5月12日起，Onion、WNCRY两类敲诈者病毒变种在全国乃至全世界大范围内出现爆发态势，大量个人和企业、机构用户中招。

与以往不同的是，这次的新变种病毒添加了NSA(美国国家安全局)黑客工具包中的“永恒之蓝”0day漏洞利用，通过445端口(文件共享)在内网进行蠕虫式感染传播。

没有安装安全软件或及时更新系统补丁的其他内网用户极有可能被动感染，所以目前感染用户主要集中在企业、高校等内网环境下。

一旦感染该蠕虫病毒变种，系统重要资料文件就会被加密，并勒索高额的比特币赎金，折合人民币2000-50000元不等。

从目前监控到的情况来看，全网已经有数万用户感染，QQ、微博等社交平台上也是哀鸿遍野，后续威胁也不容小觑。

敲诈勒索病毒＋远程执行漏洞蠕虫传播的组合致使危险度剧增，对近期国内的网络安全形势一次的严峻考验。

事发后，微软和各大安全公司都第一时间跟进，更新旗下安全软件。金山毒霸也特别针对本次敲诈者蠕虫，给出了详细的安全防御方案、传播分析，以及其他安全建议。

我们也汇总了所有Windows系统版本的补丁，请大家务必尽快安装更新。

本轮敲诈者蠕虫病毒传播主要包括Onion、WNCRY两大家族变种，首先在英国、俄罗斯等多个国家爆发，有多家企业、医疗机构的系统中招，损失非常惨重。

安全机构全球监测已经发现目前多达74个国家遭遇本次敲诈者蠕虫攻击。

从5月12日开始，国内的感染传播量也开始急剧增加，在多个高校和企业内部集中爆发并且愈演愈烈。

全球74个国家遭遇Onion、WNCRY敲诈者蠕虫感染攻击

24小时内监测到的WNCRY敲诈者蠕虫攻击次数超过10W+

本次感染急剧爆发的主要原因在于其传播过程中使用了前段时间泄漏的美国国家安全局(NSA)黑客工具包中的“永恒之蓝”漏洞(微软3月份已经发布补丁，漏洞编号MS17-010)。

和历史上的“震荡波”、“冲击波”等大规模蠕虫感染类似，本次传播攻击利用的“永恒之蓝”漏洞可以通过445端口直接远程攻击目标主机，传播感染速度非常快。

 

本次敲诈者蠕虫病毒变种通过“永恒之蓝”漏洞进行网络攻击

虽然国内部分网络运营商已经屏蔽掉个人用户的445网络端口，但是在教育网、部分运行商的大局域网、校园企业内网依旧存在大量暴漏的攻击目标。

对于企业来说尤其严重，一旦内部的关键服务器系统遭遇攻击，带来的损失不可估量。

从检测到反馈情况看，国内多个高校都集中爆发了感染传播事件，甚至包括机场航班信息、加油站等终端系统遭受影响，预计近期由本次敲诈者蠕虫病毒造成的影响会进一步加剧。

全国各地的高校内网的敲诈者蠕虫感染攻击爆发

某高校机房全部遭遇WNCRY敲诈者蠕虫攻击

国内某地加油站系统遭遇本次敲诈者蠕虫变种攻击

某机场航班信息终端同样遭遇了敲诈者蠕虫攻击

【敲诈蠕虫病毒感染现象】

中招系统中的文档、图片、压缩包、影音等常见文件都会被病毒加密，然后向用户勒索高额比特币赎金。

WNCRY变种一般勒索价值300-600美金的比特币，Onion变种甚至要求用户支付3个比特币，以目前的比特币行情，折合人民币在3万左右。

此类病毒一般使用RSA等非对称算法，没有私钥就无法解密文件。WNCRY敲诈者病毒要求用户在3天内付款，否则解密费用翻倍，并且一周内未付款将删除密钥导致无法恢复。