勒索病毒攻击原理是什么？比特币勒索病毒原理

近日，不少人都受到了一款名为WannaCry（想哭，也叫Wanna Decryptor）的勒索软件的攻击，这是一种“类蠕虫”的勒索软件，可以对电脑中的各种文件进行锁定和加密。 索要比特币的弹窗，勒索金额300-600美元，部分用户交了赎金还没有解密比特币病毒导致电脑文件，让人心生恐慌，勒索病毒出现变种升级版，怎么办？勒索病毒的攻击原理？ 在这里，小编就为大家介绍一下比特币病毒的原理。

一、5.12勒索病毒原理

WannaCry勒索病毒是不法分子利用美国国家安全局（National Security Agency，美国国家安全局）泄露的危险漏洞“永恒之蓝”传播的。 该勒索病毒主要攻击未更新到最新版本的Windows系统设备，如xp、vista、win7、win8等。

该恶意软件扫描计算机的TCP 445端口（Server Message Block/SMB），以类似蠕虫病毒的方式传播，攻击主机并加密存储在主机上的文件，然后以比特币形式索要赎金。 勒索金额为 300 至 600 美元。

当用户主机系统被勒索软件入侵时，会弹出勒索对话框，提示勒索目的，并向用户索要比特币。 对于用户主机上的重要文件，如照片、图片、文档、压缩文件、音频、视频、可执行程序等几乎所有类型的文件，加密后的文件扩展名统一改为“.WNCRY”。 目前，安全行业还未能有效破解勒索病毒的恶意加密行为。 一旦用户主机被勒索病毒侵入，清除勒索病毒的唯一方法就是重新安装操作系统，但无法直接恢复用户的重要数据文件。

WannaCry主要是利用微软“Windows”系统的漏洞获得自动传播能力，可以在数小时内感染一个系统内的所有计算机。 勒索病毒被漏洞远程执行后，会从资源文件夹中释放一个压缩包，压缩包会在内存中解密释放，密码为：WNcry@2ol7。 这些文件包括弹出勒索框的exe、桌面背景图片的bmp、各种语言的勒索字体，以及两个协助攻击的exe文件。 这些文件将被释放到本地目录并设置为隐藏。 （注：“永恒之蓝”为NSA泄露的漏洞利用工具名称，并非病毒名称。“永恒之蓝”指的是NSA泄露的危险漏洞“永恒之蓝”，此次勒索病毒WannaCry利用这个漏洞当然其他病毒也可能通过“永恒之蓝”漏洞传播，所以需要给系统打补丁。）

2017年5月12日，WannaCry蠕虫病毒通过MS17-010漏洞在全球范围内爆发，感染了大量计算机。 蠕虫病毒感染计算机后，会在计算机中植入勒索病毒，导致大量计算机文件被加密。 受害者电脑被黑客锁定后，病毒会提示支付等值300美元（约合人民币2069元）的比特币解锁。

2017年5月13日晚，英国研究人员无意中发现了WannaCry隐藏开关（Kill Switch）域名，意外遏制了病毒进一步大规模传播。 研究人员在对Wannacrypt勒索病毒进行分析时发现，它并没有对原始文件进行这种“深加工”，而是直接将其删除。 这似乎是一个比较低级的“错误”，而360这次利用了勒索者的“错误”，实现了部分文件恢复。

2017年5月14日，监控发现WannaCry勒索病毒出现变种：WannaCry 2.0。 与上一版本不同的是，该变种取消了Kill Switch，变种勒索病毒的传播无法通过注册域名来关闭。 传输速度可能会更快。 请广大网友尽快升级安装Windows操作系统相关补丁，并立即断开被感染机器的网络连接，避免病毒进一步传播。

2. 勒索软件攻击类型

常用 Office 文件（扩展名 .ppt、.doc、.docx、.xlsx、.sxi）

不常用比特币病毒导致电脑文件，但某些国家/地区特定的办公文件格式（.sxw、.odt、.hwp）

压缩档案和媒体文件（.zip、.rar、.tar、.mp4、.mkv）

电子邮件和邮件数据库（.eml、.msg、.ost、.pst、.deb）

数据库文件（.sql、.accdb、.mdb、.dbf、.odb、.myd）

开发人员使用的源代码和项目文件（.php、.java、.cpp、.pas、.asm）

密钥和证书（.key、.pfx、.pem、.p12、.csr、.gpg、.aes）

图形设计师、艺术家和摄影师使用的文件（.vsd、.odg、.raw、.nef、.svg、.psd）

虚拟机文件（.vmx、.vmdk、.vdi）

3. 勒索软件的应对措施

电脑感染勒索病毒后如何通过DiskGenius恢复数据

没有及时更新的Windows设备极易受到勒索软件的攻击，所以为了防止计算机中招，必须做好必要的更新和防范工作。