新型黑客勒索攻击事件_新型黑客勒索攻击

2022年5月勒索病毒态势分析

勒索病毒传播至今，360反勒索服务已累计接收到上万勒索病毒感染求助。随着新型勒索病毒的快速蔓延，企业数据泄露风险不断上升，勒索金额在数百万到近亿美元的勒索案件不断出现。勒索病毒给企业和个人带来的影响范围越来越广，危害性也越来越大。360安全大脑针对勒索病毒进行了全方位的监测与防御，为大量需要帮助的用户提供360反勒索服务。

2022年5月，全球新增的活跃勒索病毒家族有：7Locker、EAF、QuickBubck、PSRansom、Cheers、RansomHouse、Mindware等家族，其中Cheers、RansomHouse、Mindware均为具有双重勒索功能的家族。

基于对360反勒索数据的分析研判，360政企安全集团高级威胁研究分析中心(CCTGA勒索软件防范应对工作组成员）发布本报告。

根据本月勒索病毒受害者排查反馈统计，Magniber家族占比46.17%居首位，其次是占比15.52%的TargetCompany(Mallox)，phobos家族以10.15%位居第三。

本月因大量用户浏览网站时有意或无意下载伪装成Win10/win11的补丁/升级包的Magniber勒索病毒而中招，首次出现单个家族感染量占比近50%的“霸榜”现象。

对本月受害者所使用的操作系统进行统计，位居前三的是：Windows 10、Windows Server 2008以及Windows 7。

2022年5月被感染的系统中桌面系统和服务器系统占比显示，因Magniber勒索病毒攻击这针对Windows 10和Windows 11，导致桌面PC占比上涨。

今年4月底，Magniber勒索病毒伪装成Wndows10升级补丁包进行大肆传播，360安全大脑对其进行了预警。

而5月初，360安全大脑再次监测到该家族新增对Windows 11系统的攻击，其主要传播的包名也有所更新，比如：

win10-11_system_upgrade_software.msi

covid.warning.readme.xxxxxxxx.msi

其传播方式仍然是各类论坛、破解软件网站、虚假色情站等。用户在访问这些站点时，会被诱导至第三方网盘下载伪装成补丁或更新的勒索病毒。此外也有部分网站存在自动下载情况。

以下是该病毒近期传播针对Windows 11的攻击态势图：

遭到该勒索病毒加密后，文件后缀会被修改为随机后缀，且每个受害者会有一个独立的支付页面——若不能在规定时间内支付赎金，该链接将失效。若受害者能在5天内支付赎金，则只需支付0.09个比特币(截止该报告撰写时，约合人民币17908元)，而超过5天赎金将会翻倍。

本月360安全大脑监测发现多起Mallox勒索病毒攻击事件。该病毒主要针对企业的Web应用发起攻击，包括Spring Boot、Weblogic、通达OA等。在其拿下目标设备权限后还会尝试在内网中横向移动，获取更多设备的权限，危害性极大。360提醒用户加强防护，并建议使用360终端安全产品提供的安全补丁，防御查杀该病毒。

360安全大脑监测 历史 显示，Mallox（又被称作Target Company）于2021年10月进入中国，早期主要通过SQLGlobeImposter渠道进行传播（通过获取到数据库口令后，远程下发勒索病毒。该渠道曾长期被GlobeImposter勒索病毒使用）。而今年GlobeImposter勒索病毒的传播量逐渐下降，Mallox就逐渐占据了这一渠道。

除了传播渠道之外，360通过分析近期攻击案例发现攻击者会向Web应用中植入大量的WebShell，而这些文件的文件名中会包含“kk”的特征字符。一旦成功入侵目标设备，攻击者会尝试释放PowerCat、lCX、AnyDesk等黑客工具控制目标机器、创建账户，并尝试远程登录目标机器。此外，攻击者还会使用fscan工具扫描设备所在内网，并尝试攻击内网中的其它机器。在获取到最多设备权限后开始部署勒索病毒。

近日360安全大脑监控到一款新型勒索病毒7Locker，该病毒使用java语言编写，并通过OA系统漏洞进行传播。其本质上是利用7z压缩工具将文件添加密码后进行压缩，被加密压缩后的文件被新增扩展名.7z。每个受害者通过唯一的Client Key查看具体赎金要求以及指定的赎金支付地址。

另外，根据目前已掌握的信息推测：该家族的传播事件有很大概率是中国台湾黑客针对中国内陆发起的勒索攻击。

5月8日星期日，新当选的哥斯达黎加总统查韦斯宣布国家进入紧急状态，理由是多个 *** 机构正遭到Conti勒索病毒攻击。

Conti勒索病毒最初声称上个月对哥斯达黎加 *** 进行了攻击。该国的公共卫生机构哥斯达黎加 社会 保障基金（CCSS）早些时候曾表示，“正在对Conti勒索病毒进行外围安全审查，以验证和防止其可能再次发动攻击。”

目前，Conti已发布了大约672 GB的数据，其中似乎包含属于哥斯达黎加 *** 机构的数据。

以下是本月收集到的黑客邮箱信息：

当前，通过双重勒索或多重勒索模式获利的勒索病毒家族越来越多，勒索病毒所带来的数据泄露的风险也越来越大。以下是本月通过数据泄露获利的勒索病毒家族占比，该数据仅为未能之一时间缴纳赎金或拒缴纳赎金部分（已经支付赎金的企业或个人，可能不会出现在这个清单中）。

以下是本月被双重勒索病毒家族攻击的企业或个人。若未发现被数据存在泄露风险的企业或个人也请之一时间自查，做好数据已被泄露准备，采取补救措施。

本月总共有220个组织/企业遭遇勒索攻击，其中包含中国10个组织/企业（含中国台湾省5个组织/企业）在本月遭遇了双重勒索/多重勒索。

表格2. 受害组织/企业

在本月被攻击的系统版本中，排行前三的依次为Windows Server 2008 、Windows 7以及Windows Server 2003。

对2022年5月被攻击系统所属地域统计发现，与之前几个月采集到的数据进行对比，地区排名和占比变化均不大。数字经济发达地区仍是攻击的主要对象。

通过观察2022年5月弱口令攻击态势，发现RDP弱口令攻击和MYSQL弱口令攻击整体无较 *** 动。MSSQL弱口令攻击虽有波动，但依然处于常规范围内且整体呈上升态势。

以下是本月上榜活跃勒索病毒关键词统计，数据来自360勒索病毒搜索引擎。

从解密大师本月解密数据看，解密量更大的是GandCrab，其次是Coffee。使用解密大师解密文件的用户数量更高的是被Crysis家族加密的设备，其次是被CryptoJoker家族加密的设备。

2021勒索病毒大盘点

2021年，新冠肺炎仍然在全球范围内肆虐，各行业除了应对疫情的持续冲击外，还面临着一种形态多样、高频化的“流行病”-- 勒索病毒 。它们加密并窃取数据，甚至威胁破坏或泄漏数据，以此胁迫受害者缴纳高昂赎金，获得“暴利”。勒索病毒为何有这么大的能量，让所有行业“谈虎色变”？面对勒索病毒，难道只能“躺平”？接下来，我们就来盘一盘。

从1989年出现世界上之一个已知的勒索病毒“AIDS Trojan”，到2006年中国大陆出现首个勒索软件“Redplus”，全球范围内一直都在遭受着勒索攻击。尤其是近年来勒索攻击形势更加严峻，国际知名企业被勒索病毒攻击的事件层出不穷，并且赎金持续刷新记录。勒索病毒俨然成为了全球 *** 安全面临的头号威胁，那么，勒索病毒主要有哪几类？

以RSA、AES等多种加密算法对用户文件进行加密，并以此索要赎金。该类勒索病毒已经成为当前勒索病毒的主要类型，以WannaCry为代表。今年WannaCry再度复苏，最常被攻击的主要是 *** 、军方单位，其次为制造业、银行、金融与医疗系统。

通常采用多种加密算法加密用户数据，但在勒索环节，攻击者通过甄别和窃取用户重要数据，以公开重要数据胁迫用户支付勒索赎金。2021年3月，知名电脑制造商宏碁遭遇REvil勒索软件威胁攻击，攻击者索要5000万美元赎金（约3.3亿人民币），否则就公开被窃取和加密的数据。2021年5月，FBI称Conti勒索软件袭击了16个美国健康和紧急服务机构，影响了超过400个全球组织。

通过各类加密算法对系统磁盘主引导记录、卷引导记录等进行加密，阻止用户访问磁盘，影响用户设备的正常启动和使用，并向用户勒索赎金，甚至对全部磁盘数据进行加密。以2016年首次发现的Petya勒索病毒为代表。

全屏锁定用户设备的屏幕，并显示包含勒索信息的图像、文字，或伪装成系统出现蓝屏错误，直接导致用户无法登陆和使用设备（系统组件同时会被禁用），进而勒索用户支付赎金。该类勒索攻击还存在于移动端。比如2017年发现的Leatherlocker。

免费领取学习资料

2021年 *** *** 安全资料包及最新面试题

(渗透工具，环境搭建、HTML，PHP，MySQL基础学习，信息收集，SQL注入,XSS，CSRF，暴力破解等等）

通过对近年来勒索事件的分析，可以看到勒索软件不仅从“加密数据”演化到“三重勒索”、从“散装攻击”演化到“定向攻击”，还对特定的行业、地域具有明显的针对性。

勒索病毒攻击的目标从个人用户转向支付赎金能力更高，对数据依赖性更强的政企用户。比如高校由于大量设备疏于安全加固和漏洞修复，受WannaCry感染严重。能源、医疗等承载重要数据资源的行业由于对业务连续性要求高，也成为勒索病毒攻击的“高价值”目标。另外，重要 *** 部门/机构、军队单位以及关系民生的关基设施与工控系统面临的攻击风险也在加剧。

经济利益驱动运作模式升级，初步形成勒索病毒黑产链条。近些年较为活跃的提供勒索即服务RaaS （Ransomware-as-a-service）平台服务的家族DopplePaymer、Egregor、Netwalker、REvil/Sodinokibi、DarkSide、Ryuk，以及今年7月首次出现的BlackMatter，都具有较高的威胁能力。

2021年7月，黑客发起了一场全球勒索软件攻击，共袭击了超过1000多家公司，并迫使瑞典更大连锁超市之一的Coop关闭了数百家门店。在这场似乎是迄今为止规模更大的供应链黑客攻击事件中，黑客将目标锁定在了IT管理软件供应商Kaseya上，并且再次揭示出勒索软件即服务（RaaS）大流行的趋势正在蔓延。

2021年7月，LockFile利用Exchange服务器的ProxyShell漏洞入侵企业内部 *** ，已经攻击了至少10个组织或企业，其攻击目标主要为美国和亚洲。

由于勒索病毒加密信息难以恢复、攻击来源难以溯源，一旦遭遇勒索攻击，不仅会带来赎金损失、停产损失、赔偿和罚款以及数据重新上线费用等直接损失，还包括可能因为停产或服务中断带来的社会损失。比如赎金损失，据Censuswide的调研报告显示，在遭遇勒索攻击后，会有相当一部分企业会选择支付赎金。但是,

2021年3月，美国更大的保险公司之一CAN Financial遭到黑客组织Phoenix的勒索软件攻击，约15000台设备被加密，不计其数的客户资料受到泄漏的风险。CNA Financial在试图恢复文件无果之后，开始与攻击者谈判，黑客最初索要 6,000 万美元，谈判后向黑客支付了 4,000 万美元，创下了历史上更高的已支付赎金金额的记录。

2021年5月，美国更大的成品油的管道运输商Colonial Pipeline遭到“Darkside”黑客组织的勒索病毒攻击，美国东部沿海的燃油 *** 陷入瘫痪。同月，美国东部17个州和首都所在的华盛顿特区进入紧急状态。

图源 ***

2021年，LockBit升级为2.0版本，加密数据的速度能达到373MB/s，在不到20分钟内便可以从受感染设备上盗取并加密100GB的数据，是普通勒索病毒加密速度的3倍以上。8月，全球IT咨询巨头埃森哲遭受来自LockBit团伙的攻击，LockBit勒索团队声称窃取了超过6TB的数据，并勒索5000万美元（约3.2亿人民币）赎金。

专家揭勒索病毒真面目 勒索病毒恐怖新变种

12号，全球近百个国家和地区遭受到一种勒索软件的攻击，有 *** 安全公司表示，目前全球至少发生了约7万5千起此类 *** 攻击事件。事件发生后，受波及的多国采取应对措施，欧洲刑警组织也对“幕后黑手”展开调查。

13号，欧洲刑警组织在其官网上发布消息称，欧洲刑警组织已经成立 *** 安全专家小组，对发动本轮 *** 攻击的“幕后黑手”展开调查。此外，欧洲刑警组织还开始与受影响国家的相关机构展开紧密合作，共同应对 *** 攻击威胁，并向受害者提供帮助。

据报道，电脑被这种勒索软件感染后，其中文件会被加密锁住，支付攻击者所要求的赎金后才能解密恢复。 *** 安全专家说，这种勒索软件利用了“视窗”操作系统的一个名为“永恒之蓝”的漏洞。

微软发布相关漏洞补丁

美国微软公司12号宣布针对攻击所利用的“视窗”操作系统漏洞，为一些它已停止服务的“视窗”平台提供补丁。

英全民医疗体系电脑系统恢复正常

在本轮 *** 攻击中，英国NHS，也就是全民医疗体系旗下多家医疗机构的电脑系统瘫痪。目前，除了其中6家外，其余约97%已经恢复正常。英国首相特雷莎·梅13号发表讲话，称英国国家 *** 安全中心正在与所有受攻击的机构合作调查。

事实上，这次大规模的 *** 攻击并不仅限于英国。当地时间12号，俄罗斯内政部表示，内政部约1000台电脑遭黑客攻击，但电脑系统中的信息并未遭到泄露。同样遭到攻击的美国联邦快递集团表示，部分使用Windows操作系统的电脑遭到了攻击，目前正在尽快补救。西班牙国家情报中心也证实，西班牙多家公司遭受了大规模的 *** 黑客攻击。电信业巨头西班牙电信总部的多台电脑陷入瘫痪。

研究人员：全球损失不可估量

美国著名软件公司赛门铁克公司研究人员13号预计，此次 *** 攻击事件，全球损失不可估量。

赛门铁克公司研究人员表示，修复漏洞中最昂贵的部分是清空每台受攻击的电脑或服务器的恶意软件，并将数据重新加密。单单此项内容就将花费高达数千万美元。

据路透社报道，软件公司关于修复漏洞的高额损失并没有包含受影响的企业所遭受的损失。

我国相关部门采取防范措施

由于这个勒索蠕虫病毒的发展速度迅猛，不仅在世界范围内造成了极大的危害，对我国的很多行业 *** 也造成极大影响，目前已知遭受攻击的行业包括教育、石油、交通、公安等，针对这个情况，公安部网安局正在协调我国各家 *** 信息安全企业对这个勒索蠕虫病毒进行预防和查杀。

据公安部网安局专家介绍，虽然目前国内部分 *** 运营商已经采取了防范措施，但是在一些行业内网中依然存在大量漏洞，并成为攻击目标，而一旦这些行业内部的关键服务器系统遭到攻击，从而将会带来很严重的损失。

公安部 *** 安全保卫局总工程师 郭启全：因为它是在互联网上传播，互联网是连通的，所以它是全球性的。有些部门的内网本来是和外网是逻辑隔离或者是物理隔离的，但是现在有些行业有些非法外联，或者是有些人不注意用U盘又插内网又插外网，因此很容易把病毒带到内网当中。

据记者了解，这个勒索蠕虫病毒会在局域网内进行主动攻击，病毒会通过文件共享端口进行蠕虫式感染传播，而没有修补系统漏洞的局域网用户就会被病毒感染。

公安部 *** 安全保卫局总工程师 郭启全：现在我们及时监测病毒的传播、变种情况，然后还是要及时监测发现，及时通报预警，及时处置。这几天，全国公安机关和其他部门和专家密切配合，特别是一些信息安全企业的专家，尽快支持我们重要行业部门，去快速处置，快速升级，打补丁，另外公安机关还在开展侦查和调查。

勒索蠕虫病毒真面目如何?

5月12日开始散播勒索蠕虫病毒，从发现到大面积传播，仅仅用了几个小时，其中高校成为了重灾区。那么，这款病毒是一个什么样的病毒，如何传播，何以造成如此严重的后果呢?

这款勒索蠕虫病毒是针对微软的永恒之蓝的漏洞进行传播和攻击的。一旦电脑感染该病毒，被感染电脑会主动对局域网内的其他电脑进行随机攻击，局域网内没有修补漏洞的电脑理论上将无一幸免的感染该病毒。而该漏洞微软在今年3月份已经发布补丁，对漏洞进行了修复。

*** 安全专家 孙晓骏：这个病毒利用了一个漏洞，但是我们用户没有打补丁的习惯，没有及时修复这次漏洞，这个病毒样本通过漏洞攻击了非常多的电脑。

根据 *** 安全公司数据统计，截止5月13日晚8点，我国共有39730家机构被感染，其中教育科研机构有4341家，高校成为了这次蠕虫病毒的重灾区。

*** 安全专家 孙晓骏：这次病毒利用了445的一个重要的端口。校园网因为ip直连的情况，导致没有一个nat和防火墙来阻断对445端口的访问所以在校园网没有打补丁的机器就直接暴露在病毒之下了。

因为电脑蠕虫病毒有主动攻击的特性，所以每一次蠕虫病毒的传播范围都很广。然而在5月12号爆发的蠕虫病毒与以往不同，它入侵电脑后会加密电脑中图片、文档、视频、压缩包等各类资料，并跳出弹窗，被告之只有交了赎金，才能解密电脑中被加密的资料。

被感染蠕虫病毒后，不到十秒，电脑里的所有用户文件全部被加密无法打开。 *** 安全专家介绍，用户电脑一旦被感染这种勒索病毒，被加密的文件目前还没有找到有效的办法可以解锁。而专家并不建议用户支付赎金取得解锁。

*** 安全专家 孙晓骏：加密的文件会根据病毒指引去付赎金获得密钥，但是根据目前的研究看成功的几率非常低，整个互联网安全界在积极的探索有没有办法解开这个密钥。因为它用的是高强度非对称加密的算法，这个密钥空间非常大，就算用暴力破解也需要非常长的时间，目前来看是不可接受的。

针对已经被感染病毒的用户，专家建议首先使用安全软件查杀蠕虫病毒，并保留被加密的文件，待日后 *** 安全公司找到有效 *** 后再进行解锁。

5月15日可能再次迎来病毒传染高峰

勒索蠕虫病毒从发现到爆发，仅用了几个小时，然而 *** 专家表示，传染高峰期不能单纯认为已经过去。在5月15日，也就是下周一可能再次出现一个高峰， *** 专家特别提示，网民们一定要做好防范措施。

这次勒索蠕虫病毒爆发的时间是5月12日，星期五，正是机构和单位休息的周末， *** 安全专家提示，周一上班首先要做的就是先断网，进行补丁修复。

*** 安全专家 孙晓骏：周一上班一定要先拔网线，安装安全软件，打上补丁，然后再插上网线进行工作，否则没有打补丁的电脑非常大的几率会收到蠕虫病毒攻击。

席卷全球的WannaCry勒索病毒的影响仍在持续，目前至少有150个国家受到 *** 攻击。北京青年报记者了解到，国内除了多所高校遭到了 *** 攻击，还有相当一部分企事业单位的电脑也同样中招。据英国媒体报道，一名22岁的英国 *** 工程师注意到，这一勒索病毒曾不断尝试进入一个极其特殊、尚不存在的网址，他顺手注册了这个域名竟然阻拦了病毒的蔓延趋势。令人遗憾的是，勒索病毒未来仍有进一步蔓延的趋势。昨天下午，国家 *** 与信息安全信息通报中心紧急通报，在全球范围内爆发的勒索病毒出现了变种，英国小伙无意间发现的“治毒 *** ”已经失效。

国内多家单位遭病毒攻击

5月12日晚，WannaCry勒索病毒在全球多个国家蔓延，国内多所高校的 *** 遭受到勒索病毒的攻击，大量学生毕业论文等重要资料被病毒加密，只有支付赎金才能恢复。

昨日，北青报记者了解到，受到该病毒影响的不仅仅是校园网，还包括部分企事业单位。

据一名中国联通郑州分公司的工作人员称，5月14日，因为受到比特币勒索病毒的影响，单位电脑全部瘫痪。

5月13日，响水公安局出入境办事处发布消息称，因公安网遭遇新型病毒攻击，暂时停办出入境业务，具体恢复时间等待通知。

“弄了一宿，数据也没有恢复过来。”昨天，山东的一名民警告诉北青报记者，受到勒索病毒影响，单位存储资料的电脑被锁定，学习计算机专业的他最终也只能束手无策。

中石油部分加油站受影响

同样受影响的还有中国石油加油站。昨日，中国石油在其官网中发布公告称，5月12日22点30分左右，因全球比特币勒索病毒爆发，公司所属部分加油站正常运行受到波及。病毒导致加油站加油卡、银行卡、第三方支付等 *** 支付功能无法使用。不过，加油及销售等基本业务运行正常，加油卡账户资金安全不受影响。

昨日下午，北青报记者与北京地区五个中国石油加油站取得了联系。

其中中国石油首汽12号加油站的工作人员表示，13日起，因为受到新型病毒的影响，加油站的手机支付、加油卡支付等多种支付方式均受到影响，虽然上午进行了紧急抢修，但仍存在 *** 不稳定的情况。中国石油国门加油站的工作人员告诉北青报记者，截至下午4点，国门加油站仍只接受现金支付或国门加油站的加油卡支付费用。

中国石油昨天下午表示，根据现场验证过的技术解决方案，开始逐站实施恢复工作。80%以上加油站已经恢复 *** 连接，受病毒感染的加油站正在陆续恢复加油卡、银行卡、第三方支付功能。

中国石油大湖山庄西南、中国石油东鹏加油站、中国石油京顺加油站的工作人员告诉北青报记者，已经在中午前恢复了手机支付和加油卡支付的功能。

病毒传播一度被意外拦阻

来自英国的消息似乎为战胜勒索病毒带来了一丝希望。

英国媒体13日报道，一名22岁的英国 *** 工程师12日晚注意到，这一勒索病毒正不断尝试进入一个极其特殊、尚不存在的网址，于是他顺手花8.5英镑(约合75元人民币)注册了这个域名，试图借此网址获取勒索病毒的相关数据。

令人不可思议的是，此后勒索病毒在全球的进一步蔓延竟然得到了阻拦。

这名工程师和同事分析，这个奇怪的网址很可能是勒索病毒开发者为避免被 *** 安全人员捕获所设定的“检查站”，而注册网址的行为无意触发了程序自带的“自杀开关”。

也就是说，勒索病毒在每次发作前都要访问这个不存在的网址，如果网址继续不存在，说明勒索病毒尚未引起安全人员注意，可以继续在 *** 上畅行无阻;而一旦网址存在，意味着病毒有被拦截并分析的可能。

在这种情况下，为避免被 *** 安全人员获得更多数据甚至反过来加以控制，勒索病毒会停止传播。

勒索病毒已经出现新变种

意外拦阻勒索病毒的英国 *** 工程师和一些 *** 安全专家都表示，这种 *** 目前只是暂时阻止了勒索病毒的进一步发作和传播，但帮不了那些勒索病毒已经发作的用户，也并非彻底破解这种勒索病毒。

他们推测，新版本的勒索病毒很可能不带这种“自杀开关”而卷土重来。这种推测果然很快成为现实。

昨天国家 *** 与信息安全信息通报中心紧急通报：监测发现，在全球范围内爆发的WannaCry勒索病毒出现了变种：WannaCry 2.0， 与之前版本的不同是，这个变种不能通过注册某个域名来关闭变种勒索病毒的传播，该变种传播速度可能会更快。

北京市委网信办、北京市公安局、北京市经信委也联合发出《关于WannaCry勒索蠕虫出现变种及处置工作建议的通知》。

该通知要求各单位立即组织内网检测，一旦发现中毒机器，立即断网处置，严格禁止使用U盘、移动硬盘等可执行摆渡攻击的设备。《通知》称，目前看来对硬盘格式化可清除病毒。

欧盟刑警组织下属的欧洲 *** 犯罪中心13日表示，此次勒索病毒攻击的规模之大前所未有，需要通过复杂的国际调查寻找犯罪嫌疑人，欧盟刑警组织已和多国合作对此次攻击展开调查。

新爆发的勒索病毒是什么？

10月25日电一种名为“坏兔子”的新勒索病毒日前攻击了俄罗斯、乌克兰等国的媒体、交通设施等多个目标的计算机 *** 。

俄罗斯 *** 安全厂商卡巴斯基实验室25日报告说，据它所知，目前“坏兔子”已经攻击了位于俄罗斯、乌克兰、土耳其和德国境内的约200家公司的计算机 *** 。其中，大部分目标位于俄罗斯境内。

据俄媒报道，截至25日晚，俄罗斯已有多家媒体的计算机 *** 遭“坏兔子”攻击，包括国际文传电讯社、《丰坦卡报》等。

另据俄罗斯 *** 安全公司Group－IB透露，“坏兔子”此次还曾试图入侵俄罗斯几家主要银行的计算机系统，但告失败。俄罗斯中央银行25日报告说确实记录到了“坏兔子”对其系统的攻击行为，但银行电脑系统并未被破坏。

在乌克兰，“坏兔子”使得乌南部敖德萨国际机场以及首都基辅的地铁等交通设施的旅客信息处理系统或 *** 支付系统一度瘫痪。

据外媒报道，这一轮的“坏兔子”勒索病毒攻击可能源于乌克兰。

分析人士认为，此轮勒索病毒攻击与今年6月那次勒索病毒攻击类似。当时，已知病毒Petya的一个变种病毒利用黑客工具“永恒之蓝”，对多个国家的医院、 *** 办公 *** 以及多家跨国公司的电脑中文件进行了加密锁定，索要以比特币形式支付的赎金。

更早的5月份，全球上百个国家遭受名为“想哭”的勒索病毒攻击。“想哭”病毒也利用了黑客工具“永恒之蓝”。“永恒之蓝”是美国国家安全局基于微软“视窗”操作系统一个安全漏洞开发的黑客工具，后来被黑客盗取并在网上公布。

今年以来，勒索病毒频繁发作。多家 *** 安全公司提示， *** 、公司等的计算机应该及时安装系统更新。另外，由于勒索病毒常通过电子邮件传播，用户应谨慎打开未知文件。

在使用 *** 时，要小心谨慎。

威胁升级！新一轮勒索病毒来袭！

提到今年5月刚刚席卷150多个国家的“WannaCry”勒索病毒，很多网友一定还心有余悸，当时大规模的校园网、局域网用户都曾不慎中招。

近日，代号为Petya的新一轮勒索病毒袭击了英国、乌克兰等多个国家，目前中国国内也已有用户中招。

Petya勒索病毒感染的电脑。腾讯安全反病毒实验室供图。

病毒加密硬盘，勒索比特币

新勒索病毒Petya不仅对文件进行加密，而且直接将整个硬盘加密、锁死，在出现以下界面并瘫痪后，其会自动向局域网内部的其它服务器及终端进行传播。

同时，用户的电脑开机后则会黑屏，并显示如下的勒索信↓

信中称，用户想要解锁，需要向黑客的账户转折合300美元的比特币。

根据比特币交易市场的公开数据显示，病毒爆发最初一小时就有10笔赎金付款，其“吸金”速度完全超越了WannaCry。

与之前病毒相比，威胁升级

专家称，这轮病毒足以与5月席卷全球的勒索病毒的攻击性相提并论。

而且与之相比，Petya勒索病毒变种的传播速度更快。

它不仅使用了NSA“永恒之蓝”等黑客武器攻击系统漏洞，还会利用“管理员共享”功能在内网自动渗透。

在欧洲国家重灾区，新病毒变种的传播速度达到每10分钟感染5000余台电脑，多家运营商、石油公司、零售商、机场、ATM机等企业和公共设施已大量沦陷，甚至乌克兰副总理的电脑也遭到感染。

来源：这里是美国

此外，Petya勒索病毒还在以下方面威胁程度升级：

1.感染并加密本地文件的病毒进行了更新，杀毒软件除非升级至最新版病毒库，否则无法查杀及阻止其加密本机文件系统；

2.Petya综合利用了“5.12WannaCry”及“6.23勒索病毒新变种”所利用的所有Windows系统漏洞，包括MS17-010(5.12WannaCry永恒之蓝勒索病毒)及CVE-2017-8543/CVE-2017-8464(6.23勒索病毒新变种)等补丁对应的多个系统漏洞进行传播。

3.本次新变异病毒（Petya）是直接将整个硬盘加密和锁死，用户重启后直接进入勒索界面，若不支付比特币将无法进入系统。

防止感染，立刻这样设置电脑

由于目前黑客用来接受转账的比特币账户已经被封，所以即使用户给黑客转账也不能解锁自己的电脑了。

所以，为了自己的电脑设备不受影响，可以按小新的 *** 设置电脑↓

一、下载修复补丁

黑客是利用微软Windows系统的新漏洞，开发出新变种的勒索病毒，并在过去几天向互联网展开了初步攻击。

在6月13日，微软就已经在官网上发布了新漏洞有关的补丁。

下载地址：请戳这里

操作指南：

先打开网页，会看到CVE-2017-8543、CVE-2017-8464，找到相应版本的补丁进行下载（目前XP、Window2003不受影响），并执行相应主机及个人电脑的补丁升级。

二.限制端口访问

1、打开控制面板-系统与安全-Windows防火墙，点击左侧启动或关闭Windows防火墙

2、选择启动防火墙，并点击确定

3、点击高级设置

4、点击入站规则，新建规则

5、选择端口，下一步

6、特定本地端口，输入445，下一步

7、选择阻止连接，下一步

8、配置文件，全选，下一步

9、名称，可以任意输入，完成即可。

10.将第6步中的端口替换为135后，重复一次所有步骤。

三、停止服务器的WMI服务

WMI（Windows Management Instrumentation Windows 管理规范）是一项核心的 Windows 管理技术 你可以通过如下 *** 停止 ：

1.在服务页面开启WMI服务。在开始-运行，输入services.msc，进入服务。

或者，在控制面板，查看方式选择大图标，选择管理工具，在管理工具中双击服务。

2.在服务页面，按W，找到WMI服务，找到后，双击 ，直接点击停止服务即可，如下图所示：

来源：360官方微博

四、更新杀毒软件

目前，市面上主流的杀毒软件与电脑保护软件均有插件或程序，可以绝大程度上保护电脑不受新型勒索病毒感染。

来源：360官方微博

来源：腾讯电脑管家截图

用户只需在软件内搜索Petya，或到其官网搜索修复工具即可。

五、提高用户安全意识

1.限制管理员权限。

Petya勒索病毒的运行需要管理员权限，企业网管可以通过严格审查限制管理员权限的方式减少攻击面，个人用户可以考虑使用非管理员权限的普通账号登陆进行日常操作。

2.关闭系统崩溃重启。

Petya勒索病毒的“发病”需要系统重启，因此想办法避免系统重启也能有效防御Petya并争取漏洞修补或者文件抢救时间。只要系统不重新启动引导，病毒就没有机会加密MFT主文件分区表，用户就有机会备份磁盘中的文件（微软官方教程）。

3.不要轻易点击不明附件。

尤其是rtf、doc等格式。

4.备份重要数据。

重要文件进行本地磁盘冷存储备份，以及云存储备份。

5.内网中存在使用相同账号、密码情况的机器请尽快修改密码，未开机的电脑请确认口令修改完毕、补丁安装完成后再进行联网操作。

来源：人民网（people_rmw）、中国新闻网 （cns2012）、中国青年网、Microsoft官网、360官方微博、中国经济网等

“勒索”病毒给互联网造成了哪些危害？

“勒索”病毒的消息，这种病毒致使许多高校毕业生的毕业论文（设计）被锁，支付赎金后才能解密。全球许多国家的医院及科研机构等也都遭受了攻击。

国内高校是这次攻击的重灾区

国内高校是这次攻击的重灾区，电脑上的资料文档会被锁，需要付费才能解锁。

不少同学的毕业论文、毕业设计等重要资料已经宣告“沦陷”。部分高校已发布预警信息。

很多国家都受到“勒索”病毒攻击

有消息说，目前全球范围内有大量的机构报告，受到了“勒索”病毒的攻击，这些机构分别在美国、英国、中国、俄罗斯、西班牙、意大利、越南等地。

据报道，英国多家医院周五也因“大规模”的黑客攻击而瘫痪。手术被取消，救护车被迫转向其他医院。

医疗工作者报告说，他们的系统被锁定了，根本进不去。屏幕上有消息显示，要求他们支付“赎金”以重新开启。

昨夜0点左右，@英国那些事儿 发微博称：

大事件，就在一个多小时以前，全英国上下16家医院遭到大范围 *** 攻击……医院的内网被攻陷，电脑被锁定， *** 也不通……黑客索要每家医院300比特币（接近400万人民币）的赎金，否则将删除所有资料……现在这16家机构对外联系基本中断，内部恢复使用纸笔进行紧急预案……英国国家 *** 安全部门正在调查，现在攻击仍在进行中……

英国NHS（英国国家医疗服务体系）描述这起事件为“勒索”攻击。至少有16个连接到NHS的机构受到影响。“目前，调查还在早期阶段，但我们认为，恶意软件是Wanna Decryptor。”NHS数字在一份声明中说，“现阶段，我们没有任何证据表明病人数据已被访问。我们将继续与受影响的机构合作，确认这一点。”

据法新社报道，周五（12日），伦敦、英格兰西北部和该国其他地区的医院正在报告计算机系统的问题。医院要求病人除非是紧急情况，不要来医院。

据路透社报道，星期五早些时候，西班牙 *** 表示，西班牙也有大量的公司受到类似的攻击。这些公司包括电信巨头Telefonica和电力公司drola。

如何防范“勒索”病毒攻击？

以下是山东大学给出的建议，供大家参考：