[传播感染背景]

全球74个国家遭遇Onion、WNCRY敲诈者蠕虫感染攻击

本轮敲诈者蠕虫病毒传播主要包括Onion、WNCRY两大家族变种，本次感染事件首先在英国、俄罗斯等多个国家爆发，新闻报道有多家企业、医疗机构的系统中招，损失非常惨重。安全机构全球监测已经发现目前多达74个国家遭遇本次敲诈者蠕虫攻击。从5月12日开始，国内的感染传播量也开始急剧增加，在多个高校和企业内部集中爆发并且愈演愈烈。

24小时内监测到的WNCRY敲诈者蠕虫攻击次数超过10w+

本次感染急剧爆发的主要原因在于其传播过程中使用了前段时间泄漏的美国国家安全局(NSA)黑客工具包中的“永恒之蓝”漏洞(微软3月份已经发布补丁，漏洞编号:MS17-010)。和历史上的“震荡波”、“冲击波”等大规模蠕虫感染类似，本次传播攻击利用的“永恒之蓝”漏洞可以通过445端口直接远程攻击目标主机，传播感染速度非常快。

本次敲诈者蠕虫病毒变种通过“永恒之蓝”漏洞进行网络攻击

虽然国内部分网络运营商已经屏蔽掉个人用户的445网络端口，但是在教育网、部分运行商的大局域网、校园企业内网依旧存在大量暴漏的攻击目标，对于企业来说尤其严重，一旦内部的关键服务器系统遭遇攻击，带来的损失不可估量。从我们检测到反馈情况看，国内多个高校都集中爆发了感染传播事件，甚至包括机场航班信息、加油站等终端系统遭受影响，预计近期由本次敲诈者蠕虫病毒造成的影响会进一步加剧。

全国各地的高校内网的敲诈者蠕虫感染攻击爆发

【敲诈蠕虫病毒感染现象】

感染WNCRY勒索病毒的用户系统弹出比特币勒索窗口

中招系统中的文档、图片、压缩包、影音等常见文件都会被病毒加密，然后向用户勒索高额比特币赎金。WNCRY变种一般勒索价值300~600美金的比特币，而onion变种甚至要求用户支付3个比特币，以目前的比特币行情，折合人民币在3万左右。此类病毒一般使用RSA等非对称算法，没有私钥就无法解密文件。WNCRY敲诈者病毒要求用户在3天内付款，否则解密费用翻倍，并且一周内未付款将删除密钥导致无法恢复。从某种意义上来说这种敲诈者病毒“可防不可解”，需要安全厂商和用户共同加强安全防御措施和意识。

用户文件资料被加密，后缀改为“wncry”，桌面被改为勒索恐吓

我们对部分变种的比特币支付地址进行追踪，发现目前已经有少量用户开始向病毒作者支付勒索赎金，从下图中我们可以看到这个变种的病毒作者已经收到19个用户的比特币赎金，累计3.58个比特币，市值约人民币4万元。