的人具备着最高的技术含量，原因在于，这些人能够借助漏洞，在神不知鬼不觉的状况下，拿走你的账号密码之类的物品去实现变现，而且与你不会产生任何的冲突。

甚至存在这样一些黑客，他们发现了系统漏洞，然而并不直接利用这些漏洞去从事坏事，而是将其转手售卖，给予亡命徒去做有风险之事，自身丝毫不承担风险。

（暗网上交易漏洞的网站）

存在另外一种情况，是涉及从事风险交易的，他们会从发现漏洞的人那里购得漏洞利用工具，之后将其开发转化成具有破坏能力的事物，进而实施敲诈勒索行为，比如说侵入你的系统并将其锁定，倘若你不缴纳钱款，他们就不会为你解除锁定，采用这种方式通常收益颇高但风险极大，因而没有太多人愿意去做。

这两天疯狂传播的，那个勒索病毒，它是属于敲竹杠这一类别的，只需要开发出一个加密程序就可以了（有可能加密程序或许都是外包给其他人做的），其技术含量非常低。

（ 勒索界面）

你问中病毒文件被加密之后，怎么办呢？

1.为了恢复文件，交钱了事，向恶势力大佬低头。

2.不想屈于恶势力，干瞪眼，坐等文件被永久删除。。。

3.干等某些安全公司推出针对性的恢复软件，然而这说不定会特别慢，又说不定会无法成功。

依据网传的数据而言，此次遭受波及的国家数量众多，涉及的人数也不少，此病毒起码对150个国家的网络造成了感染，这意味着所有人都被感染了！

并且由于加密采用的是非对称加密方式，不能够通过暴力手段破解，要是不缴费的话就没有办法，于是大家索性就自暴自弃，在困苦之中寻找乐趣，玩起了梗。

（绿帽子版本）

（Steam 版本）

（程序员版本）

（奇怪的版本）

就在大家陷入极度恐慌的时候，一个人出来带节奏拯救世界了。

从小哥来自英国的情况来看，他发现一款有关病毒的软件，这款软件会以先访问一个被发现很奇怪的域名作为前提条件，然而那个被提及的域名居然没有被进行任何注册操作。

于是他就注册了这个奇怪的域名：

（就是那种用脸滚键盘滚出来的感觉）

然后小哥惊奇的发现注册了这个域名之后，病毒就停止传播了！

从病毒代码剖析情况而言，他发觉病毒倘若先去访问此域名，要是未被注册，那么就会加密文件，要是发觉已被注册，那就什么都不进行操作，所以在小哥注册域名之后，病毒便失效了~

（英国多家报纸都报道了小哥的事迹）

因此，这确实如同在网络上广泛流传那般，有黑客设定了一个开关，是为了避免事态朝着严重的方向发展吗？

Too young！坏人怎么可能这么好心！？

其实这是病毒的一种自我保护机制，诸多病毒检测软件以及安全研究人员，会将病毒拖进沙箱开展断网测试，如此一来就难以检测是否有注册状况，故而这仅仅是病毒开发者为避免败露而施行的一种策略！

所以，之后呢，黑客直接把那个设置给取消掉了，不存在域名这种情况喽，一旦中病毒就对东西进行加密，小编所拿到的病毒版本便是这般的~

一开始，小编借助虚拟机安装了一个盗版的 Win 7 系统，对国内多数中招电脑的状况进行了模拟。

随后，创建了几个诸如 Word、PPT、txt 这般的日常文档，将其用作测试用途。

然后，直接点开病毒刚正面~

虚拟机处于未联网的状态，然而，仅仅几秒的时间过后，具有传播特性的病毒便已然开始全面扩散，进而对小编所创建的那些在日常使用中频繁会被涉及到的文档启用加密操作。

瞧见勒索软件跳动着的解密价格呈翻倍状态进行倒计时，（感染三天之后赎金会从 300 美元涨至 600 美元），小编突然间产生了奇特的想法，更改系统时间是否会产生效果呢？

（竟然有效果，倒计时会增加！）

这或许是个拖延赎金翻倍的方法？

依据某剑分析工具，（因担有广告嫌疑故而不提全名），能够瞧见，此病毒释放之后，其套路颇为简单。

先自我复制几下（ 蓝色 ）

那么接着持续不断地开展，开启文件、删掉内容、写入信息、创建文档、做出修改、变更文件属性这般的行为动作，想来是针对文件执行加密操作了。

与此同时，病毒存在一个进程，此进程不停地进行监听局域网的操作，应该是在局域网当中“寻找目标”。

虚拟机联网的操作，小编最终并未成功实施，原因在于，园区这片局域网内电脑是否都已打好补丁，小编并不知晓，而且，再去构建另一个虚拟机桥接，小编也觉得麻烦，不愿去做。

然而，按照一些网友所讲，在这样一种情形下了，也就是两台并未打补丁的虚拟机采用桥接方式从而形成局域网，新版病毒于该场景之中，是能够实现传播继而引发感染状况出现的。

也就是说，这个勒索病毒正在不停地以新姿势横行！

按理说，就这件事情而言，那些已然被感染的机器，其恢复的可能性并不高，然而对于尚未被感染的机器，只能以预防作为主要手段，比如去升级杀毒软件，诸如打打补丁之类的操作行为，这实乃是一件值得深入思考探究一番的事情呀。

首先，这次灾难中，很多市政机构都中招了。

其次，很多学校的机房和使用校园网的学生都中招了。

但实际上这件事情，根本不应该会这么严重。

因为微软公布这个漏洞的补丁，已经是一个月以前的事情了！

（截图自百度百科）

2017年4月16日，由其主办的CNVD发布了一份公告，这份公告是《关于加强防范操作系统和相关软件漏洞攻击风险的情况公告》，该公告针对影子经纪人“ ”所披露的多款涉及操作系统SMB服务的漏洞攻击工具情况进行了通报，这里要说明一下相关工具列表如下，并且还对有可能产生的大规模攻击进行了预警。

要是讲机构以及学校的系统鉴于稳定性方面的问题，没办法常常去更新，如此说来还算说得过去的。

但是还有这么多个人用户也中枪，那就很不应该了。

这到底是什么原因呢？

一些国产安全软件很奇怪，号称是专门给电脑小白使用的低门槛安全软件，然而对于这次病毒所利用的高危端口，根本没有安全防御策略，小白原本认为很安全，结果中招仅仅只需一瞬间。

其次，留意到不少中了招数的用户所选用的皆是XP，以及7，然而运用10的用户大致上 受到任何影响。

实则是由于当下，数量众多的 XP 用户，以及 Win7 用户，所使用的依旧全都是盗版系统。

因惧怕更新后激活失效，这些盗版系统几乎毫无例外都将自动更新关掉，所以几乎难以获得官方支持，在网络方面几乎没有防御措施，最终导致悲剧发生。

甚至于存在着一部分用户 ，哪怕使用的是正版 ，然而依然会由于嫌麻烦 ，进而费尽心思地去规避自动更新。

事实上，跟 XP 那个时代不一样了，如今于 10 的更新推送方面，体验已然是很不错的了，务必要将意识扭转一番。

（小编的朋友说因为嫌烦会关闭更新）

故而劝告各位，于这个网络安全感近乎不存在的时期当中，还请多多拥戴正版，多多去更新，尽管看上去未必有多么显著的实质作用，然而事实上还是能够避开诸多风险的！

往期精彩