勒索病毒发生变种防御专杀工具

应用介绍

勒索病毒发生变种了现在勒索病毒2.0即将出炉，相信不少的小伙伴都在关心自己的电脑安全吧！本次就为大家带来最新的勒索病毒发生变种防御专杀工具，让你能在第一时间安装好和防御好自己的电脑，现在你能方便的修复自己的电脑，有需要的玩家赶紧网络安全组！

勒索病毒发生变种说明

国家网络与信息安全信息通报中心紧急通报：监测发现，在全球范围内爆发的WannaCry勒索病毒出现了变种：WannaCry2.0，与之前版本的不同是，这个变种取消了KillSwitch，不能通过注册某个域名来关闭变种勒索病毒的传播，该变种传播速度可能会更快。请广大网民尽快升级安装Windows操作系统相关补丁，已感染病毒机器请立即断网，避免进一步传播感染。

勒索病毒情况介绍

勒索病毒WannaCry在全球蔓延，据不完全统计，目前已经入侵99个国家7.5万台电脑，其中中国高校受到的伤害最严重，而这个学生们带来的打击也是超级大的，毕竟已经是论文季了。

WannaCry的背后制作者利用了去年被盗的美国国家安全局（NSA）自主设计的Windows系统黑客工具EternalBlue，然后稍加修改后让它开始在全球蔓延肆意勒索，其实今年3月份微软曾发出过紧急修复补丁，不知道为何这个病毒又开始集中爆发。

鉴于这个勒索病毒扩散的越来越广泛，微软也是公开回应，他们为新的恶意软件Rensom添加了检测和保护：Win32.WannaCrypt，同时还正在与客户合作提供额外的帮助。

为了打消更多用户的顾虑，现在微软再次发出公告，如果用户使用的是全新版本的Windows10系统，并开启WindowsDefender的话，那么就会免疫这些勒索病毒。

对于那些失去安全更新支持的WindowsXP和WindowsVista操作系统，其非常容易遭受此类病毒的感染，微软建议用户尽早更新至全新操作系统应对。

目前应对的解决办法是

1、为计算机安装最新的安全补丁，微软已发布补丁MS17-010修复了“永恒之蓝”攻击的系统漏洞，请尽快安装此安全补丁，对于WindowsXP、2003等微软已不再提供安全更新的机器，可以借助其它安全软件更新漏洞。

2、关闭445、135、137、138、139端口，关闭网络共享。

3、强化网络安全意识：不明链接不要点击，不明文件不要下载，不明邮件不要打开……

4、尽快（今后定期）备份自己电脑中的重要文件资料到移动硬盘、U盘，备份完后脱机保存该磁盘。

5、建议仍在使用WindowsXP，Windows2003操作系统的用户尽快升级到Window7/Windows10，或Windows2008/2012/2016操作系统。

WannaCry2.0变种病毒基本介绍

WannaCry勒索病毒文件攻击流程

勒索病毒被漏洞远程执行后，会从资源文件夹下释放一个压缩包，此压缩包会在内存中通过密码：WNcry@2ol7解密并释放文件。这些文件包含了后续弹出勒索框的exe，桌面背景图片的bmp，包含各国语言的勒索字体，还有辅助攻击的两个exe文件。这些文件会释放到了本地目录，并设置为隐藏。

其中u.wnry*就是后续弹出的勒索窗口。

窗口右上角的语言选择框，可以针对不同国家的用户进行定制的展示。这些字体的信息也存在与之前资源文件释放的压缩包中。

通过分析病毒，可以看到，以下后缀名的文件会被加密：docx.docb.docm.dot.dotm.dotx.xls.xlsx.xlsm.xlsb.xlw.xlt.xlm.xlc.xltx.xltm.ppt.pptx.pptm.pot.pps.ppsm.ppsx.ppam.potx.potm.pst.ost.msg.eml.edb.vsd.vsdx.txt.csv.rtf.123.wks.wk1.pdf.dwg.onetoc2.snt.hwp.602.sxi.sti.sldx.sldm.sldm.vdi.vmdk.vmx.gpg.aes.ARC.PAQ.bz2.tbk.bak.tar.tgz.gz.7z.rar.zip.backup.iso.vcd.jpeg.jpg"/>.bmp.png.gif.raw.cgm.tif.tiff.nef.psd.ai.svg.djvu.m4u.m3u.mid.wma.flv.3g2.mkv.3gp.mp4.mov.avi.asf.mpeg.vob.mpg.wmv.fla.swf.wav.mp3.sh.class.jar.java.rb.asp.php.jsp.brd.sch.dch.dip.pl.vb.vbs.ps1.bat.cmd.js.asm.h.pas.cpp.c.cs.suo.sln.ldf.mdf.ibd.myi.myd.frm.odb.dbf.db.mdb.accdb.sql.sqlitedb.sqlite3.asc.lay6.lay.mml.sxm.otg.odg.uop.std.sxd.otp.odp.wb2.slk.dif.stc.sxc.ots.ods.3dm.max.3ds.uot.stw.sxw.ott.odt.pem.p12.csr.crt.key.pfx.der。

以图片为例，查看电脑中的图片，发现图片文件已经被勒索软件通过WindowsCryptoAPI进行AES+RSA的组合加密。并且后缀名改为了*.WNCRY

此时如果点击勒索界面的decrypt，会弹出解密的框。

但必须付钱后，才可以解密

115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn

12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw

13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94。

作者目前是通过这三个账号随机选取一个作为钱包地址，收取非法钱财。