勒索病毒会感染手机吗 勒索病毒秘密开关解密攻略

围绕近日备受关注的勒索者蠕虫病毒WannaCry，记者就大家关心的问题采访了专注于威胁检测防御技术的互联网安全厂商安天，希望为广大互联网用户破解部分的疑团。

资料图：被勒索病毒攻击后电脑弹出的窗口。腾讯反病毒实验室供图

1.单纯关闭电脑是否能避免被感染?

可以避免被感染，但电脑早晚是要用的，建议还是尽快更新补丁，开启防火墙和关闭445端口。

2.银行系统是否有感染的情况?

目前已经发现了ATM机被感染的案例，银行内部也有很多使用Windows系统的设备，如果没有做好相关防护工作，就有被“WannaCry”勒索软件感染的风险。

3.用无线路由上网是否会中毒?

不能确保无线网络运营商一定屏蔽了相关端口，也不能保证使用统一无线路由的其他节点此前未曾被感染。因此无论使用何种上网方式都应该做好安全漏洞修补和安全策略加固工作。

4.手机为电脑开热点会安全点吗?

手机开热点的话，由于手机是一个外部网关，使电脑获得一个内部IP，不会直接被外部感染节点扫描到。但这也可能导致手机设备暴露后，带来其他的安全风险。

5.家庭网络有风险吗?是否只针对企业和教育网等?

从目前所分析出的该病毒的传播策略上看，并没有明确的定向性，也就是说，只要你的终端可能被病毒感染的节点扫描到就会被感染。

6.有用户反映手机被感染了?

截止到5月13日下午3点，安天未监控到该家族病毒有移动端的版本。

7.勒索者蠕虫病毒是否能U盘传播?

根据目前的分析，我们认为准确的表达是：由于勒索者蠕虫病毒运行后，可能会将一个显示敲诈信息的程序模块“@WanaDecryptor@.exe”拷贝到当时插入电脑的U盘上，但这个程序不会导致二次传播。

360、安天、金山等有网络安全公司今天都在加班。

一款名为“WannaCry”的病毒开始在全球范围内爆发。全球99个国家遭遇攻击，24小时内监测到的攻击次数超过10W+。国内的重灾区是校园系统、医疗系统、能源行业，以及公安办事系统。

国内有一部分吃瓜群众已经切身感受到了WannaCry的影响。

有人在北京的派出所办业务排了一个多小时队，结果被告知系统被攻击瘫痪了;有人在加油站发现自助缴费系统断网，支付宝、微信支付等联网支付都无法使用，他身上却没有带现金。浙江传媒大学、中国计量学院等多所国内大学的校园网也遭受攻击。

多位安全公司都表示，这个病毒可防不可解。目前只有360公布了一个急救解密方案，可以部分解密被加密的文件，不过存在概率。

大约是基于这个原因，病毒发布者表现得非常猖狂。他给中招用户留下了一封洋洋得意的勒索信，要求3天之内付款，超过3天费用翻倍，超过1周则被加密的资料将永远无法恢复。

大多数公司似乎还没有按照他的意愿行事。在黑客留下的其中一个比特币收款账户里，目前共完成30次交易，4.62枚比特币。按照现在的比特币价格，总价大约4.75万元人民币。不过，用户付款频率有明显加快的趋势，从5月13日晚间9点半后一个小时内新增8次交易。有行业人士认为，赎金支付的高峰期还没有到来，14日起赎金规模将有大幅增长。

根据流出的黑客与被攻击公司的还价邮件，这位黑客还十分清楚中国目前的政治大事，并且颇有“政治觉悟”。

对于这次WannaCry的攻击，目前有两个群体是比较安全的。一是Mac用户，这次的攻击是针对windows系统而进行的。二是大多数windows个人用户，其中不包括通过校园网等局域网接入网络的用户。

对于内网成为重灾区的原因，大多数安全公司将其归咎为445端口。国内的情况是，个人用户的445网络端口大多数已经被网络运营商屏蔽掉，但大局域网和企业内网中仍有很多开放端口。

那么，445是什么呢?445端口的主要特点是，支持文件共享。你在企业内网、校园网中看到的访问共享文件夹和共享打印机，就是445端口在起作用。但它暴露给黑客的危机也是很大的，他们入侵成功后，可以共享、加密、格式化你的硬盘。

在此基础上，安全大数据公司微步在线给出了更详细的解释。他们对样本进行分析后，发现当前样本中存在一个秘密开关，是攻击行为的第一步。

WannaCry样本在用户电脑中启动后，第一步会首先请求如下域名：www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com。

如果请求失败，则执行文件加密;如果请求成功，则放弃加密并直接退出。他们也提醒用户，不要在防火墙、IPS等设备拦截上述域名的访问。

5月12日，这个开关域名被安全机构接管。但在此之后，仍有大量电脑被执行加密。微步在线给出的原因，是这些机器没有外网访问权限，因此WannaCry请求开关域名失败，引发加密行为。

再加上，WannaCry还具备蠕虫功能，很容易在内网中引起连锁效应。如果内网没有互联网访问权限，一台机器的失守，就很可能引起全部机器被攻陷。

一位来自360云安全团队Marvel Team的工程师解释称，这个秘密开关可以理解为黑客所设置的控制阀，或者是他的一把锁。如果该域名未被接管，一旦他关闭该域名，造成用户全部请求失败，将引发一场更大的腥风血雨。

他透露，360安全部门昨晚集体通宵。首发了目前全网第一款勒索蠕虫病毒文件恢复工具，链接为https://dl.360safe.com/recovery/RansomRecovery.exe 。有可能恢复一定比例文件的急救方案，成功概率会受到文件数量等多重因素影响。

巴菲特一周前在伯克希尔哈撒韦股东大会上刚说过，“我对大规模杀伤武器是很悲观的，但我认为发生核战争的可能性要低于生化武器与网络攻击。”

不幸，他言中了。或许有一天，速度与激情8里自动驾驶车辆被集中攻击的场景，也会成为现实。