比特币病毒-快答二

比特币病毒

的有关信息介绍如下：

比特币病毒

昨天抽风去了电子阅览室，刚插上U盘没多久，老师就突然大声说让大家把U盘拔下来，有学生发现U盘里的文件全部都打不开了，还多了两个要钱的文件。

于是大家都匆忙查看，只要U盘在学校电脑上插过的都中毒了，晚上出现大规模电脑中毒情况。

很多人的资料、毕业论文都在电脑中，真的觉得黑客这种行为太恶心了，为了钱，不管不顾学生的前途，老师毕生的科研成果……

希望尽早抓到犯罪分子，给予法律的严惩！

什么是比特币病毒？

据百度百科，比特币敲诈病毒（CTB-Locker）最早在2015年初传入中国，随后出现爆发式传播。该病毒通过远程加密用户电脑文件，从而向用户勒索赎金，用户只能在支付赎金后才能打开文件。

其最新变种的敲诈金额为3个比特币，约合人民币6000余元。该病毒通过伪装成邮件附件，一旦受害者点击运行，就会弹出类似“订单详情”的英文文档。这时病毒已经在系统后台悄悄运行，并将在10分钟后开始发作。

病毒发行者是利用了去年被盗的美国国家安全局（NSA）自主设计的 Windows 系统黑客工具 Eternal Blue，把今年 2 月的一款勒索病毒进行升级后的产物，被称作 WannaCry。

这个病毒会扫描开放 445 文件共享端口的 Windows 设备，只要用户的设备处于开机上网状态，黑客就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序。

一些安全研究人员指出，这次大规模的网络袭击似乎是通过一个蠕虫病毒应用部署的，WannaCry 可以在计算机之间传播。更为可怕的是，与大部分恶意程序不同，这个程序可以自行在网络中进行复制传播，而当前的大多数病毒还需要依靠中招的用户来传播，方法则是通过欺骗他们点击附有攻击代码的附件。

这次袭击已经使得 99 个国家和多达 75,000 台电脑受到影响，但由于这种病毒使用匿名网络和比特币匿名交易获取赎金，想要追踪和定位病毒的始作俑者相当困难。

当系统被该勒索软件入侵后，弹出勒索对话框：

勒索界面

加密系统中的照片、图片、文档、压缩包、音频、视频、可执行程序等几乎所有类型的文件，被加密的文件后缀名被统一修改为“.WNCRY”。

加密后的文件名

攻击者极其嚣张，号称“除攻击者外，就算老天爷来了也不能恢复这些文档” （该勒索软件提供免费解密数个加密文件以证明攻击者可以解密加密文件，“点击按钮，就可以免费恢复一些文档。”该勒索软件作者在界面中发布的声明表示，“3天内付款正常，三天后翻倍，一周后不提供恢复”）。现实情况非常悲观，勒索软件的加密强度大，没有密钥的情况下，暴力破解需要极高的运算量，基本不可能成功解密。

图3 可解密数个文件

该勒索软件采用包括英语、简体中文、繁体中文等28种语言进行“本地化”。

28种语言

该勒索软件会将自身复制到每个文件夹下，并重命名为“@WanaDecryptor@.exe”。同时衍生大量语言配置等文件：

该勒索软件AES和RSA加密算法，加密的文件以“WANACRY!”开头：

加密文件

加密如下后缀名的文件：

PNG.PGD.PSPIMAGE.TGA.THM.TIF.TIFF.YUV.AI.EPS.PS.SVG.INDD.PCT.PDF.XLR.XLS.XLSX.ACCDB.DB.DBF.MDB.PDB.SQL.APK.APP.BAT.CGI.COM.EXE.GADGET.JAR.PIF.WSF.DEM.GAM.NES.ROM.SAV.CAD.DWG.DXF.GPX.KML.KMZ.ASP.ASPX.CER.CFM.CSR.CSS.HTM.HTML.JS.JSP.PHP.RSS.XHTML.DOC.DOCX.LOG.MSG.ODT.PAGES.RTF.TEX.TXT.WPD.WPS.CSV.DAT.GED.KEY.KEYCHAIN.PPS.PPT.PPTX.INI.PRF.HQX.MIM.UUE.7Z.CBR.DEB.GZ.PKG.RAR.RPM.SITX.TAR.GZ.ZIP.ZIPX.BIN.CUE.DMG.ISO.MDF.TOAST.VCD.TAR.TAX2014.TAX2015.VCF.XML.AIF.IFF.M3U.M4A.MID.MP3.MPA.WAV.WMA.3G2.3GP.ASF.AVI.FLV.M4V.MOV.MP4.MPG.RM.SRT.SWF.VOB.WMV.3DM.3DS.MAX.OBJ.BMP.DDS.GIF.JPG.CRX.PLUGIN.FNT.FOX.OTF.TTF.CAB.CPL.CUR.DESKTHEMEPACK.DLL.DMP.DRV.ICNS.ICO.LNK.SYS.CFG

注：该勒索软件的部分版本在XP系统下因文件释放未成功而未加密用户文件。

临时解决方案 -开启系统防火墙 -利用系统防火墙高级设置阻止向445端口进行连接（该操作会影响使用445端口的服务） -打开系统自动更新，并检测更新进行安装

什么是比特币?

比特币是一种虚拟货币，不依靠特定机构发行，依据特定算法，通过大量的计算产生。可以购买现实或虚拟物品，也可以兑换成大多数国家的货币。

什么是比特币敲诈病毒?

据百度百科，比特币敲诈病毒(CTB-Locker)最早在2015年初传入中国，随后出现爆发式传播。该病毒通过远程加密用户电脑文件，从而向用户勒索赎金，用户只能在支付赎金后才能打开文件。

比特币敲诈病毒从哪里来?

CTB-Locker是国外最泛滥的病毒家族之一，FBI也已介入调查。但由于此?病毒使用匿名网络和比特币匿名交易获取赎金，难以追踪和定位病毒的始作俑者，目前病毒元凶仍逍遥法外。

据路透社报道，“比特币敲诈者”木马家族的作者名叫艾维盖尼耶米哈伊洛维奇波格契夫，是一名俄罗斯黑客，在FBI通缉的十大黑客名单中排名第二。

通过比特币感染图，可以看到受黑客攻击的地区主要集中在：中国、欧洲、美国、澳洲等地区。

首先比特币病毒是一个windows病毒，安卓，ios，linux,系统的用户可以不用担心感染，这个病毒的特点就是在无需用户任何操作的情况下，植入恶意程序，目前世界上上百个国家已经被这个病毒入侵，而中国很多高校也出现了此病毒，而骇客们通过锁定电脑的所有文件来勒索用户交赎金，并且只收比特币，所以被称为比特币病毒。

这个病毒中毒的症状：windows系统的电脑在中毒的10分钟后，会给所有的文件加密，而且清除病毒之后，文件还是依然是加密的状态，如果超过96个小时没有支付，木马不会在弹出，加密的文件也会被锁定，无法恢复。

但是这次的勒索病毒与比特币本身并无直接关系，而黑客要求以比特币进行赎金支付，恰恰是看中了比特币在支付转账时的全球化、去中心化和匿名性等优势。

比特币被用于勒索，是因为比特币不仅相对于其他传统支付工具有优势，同时在其他虚拟货币中也是最佳选择。

首先，比特币有一定的匿名性，便于黑客隐藏身份；其次它不受地域限制，可以全球范围收款；同时比特币还有“去中心化”的特点，可以让黑客通过程序自动处理受害者赎金。而相比于其他数字货币，比特币目前占有最大的市场份额，具有最好的流动性，所以成为黑客选择。这和现实中犯罪人士喜欢使用美元现钞背后有相似的逻辑。

今天，一则新闻引起大家的注意，“全球爆发最大规模勒索病毒袭击”，这种病毒会通过邮件、网页甚至手机侵入。它会加密受害人电脑里的文件，然后你将完全打不开文件，只有按照要求支付一定数量的比特币才能解密。

那么我们首先应该清楚什么是比特币。比特币是一种网络加密虚拟货币，简单来说就算让人们以完全匿名的方式进行交易。人们设计比特币的初衷就是为了逃过政府机关的监管，用匿名的方式进行“金钱”交易。比特币是一种引起计算机迷、金融投机家和毒贩注意的虚拟货币，使用比特币网上购买任何东西而不必给出信用卡号码或银行账户信息，同时也能逃脱政府机关的监视，从事各种非法黑暗交易，例如毒品交易、枪支交易等等。此次的比特币病毒是一种特殊的恶意软件，其通过恶意阻断的方式使电脑受到远程控制，其与其他病毒最大的不同在于手法。以往的勒索软件单纯地将受害者的电脑锁起来；如今席卷全球的病毒则系统性地加密受害者硬盘上的文件。所有的勒索软件都会要求受害者缴纳赎金以取回对电脑的控制。受害者的电脑受到控制后都要求缴纳一定数量的比特币作为赎金，黑客们希望通过此种方式积聚比特币，期望比特币泡沫将每个比特币的价格推高到数百，甚至数千美元。从今天股市交易市场的情况看来，如今的比特币已被推到1万2千多美元一股。黑客要求缴纳的300元赎金就相当于400万美元。这样一比庞大的资金着实让人对信息科技充满了惶恐。