昨天晚上看到污欢在咨询这件事，没怎么注意：

qxqinghuan 22:22:34 我们学校闪讯

qxqinghuan 22:22:59 后台好像被挂了比特币病毒

qxqinghuan 22:23:14 大批人中了比特币病毒

王And木 22:23:38 比特币现在还无解？

qxqinghuan 22:23:59 _(:з」∠)_这我也不知道

qxqinghuan 22:24:08 我都不敢开闪讯了

因为不懂才加群22:24:15 [表情]

王And木 22:24:25 闪讯是什么

因为不懂才加群22:24:35 上网客户端

qxqinghuan 22:24:35 就是学校用的教育网

王And木 22:24:49 又没事

王And木 22:25:24 你们学校有官网吗

王And木 22:25:28 我看看

qxqinghuan22:26:59 有的

qxqinghuan 22:27:20 不过应该跟官网关系不大

qxqinghuan 22:27:26 闪讯是一个客户端

王And木22:27:35 我就是看看你们官网什么样

王And木 22:27:39 [图片]

qxqinghuan22:28:02 直接搜浙江工商大学杭州商学院官网就出来了

qxqinghuan22:28:25 我我我……我不敢联网QAQ

因为不懂才加群 22:28:52 怕啥

因为不懂才加群22:29:00 http://www.zjhzcc.edu.cn/

qxqinghuan 22:29:19 ╭(╯^╰)╮我就怕

qxqinghuan 22:29:27 电脑里重要的东西多了去了

因为不懂才加群22:29:29 找不到你们的客户端下载地址，这就很尴尬了

qxqinghuan 22:29:51 客户端地址不是这个

因为不懂才加群 22:30:07 [图片]

因为不懂才加群22:30:11 是呀

因为不懂才加群 22:30:18 想看看你们绑马的端

qxqinghuan22:30:24 http://www.114school.cn/xytypt/typt/download/download.html

qxqinghuan 22:30:27 这里下的

因为不懂才加群 22:30:49 下载Ing

qxqinghuan 22:30:49 [图片]

qxqinghuan22:31:00 第一个

因为不懂才加群22:32:05 下了，eset没报毒

qxqinghuan 22:33:09 [图片]

因为不懂才加群 22:35:51 没毒啊

因为不懂才加群 22:35:55 NSIS打包的

因为不懂才加群 22:36:02 刚解包后用ESET扫描了

因为不懂才加群22:36:06 正常的

qxqinghuan 22:36:30 咦那是怎么回事？

qxqinghuan 22:36:34 去病毒吧看看吧

qxqinghuan 22:36:41 很多人发了

qxqinghuan 22:37:06 看情况好几个地区都出现了

qxqinghuan 22:37:16 跟我们学校情况一模一样

暴打悟空 22:39:48 好凶残

暴打悟空 22:40:32 我学校最多也就全实验室电脑中u盘病毒而已

qxqinghuan 22:42:11 超凶残，我们学校都紧急发布不要上网的通知了

因为不懂才加群22:44:30 [图片]

王And木22:44:37 现在安全软件可以拦截了吧

王And木 22:44:51 特别是360，拦截很任性。。。

因为不懂才加群 22:45:22 [图片]

qxqinghuan22:45:24 [图片]我能说我三个室友用的都是辣鸡电脑管家吗

因为不懂才加群 22:45:33 360可以拦

因为不懂才加群22:45:37 核晶还是不错的

qxqinghuan 22:45:42 就我一个用360

因为不懂才加群 22:45:51 360是国内首家开始拦截勒索的

暴打悟空 22:46:20 电脑管家自从不内置红伞了我就不用了。。。

暴打悟空 22:46:31 360国际版还阔以

qxqinghuan 22:46:35 总之学校说在解决了

根据@软妹（贴吧ID：a3835655） 的说法，此次病毒名应该为：WanaCrypt0r.Ransom

以下分析来自他的文章：

这个毒已知使用了4月份泄露的ms17-010漏洞（所以请所有感染病毒后重装的或还未感染的打上这个漏洞的补丁）
其次，请大多数在教育网（校园网）的关闭445端口（该漏洞利用了这个端口，且受感染的是移动网居多）
至于文件恢复。。。。
这个毒跟cerber这些勒索软件一样，目前没有解密文件的方法，解密至少得等半年（最长甚至一年以上）
但不建议支付赎金（第一赎金是真的贵，第二支付了文件不一定能恢复）
而且这个勒索病毒是真的烦，每隔一段时间弹出主程序（看你情况，理论上杀毒可以解决这个问题，但也会造成勒索软件消失只能等救援）
如果都不懂，那很简单，拔网线解决所有问题

同时这个勒索病毒不能穿影子、虚拟机、沙箱（只针对直接打开，如果使用漏洞不一定能直接入沙，不过理论毛豆自动入沙可行）（毕竟只是加密文件，如果全盘影子那么勒索病毒是没办法修改文件的（改完后重启会恢复））

然后分析下此病毒的扩散原因：

首先是病毒，WanaCrypt0r.Ransom是今年二月诞生的一款比特币勒索工具的衍生品，据英国金融时报和纽约时报披露，病毒发行者正是利用了去年被盗的美国国家安全局（NSA）自主设计的Windows系统黑客工具Eternal Blue，把WanaCry病毒升级，被感染的Windows用户必须在7天内交纳比特币作为赎金，否则电脑数据将被全部删除且无法修复。

关于WannaCry（想哭么）勒索病毒的传播，应该属于机遇SMB服务漏洞进行网络攻击的蠕虫病毒。最早这款勒索病毒会引诱你点击看似正常的邮件、附件或文件，并完成病毒的下载和安装，称为“钓鱼式攻击”（phishing）。安装后的病毒会将用户电脑锁死，把所有文件都改成加密格式，并修改用户桌面背景，弹出提示框告知交纳“赎金”的方式。
文章开始的图即是本次病毒袭击的截屏，内含“我的电脑发生了什么”、“如何修复我的文件”、“如何支付赎金”等信息。用户可以尝试修复极小一部分数据，作为证明病毒及“解药”有效的证据。病毒要求用户在被感染后的三天内交纳相当于300美元的比特币，三天后“赎金”将翻倍。七天内不缴纳赎金的电脑数据将被全部删除，对无力支付300美元的人还设有为期六个月的“人性化”特别还款通道。提示框左边是计时器，右边则标有付款及检验付款生效的方法。

这款病毒传播到国内，主要是由于Shadow Brokers组织在网上公布了NSA针对Windows文件与打印机共享系统漏洞的黑客编程代码，公布时间为4月中旬，我当时有写漏洞利用工具的文章，参考https://www.muruoxi.com/1540.html

因为NSA通杀全球七成微软用户，所以造成了利用NSA漏洞可以迅速传播WannaCry，造成大量中毒事件，并且在有心人士有针对的传播下，国内各高校大量中毒。

下为该病毒的传播思路：

感谢思科Talos安全团队的文章

原病毒文件mssecsvc.exe会释放并执行tasksche.exe文件，然后检查kill switch域名(iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea点康姆，请勿访问避免给您带来危害)。之后它会创建mssecsvc2.0服务。该服务会使用与初次执行不同的入口点执行mssecsvc.exe文件。第二次执行会检查被感染电脑的IP地址，并尝试联接到相同子网内每个IP地址的TCP 445端口。当恶意软件成功联接到一台电脑时，将会建立联接并传输数据。

tasksche.exe文件则会检查硬盘，包括映射了盘符的网络共享文件夹和可移动存储设备，如“C:/”和“D:/”等。该恶意软件之后会检查具有附录中所列后缀名的文件，然后使用2048位RSA加密算法对其进行加密。在加密文件的过程中，该恶意软件会生成一个新的文件目录“Tor/”，在其中释放tor.exe和九个供tor.exe使用的dll文件。此外，它还会释放两个额外的文件：taskdl.exe和taskse.exe。前者会删除临时文件，后者会启动@wanadecryptor@.exe，在桌面上向最终用户显示勒索声明。@wanadecryptor@.exe并不包含在勒索软件内，其自身也并非勒索软件，而仅仅是用来显示勒索声明。加密由tasksche.exe在后台完成。
@wanadecryptor@.exe会执行tor.exe文件。这一新执行的进程将会启动到Tor节点的网络联接，让WannaCry能够通过Tor网络代{过}{滤}理发送其流量，从而保持匿名。
与其他勒索软件变种类似，该恶意软件也会删除受害人电脑上的任意卷影副本，以增加恢复难度。它通过使用WMIC.exe、vssadmin.exe和cmd.exe完成此操作。

WannaCry使用多种方法辅助其执行，它使用attrib.exe来修改+h标记（hide），同时使用icacls.exe来赋予所有用户完全访问权限（“icacls ./grant Everyone:F /T /C /Q”）。

加密完成后，该恶意软件会显示勒索声明。这一勒索软件非常有趣的一点是，其勒索屏幕是一个可执行文件，而非图像、HTA文件或文本文件。

那么“永恒之蓝”和“勒索病毒”是什么关系？

“永恒之蓝”是指NSA泄露的危险漏洞“EternalBlue”，此次的勒索病毒WannaCry是利用该漏洞进行传播的，当然还可能有其他病毒也通过“永恒之蓝”这个漏洞传播，因此给系统打补丁是必须的。

下面给出微软提供的解决方案：

https://technet.microsoft.com/zh-cn/library/security/MS17-010

针对系统不同下载对应补丁修复即可，或者用电脑管家等产品进行漏洞修补亦可以。

因为微软经常打不开，故补上百度云链接：

https://pan.baidu.com/s/1nu6K02X

暂时只提供以下版本补丁，微软炸了，部分补丁获取不到

win10 1607 x64

win10 1511 x64

win7 sp1 x64

win10 10240 x64

win8.1 x64

好了不说了，窝得修服务器去了，独立服务器多了也是个问题……

附xp解决方案：

http://www.ithome.com/html/win10/308623.htm

病毒样本下载：

声明：下载此样本代表你明确其所产生的后果并且愿意承担其造成的影响，在非研究性的目地下禁止恶意传播

链接: https://pan.baidu.com/s/1cvROgI 密码: uxtj

解压密码：样本交流圈子的国际通用解压密码

此样本已被各大杀软入库，EAV检查如下：

用户答疑：

1、不下载更新有事么：

答：后果自理，中毒后别说你电脑有重要文件就行了

2、重装可以解决么：

答：重装无用，文件已经被加密了

3、已经中毒怎么办：

答：备份所有被加密的文件，期待有一天能被解密，然后格式化所有硬盘，重装系统。相比以往的勒索病毒，这次的WannaCry病毒存在一个致命缺陷——病毒作者无法明确认定哪些受害者支付了赎金，因此很难给出相应的解密密钥（密钥是对应每一台电脑的，没有通用密钥）。

请不要轻易支付赎金（比特币），如上所述，即使支付了赎金，病毒作者也无法区分到底谁支付赎金并给出相应密钥。

4、什么时候能解密这些文件：

答：随机加密，出解密的可能性不高。网上流传一些“解密方法”，甚至有人说病毒作者良心发现，已经公布了解密密钥，这些都是谣言。这个勒索病毒和以往的绝大多数勒索病毒一样，是无法解密的，请不要相信任何可以解密的谎言，防止上当受骗。

5、如何查看windows版本

答：使用快捷键win+r，输入winver，检查windows版本

确保你下载的补丁版本和你系统版本一致，其余版本的补丁等微软能访问的时候我会发的

6、提示

答：打开系统更新并重启后安装

7、怎么打开系统更新

答：下载https://pan.baidu.com/s/1nvSFyid

8、安装完补丁后需要关闭更新么

答：建议关闭

9、版本是1607，系统更新也打开了，但是提示

答：下载此检测漏洞是否存在.exe

https://pan.baidu.com/s/1nvSFyid

检测是否存在漏洞，如果不存在，则已经修复

注，原作360，修复方式是安装360打补丁，所以我把在线下载360的模块删掉了，要修复可参考10

10、因为电脑管家等之前的漏洞修补功能导致无法安装更新，怎么处理？

答：使用快捷键win+x，选择命令提示符（管理员），复制下方代码粘贴进去点回车即可。

netsh advfirewall set allprofile state on
netsh advfirewall firewall add rule name=deny445 dir=in action=block protocol=TCP localport=445

注意，10中的方法为使用防火墙阻断445端口（受影响范围为局域网中的打印机），这代表如果你关闭防火墙后则会有中毒危险。

11、哪些文件受到影响？

答：已知如下会受到影响：

.doc;.docx;.xls;.xlsx;.ppt;.pptx;.pst;.ost;.msg;.eml;.vsd;.vsdx;.txt;.csv;.rtf;.123;.wks;.wk1;.pdf;.dwg;.onetoc2;.snt;.jpeg;.jpg;.docb;.docm;.dot;.dotm;.dotx;.xlsm;.xlsb;.xlw;.xlt;.xlm;.xlc;.xltx;.xltm;.pptm;.pot;.pps;.ppsm;.ppsx;.ppam;.potx;.potm;.edb;.hwp;.602;.sxi;.sti;.sldx;.sldm;.sldm;.vdi;.vmdk;.vmx;.gpg;.aes;.ARC;.PAQ;.bz2;.tbk;.bak;.tar;.tgz;.gz;.7z;.rar;.zip;.backup;.iso;.vcd;.bmp;.png;.gif;.raw;.cgm;.tif;.tiff;.nef;.psd;.ai;.svg;.djvu;.m4u;.m3u;.mid;.wma;.flv;.3g2;.mkv;.3gp;.mp4;.mov;.avi;.asf;.mpeg;.vob;.mpg;.wmv;.fla;.swf;.wav;.mp3;.sh;.class;.jar;.java;.rb;.asp;.php;.jsp;.brd;.sch;.dch;.dip;.pl;.vb;.vbs;.ps1;.bat;.cmd;.js;.asm;.h;.pas;.cpp;.c;.cs;.suo;.sln;.ldf;.mdf;.ibd;.myi;.myd;.frm;.odb;.dbf;.db;.mdb;.accdb;.sql;.sqlitedb;.sqlite3;.asc;.lay6;.lay;.mml;.sxm;.otg;.odg;.uop;.std;.sxd;.otp;.odp;.wb2;.slk;.dif;.stc;.sxc;.ots;.ods;.3dm;.max;.3ds;.uot;.stw;.sxw;.ott;.odt;.pem;.p12;.csr;.crt;.key;.pfx;.der;

12、某些公司发布了解密工具，是攻破了病毒么？

答：参考3和4，目前的解密工具，其原理是恢复被删除的文件，这个病毒存在一个致命漏洞，即生成加密文件后会删除正常的文件，所以可以通过误删文件找回工具来获取到一定的数据，但由于相关原因，这种恢复无法保证质量，所以及时打补丁还是很有必要的。

---