安天勒索wannacry專殺工具v1.0 最新版下載_

應用介紹

安天安全公司在第一時間針對病毒開發出了應對工具，勒索病毒安天勒索病毒文件一鍵恢複工具是一款修複能力相當強悍的手機文件一鍵恢複工具軟件，針對近期wana新型勒索病毒的不斷蔓延，正有愈演愈烈的態勢，目前該病毒已經席卷了全球眾多國家，數不勝數的電腦遭受病毒侵害，你的電腦是否已經遭受侵害了呢?這個工具全自動一鍵恢複工具，助你快速轉移電腦的重要文件資料！

工具介紹

麵對肆虐的Onion、WNCRY兩類勒索病毒變種在全國範圍內出現爆發的情況，安天已緊急發布比特幣勒索病毒免疫工具及應急處置方案。

據悉，勒索病毒變種增加了NSA黑客工具包中的“永恒之藍”0day漏洞利用，可在局域網內蠕蟲式主動傳播，未修補漏洞的係統會被迅速感染，勒索高額的比特幣贖金折合人民幣2000~50000不等。

目前已證實受感染的電腦集中在企事業單位、政府機關、高校等內網環境。安天資深安全專家指出，病毒加密用戶文檔後會刪除原文件，所以，存在一定機會恢複部分或全部被刪除的原文件。建議電腦中毒後，盡量減少操作，及時使用專業數據恢複工具，恢複概率較高。

什麼是比特幣病毒勒索病毒：“比特幣敲詐者” 2014年在國外流行，15年初在國內陸續被發現。這類木馬會加密受感染電腦中的docx、pdf、xlsx、jpg等114種格式文件，使其無法正常打開，並彈窗“敲詐”受害者，要求受害者支付3比特幣作為“贖金”，而按照記者從網上查詢到比特幣的比價，3比特幣差不多人民幣也要五六

元。這種木馬一般通過全英文郵件傳播，木馬程序的名字通常為英文，意為“訂單”“產品詳情”等，並使用傳真或表格圖標，極具迷惑性。收件人容易誤認為是工作文件而點擊運行木馬程序。

何謂勒索軟件

勒索軟件(ransomware)是一種流行的木馬，通過騷擾、恐嚇甚至采用綁架用戶文件等方式，使用戶數據資產或計算資源無法正常使用，並以此為條件向用戶勒索錢財。這類用戶數據資產包括文檔、郵件、數據庫、源代碼、圖片、壓縮文件等多種文件。贖金形式包括真實貨幣、比特幣或其它虛擬貨幣。一般來說，勒索軟件作者還會設定一個支付時限，有時贖金數目也會隨著時間的推移而上漲。有時，即使用戶支付了贖金，最終也還是無法正常使用係統，無法還原被加密的文件。

主要傳播手段

勒索軟件的傳播手段與常見的木馬非常相似，主要有以下這些。

1. 借助網頁木馬傳播，當用戶不小心訪問惡意網站時，勒索軟件會被瀏覽器自動下載並在後台運行

2. 與其他惡意軟件捆綁發布

3. 作為電子郵件附件傳播

4. 借助可移動存儲介質傳播

1.3 主要表現形式

一旦用戶受到勒索軟件的感染，通常會有如下表現形式，包括：

1. 鎖定計算機或移動終端屏幕

2. 借殺毒軟件之名，假稱在用戶係統發現了安全威脅，令用戶感到恐慌，從而購買所謂的"殺毒軟件"

3. 計算機屏幕彈出類似下圖的提示消息，稱用戶文件被加密，要求支付贖金

勒索軟件的分類

根據勒索軟件所使用的勒索方式，主要分為以下三類：

影響用戶係統的正常使用。比如PC Cyborg、QiaoZhaz(Trojan/Win32.QiaoZhaz)等，會采用鎖定係統屏幕等方式，迫使係統用戶付款，以換取對係統的正常使用。

恐嚇用戶。比如FakeAV(Trojan[Ransom]/Win32.FakeAV)等，會偽裝成反病毒軟件，謊稱在用戶的係統中發現病毒，誘騙用戶付款購買其“反病毒軟件”。又如Reveton(Trojan[Ransom]/Win32.Foreign)，會根據用戶所處地域不同而偽裝成用戶所在地的執法機構，聲稱用戶觸犯法律，迫使用戶支付贖金。

綁架用戶數據。這是近期比較常見的一種勒索方式，最典型的是CTB-Locker家族(Trojan[Ransom]/Win32.CTBLocker) ，采用高強度的加密算法，加密用戶文檔，隻有在用戶支付贖金後，才提供解密文檔的方法。

根據上述分類方法，結合具體行為、運行平台，可將勒索軟件整理如下表：

勒索軟件的演進史

幾種典型勒索軟件家族的出現

已知最早的勒索軟件出現於1989年，名為“艾滋病信息木馬”(Trojan/DOS.AidsInfo，亦稱“PC Cyborg木馬”)，其作者為Joseph Popp。該木馬程序以“艾滋病信息引導盤”的形式進入係統，采用替換AUTOEXEC.BAT(DOS係統文件，位於啟動盤根目錄，文件為文件格式，用於描述係統啟動時自動加載執行的命令)文件的方式，實現在開機時記數。一旦係統啟動次數達到90次時，該木馬將隱藏磁盤的多個目錄，C盤的全部文件名也會被加密(從而導致係統無法啟動)。此時，屏幕將顯示信息，聲稱用戶的軟件許可已經過期，要求用戶向“PC Cyborg”公司位於巴拿馬的郵箱寄去189美元，以解鎖係統。作者在被起訴時曾為自己辯解，稱其非法所得用於艾滋病研究。

2001年，專門仿冒反病毒軟件的惡意代碼家族(Trojan[Ransom]/Win32.FakeAV)出現，2008年左右開始在國外流行。該惡意代碼家族的界麵內容為英文，又因為當時國內部分反病毒廠商已經開始采用免費的價格策略，所以該惡意代碼家族在國內不容易得逞，對國內影響相對較小。FakeAV在偽裝成反病毒軟件欺騙用戶的過程中，所使用的窗體標題極具迷惑性。據安天CERT統計，其標題有數百種之多，常用標題如下表所示：

2005年出現了一種加密用戶文件的木馬(Trojan/Win32.GPcode)。該木馬在被加密文件的目錄生成具有警告性質的txt文件，要求用戶購買解密程序。所加密的文件類型包括：.doc、.html、.jpg、.xls、.zip及.rar。

2006年出現Redplus 勒索木馬(Trojan/Win32.Pluder)，是國內首個勒索軟件。該木馬會隱藏用戶文檔和包裹文件，然後彈出窗口要求用戶將贖金彙入指定銀行賬號。據國家計算機病毒應急處理中心統計，來自全國各地的該病毒及其變種的感染報告有581例。在2007年，出現了另一個國產勒索軟件QiaoZhaz，該木馬運行後會彈出“發現您硬盤內曾使用過盜版了的我公司軟件，所以將您部分文件移動到鎖定了的扇區，若要解鎖將文件釋放，請電郵liugongs19670519@yahoo.com.cn購買相應軟件”的對話框。

贖金支付方式的變化

早期的勒索軟件采用傳統的郵寄方式接收贖金(比如Trojan/DOS.AidsInfo)，會要求受害者向指定的郵箱郵寄一定數量的贖金。我們也發現了要求受害者向指定銀行賬號彙款(比如Trojan/Win32.Pluder)和向指定號碼發送可以產生高額費用的短信(比如Trojan[rog,sys,fra]/Android.Koler)的勒索軟件。直到比特幣(比特幣是一種P2P形式的數字貨幣，可以兌換成大多數國家的貨幣)這種虛擬貨幣支付形式出現後，由於它可以為勒索軟件提供更為隱蔽的贖金獲取方式，2013年以來，勒索軟件逐漸采用了比特幣為代表的虛擬貨幣的支付方式。可以說，虛擬貨幣的出現，加速了勒索軟件的泛濫。

移動終端的勒索軟件

2014年4月下旬，勒索軟件陸續出現在以Android係統為代表的移動終端。較早出現的為Koler家族(Trojan[rog,sys,fra]/Android.Koler)。該家族主要行為是：在用戶解鎖屏及運行其它應用時，會以手機用戶非法瀏覽色情信息為由，反複彈出警告信息，提示用戶需繳罰款，從而向用戶勒索高額贖金。近兩年的移動平台勒索軟件家族樣本中，東歐和俄羅斯所占比例最多，達到59%，其次是英、美和中國。從下圖可以看到安天從各國捕獲的移動終端勒索軟件家族的比例，其中simplelock.a類所占比例接近總數的一半。

圖2 移動終端的勒索軟件

典型的移動終端勒索軟件家族如下表所示：

新的威脅趨勢

2015年1月，Cryptowall 家族新變種(3.0)被發現使用I2P匿名網絡通信，在一天內感染288個用戶，該變種在加密受害者的文件後，向其勒索比特幣，同時還有直接竊取用戶比特幣的行為。2月和4月新出現的勒索軟件家族TeslaCrypt和Alpha Crypt，被發現利用了Adobe新近修複的Flash安全漏洞。同樣利用這些漏洞還有CTB-Locker、CryptoWall、TorrentLocker、BandarChor、Angler等家族。其中最為值得關注的是CTB-Locker，它使用了高級逃逸技術，可以躲避某些安全軟件的檢測。

2015年4月30日，安天CERT曾接到用戶提供的含有CTB-Locker的郵件附件，用戶稱已將該附件提交至第三方開放沙箱，懷疑其具有專門攻擊國產辦公係統的行為。經安天CERT分析確認，在該樣本中並未發現針對國產辦公環境的攻擊能力。但隨著勒索軟件的持續泛濫和攻擊手段的花樣翻新，不能排除未來會出現專門針對我國辦公環境的勒索軟件。從目前獲取的勒索軟件新家族看，多數仍是采用社工手段群發郵件，但這些郵件往往緊隨潮流趨勢，令人防不勝防。比如：據threatpost報導，CTB_Locker家族已經開始采用包含“Windows 10免費升級”(Upgrade to Windows 10 for free)標題的社工郵件傳播。

小結

從最早的“艾滋病信息木馬”到最近出現的Locker勒索軟件，二十幾年的時間裏，雖然勒索軟件的新家族層出不窮，但主要的勒索方式仍以綁架用戶數據為主。下圖展示了1989年到2015年間勒索軟件的演進史，在圖片左側標明了幾個重要的時間點，從圖中可以看出隨著Android平台的日益普及，麵向移動終端的勒索軟件也日漸增多;隨著比特幣的廣泛應用，以比特幣代為贖金支付形式的勒索軟件也逐漸多了起來。