勒索病毒W(wǎng)annaCry 2.0變種專(zhuān)殺工具360最新版【附開(kāi)機(jī)指南】

勒索病毒W(wǎng)annaCry 2.0變種專(zhuān)殺工具，一個(gè)名位WannaCry的電腦勒索病毒在全球范圍內(nèi)肆虐，小編再次提醒大家做好防范措施，確保公司電腦未感染病毒，避免周一集體上班電腦大淪陷，現(xiàn)提供一份周一開(kāi)機(jī)指南。

周一開(kāi)機(jī)指南

第一步：

個(gè)人用戶(hù)在斷網(wǎng)狀態(tài)下，在C:\Windows\System32\drivers\etc\hosts中手動(dòng)加入如下文字：

“www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com 220.181.57.217”（不帶引號(hào)）

原理很簡(jiǎn)單，把地址解析到百度網(wǎng)站上，欺騙病毒認(rèn)為成功連接上服務(wù)器，從而達(dá)到免疫滅活目的。

而對(duì)于公司用戶(hù)則更加方便，只要網(wǎng)管人員先在隔離網(wǎng)中建立免疫域名，搭建內(nèi)部解析服務(wù)�？梢酝ㄟ^(guò)在內(nèi)部網(wǎng)絡(luò)搭建DNS Server，將www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com域名地址解析到內(nèi)網(wǎng)WEB Server的IP地址，同時(shí)WEB Server接受該域名的連接請(qǐng)求，從而實(shí)現(xiàn)免疫。那么連接到公司的所有電腦都能實(shí)現(xiàn)免疫效果，快捷簡(jiǎn)單。

第二步：

當(dāng)然這僅僅是前期避免感染病毒做法，免疫成功后還是需要及時(shí)打補(bǔ)丁，修復(fù)SMB漏洞，避免新變種病毒有機(jī)可乘，可以使用諸如360 NSA武器庫(kù)免疫工具、瑞星“永恒之藍(lán)”免疫工具。之所以推薦這類(lèi)型工具，因?yàn)楹?jiǎn)單易操作，一鍵即可以完成相關(guān)操作，方便了很多什么都不懂的電腦小白。如果你動(dòng)手能力強(qiáng)，也可以自行操作（開(kāi)啟系統(tǒng)防火墻、創(chuàng)建新規(guī)則禁用相關(guān)445網(wǎng)絡(luò)端口），這里就不詳細(xì)說(shuō)明了。

WannaCry勒索病毒文件攻擊流程

勒索病毒被漏洞遠(yuǎn)程執(zhí)行后，會(huì)從資源文件夾下釋放一個(gè)壓縮包，此壓縮包會(huì)在內(nèi)存中通過(guò)密碼：WNcry@2ol7解密并釋放文件。這些文件包含了后續(xù)彈出勒索框的exe，桌面背景圖片的bmp，包含各國(guó)語(yǔ)言的勒索字體，還有輔助攻擊的兩個(gè)exe文件。這些文件會(huì)釋放到了本地目錄，并設(shè)置為隱藏。

其中u.wnry*就是后續(xù)彈出的勒索窗口。

窗口右上角的語(yǔ)言選擇框，可以針對(duì)不同國(guó)家的用戶(hù)進(jìn)行定制的展示。這些字體的信息也存在與之前資源文件釋放的壓縮包中。

通過(guò)分析病毒，可以看到，以下后綴名的文件會(huì)被加密：docx.docb.docm.dot.dotm.dotx.xls.xlsx.xlsm.xlsb.xlw.xlt.xlm.xlc.xltx.xltm.ppt.pptx.pptm.pot.pps.ppsm.ppsx.ppam.potx.potm.pst.ost.msg.eml.edb.vsd.vsdx.txt.csv.rtf.123.wks.wk1.pdf.dwg.onetoc2.snt.hwp.602.sxi.sti.sldx.sldm.sldm.vdi.vmdk.vmx.gpg.aes.ARC.PAQ.bz2.tbk.bak.tar.tgz.gz.7z.rar.zip.backup.iso.vcd.jpeg.jpg.bmp.png.gif.raw.cgm.tif.tiff.nef.psd.ai.svg.djvu.m4u.m3u.mid.wma.flv.3g2.mkv.3gp.mp4.mov.avi.asf.mpeg.vob.mpg.wmv.fla.swf.wav.mp3.sh.class.jar.java.rb.asp.php.jsp.brd.sch.dch.dip.pl.vb.vbs.ps1.bat.cmd.js.asm.h.pas.cpp.c.cs.suo.sln.ldf.mdf.ibd.myi.myd.frm.odb.dbf.db.mdb.accdb.sql.sqlitedb.sqlite3.asc.lay6.lay.mml.sxm.otg.odg.uop.std.sxd.otp.odp.wb2.slk.dif.stc.sxc.ots.ods.3dm.max.3ds.uot.stw.sxw.ott.odt.pem.p12.csr.crt.key.pfx.der。

以圖片為例，查看電腦中的圖片，發(fā)現(xiàn)圖片文件已經(jīng)被勒索軟件通過(guò)Windows Crypto API進(jìn)行AES+RSA的組合加密。并且后綴名改為了*.WNCRY

此時(shí)如果點(diǎn)擊勒索界面的decrypt，會(huì)彈出解密的框。

但必須付錢(qián)后，才可以解密

115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn

12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw

13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94。

作者目前是通過(guò)這三個(gè)賬號(hào)隨機(jī)選取一個(gè)作為錢(qián)包地址，收取非法錢(qián)財(cái)。

相關(guān)資訊

國(guó)內(nèi)多家單位遭病毒攻擊

5月12日晚，WannaCry勒索病毒在全球多個(gè)國(guó)家蔓延，國(guó)內(nèi)多所高校的網(wǎng)絡(luò)遭受到勒索病毒的攻擊，大量學(xué)生畢業(yè)論文等重要資料被病毒加密，只有支付贖金才能恢復(fù)。

昨日，北青報(bào)記者了解到，受到該病毒影響的不僅僅是校園網(wǎng)，還包括部分企事業(yè)單位。

據(jù)一名中國(guó)聯(lián)通鄭州分公司的工作人員稱(chēng)，5月14日，因?yàn)槭艿奖忍貛爬账鞑《镜挠绊�，單位電腦全部癱瘓。

5月13日，響水公安局出入境辦事處發(fā)布消息稱(chēng)，因公安網(wǎng)遭遇新型病毒攻擊，暫時(shí)停辦出入境業(yè)務(wù)，具體恢復(fù)時(shí)間等待通知。

“弄了一宿，數(shù)據(jù)也沒(méi)有恢復(fù)過(guò)來(lái)�！弊蛱欤�山東的一名民警告訴北青報(bào)記者，受到勒索病毒影響，單位存儲(chǔ)資料的電腦被鎖定，學(xué)習(xí)計(jì)算機(jī)專(zhuān)業(yè)的他最終也只能束手無(wú)策。

中石油部分加油站受影響

同樣受影響的還有中國(guó)石油加油站。昨日，中國(guó)石油在其官網(wǎng)中發(fā)布公告稱(chēng)，5月12日22點(diǎn)30分左右，因全球比特幣勒索病毒爆發(fā)，公司所屬部分加油站正常運(yùn)行受到波及。病毒導(dǎo)致加油站加油卡、銀行卡、第三方支付等網(wǎng)絡(luò)支付功能無(wú)法使用。不過(guò)，加油及銷(xiāo)售等基本業(yè)務(wù)運(yùn)行正常，加油卡賬戶(hù)資金安全不受影響。

昨日下午，北青報(bào)記者與北京地區(qū)五個(gè)中國(guó)石油加油站取得了聯(lián)系。

其中中國(guó)石油首汽12號(hào)加油站的工作人員表示，13日起，因?yàn)槭艿叫滦筒《镜挠绊�，加油站的手機(jī)支付、加油卡支付等多種支付方式均受到影響，雖然上午進(jìn)行了緊急搶修，但仍存在網(wǎng)絡(luò)不穩(wěn)定的情況。中國(guó)石油國(guó)門(mén)加油站的工作人員告訴北青報(bào)記者，截至下午4點(diǎn)，國(guó)門(mén)加油站仍只接受現(xiàn)金支付或國(guó)門(mén)加油站的加油卡支付費(fèi)用。

中國(guó)石油昨天下午表示，根據(jù)現(xiàn)場(chǎng)驗(yàn)證過(guò)的技術(shù)解決方案，開(kāi)始逐站實(shí)施恢復(fù)工作。80％以上加油站已經(jīng)恢復(fù)網(wǎng)絡(luò)連接，受病毒感染的加油站正在陸續(xù)恢復(fù)加油卡、銀行卡、第三方支付功能。

中國(guó)石油大湖山莊西南、中國(guó)石油東鵬加油站、中國(guó)石油京順加油站的工作人員告訴北青報(bào)記者，已經(jīng)在中午前恢復(fù)了手機(jī)支付和加油卡支付的功能。

病毒傳播一度被意外攔阻

來(lái)自英國(guó)的消息似乎為戰(zhàn)勝勒索病毒帶來(lái)了一絲希望。

英國(guó)媒體13日?qǐng)?bào)道，一名22歲的英國(guó)網(wǎng)絡(luò)工程師12日晚注意到，這一勒索病毒正不斷嘗試進(jìn)入一個(gè)極其特殊、尚不存在的網(wǎng)址，于是他順手花8.5英鎊（約合75元人民幣）注冊(cè)了這個(gè)域名，試圖借此網(wǎng)址獲取勒索病毒的相關(guān)數(shù)據(jù)。

令人不可思議的是，此后勒索病毒在全球的進(jìn)一步蔓延竟然得到了阻攔。

這名工程師和同事分析，這個(gè)奇怪的網(wǎng)址很可能是勒索病毒開(kāi)發(fā)者為避免被網(wǎng)絡(luò)安全人員捕獲所設(shè)定的“檢查站”，而注冊(cè)網(wǎng)址的行為無(wú)意觸發(fā)了程序自帶的“自殺開(kāi)關(guān)”。

也就是說(shuō)，勒索病毒在每次發(fā)作前都要訪問(wèn)這個(gè)不存在的網(wǎng)址，如果網(wǎng)址繼續(xù)不存在，說(shuō)明勒索病毒尚未引起安全人員注意，可以繼續(xù)在網(wǎng)絡(luò)上暢行無(wú)阻；而一旦網(wǎng)址存在，意味著病毒有被攔截并分析的可能。

在這種情況下，為避免被網(wǎng)絡(luò)安全人員獲得更多數(shù)據(jù)甚至反過(guò)來(lái)加以控制，勒索病毒會(huì)停止傳播。

勒索病毒已經(jīng)出現(xiàn)新變種

意外攔阻勒索病毒的英國(guó)網(wǎng)絡(luò)工程師和一些網(wǎng)絡(luò)安全專(zhuān)家都表示，這種方法目前只是暫時(shí)阻止了勒索病毒的進(jìn)一步發(fā)作和傳播，但幫不了那些勒索病毒已經(jīng)發(fā)作的用戶(hù)，也并非徹底破解這種勒索病毒。

他們推測(cè)，新版本的勒索病毒很可能不帶這種“自殺開(kāi)關(guān)”而卷土重來(lái)。這種推測(cè)果然很快成為現(xiàn)實(shí)。

昨天國(guó)家網(wǎng)絡(luò)與信息安全信息通報(bào)中心緊急通報(bào)：監(jiān)測(cè)發(fā)現(xiàn)，在全球范圍內(nèi)爆發(fā)的WannaCry勒索病毒出現(xiàn)了變種：WannaCry 2.0， 與之前版本的不同是，這個(gè)變種不能通過(guò)注冊(cè)某個(gè)域名來(lái)關(guān)閉變種勒索病毒的傳播，該變種傳播速度可能會(huì)更快。