1. 计算机病毒

计算机病毒是一个程序，一段可执行代码；是编制者在计算机程序中插入的破坏计算机功能或者数据的代码，能影响计算机使用，能自我复制的一组计算机指令或者程序代码。

计算机病毒具有传播性、隐蔽性、感染性、潜伏性、可激发性、表现性或破坏性。计算机病毒的生命周期：开发期→传染期→潜伏期→发作期→发现期→消化期→消亡期。

近期挖矿病毒与勒索病毒特别猖狂，针对这些病毒，我们做一下分析：

1.1. 勒索病毒

勒索病毒，是一种电脑病毒，主要以邮件、程序木马、网页挂马、RDP暴力破解的形式进行传播。该病毒性质恶劣、危害极大，一旦感染将给用户带来无法估量的损失。这种病毒利用各种加密算法对文件进行加密，被感染者一般无法解密，必须拿到解密的私钥才有可能破解。

1.2. 挖矿病毒

挖矿病毒是利用服务器资源挖矿，主要表现为服务器资源利用率高，网络流量很大等。

2. 近期高爆发率病毒

自2017年5月12日勒索病毒全球性爆发开始，各大勒索病毒逐步呈现，纷纷威胁着应用系统的安全。目前，容易感染的勒索病毒有WannaCry、GlobeImposter、Satan、Peyta等勒索病毒。除勒索病毒外，还存在“永恒之蓝”挖矿病毒和门罗币挖矿病毒，详细如下：

2.1. 勒索病毒

2.1.1. GandCrab家族:勒索达世币、多渠道传播

GandCrab家族勒索病毒传播渠道相对其他家族丰富很多，包括挂马攻击、水坑攻击、漏洞攻击和钓鱼邮件攻击，其中水坑攻击令人防不胜防。水坑攻击传播通过入侵网站后台，将网页内容篡改为乱码，并且提示需要更新字体，诱导用户下载运行“字体更新程序”，实际上用户下载到的是GandCrab2勒索病毒。勒索信息如下：

2.1.2. Crysis家族:针对服务器攻击、利用RDP传播

Crysis家族最早可以追溯到2016年3月，但进入2017年之后，才开始持续传播，并且一直针对Windows服务器攻击。主要传播方式是利用服务器弱口令漏洞，爆破远程登录用户名和密码，进而通过RDP（远程桌面协议）远程登录目标服务器运行勒索病毒。由于黑客是远程登录服务器后手动操作，因此即使服务器上安装有安全软件，也有可能会被黑客手动退出。勒索信息如下：

2.1.3. GlobeImposter家族：针对服务器攻击、利用RDP传播

GlobeImposter同样是个较老的勒索病毒家族，其初期主要通过钓鱼邮件针对个人用户攻击，如今或许是为了更高的收益，也将重点攻击目标逐步转向服务器。传播方式与Crysis家族类似，主要通过爆破后利用RDP协议远程登录操作。随着十二主神和十二生肖的出现，GlobeImposter勒索病毒的发招到了极致，勒索信息如下：

2.1.4. Satan家族：针对服务器数据库文件加密、利用永恒之蓝漏洞

Satan勒索病毒也是个老家族，首次出现在2017年1月份。Satan病毒的开发者通过网站允许用户生成自己的Satan变种，并且提供CHM和带宏脚本Word文档的下载器生成脚本。在3月下旬，发现Satan勒索病毒爆发，利用NSA泄露的永恒之蓝漏洞工具主动攻击局域网内其他存在漏洞的系统，并且针对数据库文件进行加密。勒索信息如下：

2.1.5. WannaCry勒索病毒

WannaCry（又叫Wanna Decryptor），一种“蠕虫式”的勒索病毒软件，大小3.3MB，由不法分子利用NSA（National Security Agency，美国国家安全局）泄露的危险漏洞“EternalBlue”（永恒之蓝）进行传播。勒索信息如下：

2.1.6. Sodinokibi 勒索病毒

随着GandCrab退出江湖，继任者sodinokibi勒索病毒取而代之，该病毒首先出现于2019年4月底，主要传播方式如下：

垃圾邮件
口令爆破
flash漏洞等

勒索信息如下：

2.2. 挖矿病毒

2.2.1. “WannaMine”挖矿病毒

不要因为它不向你索要“比特币”就置若罔闻，中病毒后，由于挖矿程序的存在，该程序会偷偷利用用户电脑的运算资源进行罗门币挖矿。电脑闲置状态时，风扇转速增快，电脑发热增加，GPU使用率达到100%，非闲置状态时，恢复正常。这样会对计算机硬件造成极大的损耗。

该病毒程序利用了“永恒之蓝”高危漏洞在局域网内蠕虫式传播，并且使用中毒电脑挖取一种与“比特币”类似的虚拟数字货币“门罗币”牟利。

WannaMine该木马利用”永恒之蓝”漏洞在局域网内攻击传播，将染毒机器构建成一个健壮的僵尸网络，支持内网自更新，长期潜伏在电脑中以挖币。

3. 传播方式与防御方法

不同病毒的感染方式与传播方式不通，针对近期病毒进行研究，发现病毒的感染存在三种方式：操作系统漏洞、RDP暴力破解和应用系统漏洞，详细如下：

3.1. MS17-010漏洞

当 Microsoft 服务器消息块 1.0 (SMBv1) 服务器处理某些请求时，存在多个远程执行代码漏洞。成功利用这些漏洞的攻击者可以获取在目标系统上执行代码的能力。

为了利用此漏洞，在多数情况下，未经身份验证的攻击者可能向目标 SMBv1 服务器发送经特殊设计的数据包。

该漏洞补丁微软于2017年3月已在官网挂出，但为引起人们注意，同年四月美国国家安全局（NSA）的NSA方程组攻击攻击被泄露，其中EternalBlue这款攻击工具被黑客利用，导致5月份WannaCry勒索席卷全球、6月Peyta勒索病毒再次爆发。

3.1.1. 自查方式

检测系统是否按照ms17-010漏洞补丁；

系统版本/补丁号	kb4012598	Kb4012212（纯安全补丁）或者kb4012215（每月汇总补丁）	Kb4012213（纯安全补丁）或者kb4012216（每月汇总补丁）
Windows XP	适用
Windows 7		适用
Windows 2003	适用
Windows 2008	适用
Windows 2008 R2		适用
Windows 2012 R2			适用

通过ms17-010漏洞检测工具检测系统是否存在ms17-010漏洞。

http://www.jiangmin.com/uploads/soft/JMTools.exe通过该漏洞查看器，检测系统是否存在漏洞。

3.1.2. 防御方法

WannaCry与Peyta这类勒索病毒、永恒之蓝（WannaMiner）一代和二代挖矿病毒等都是通过MS17-010漏洞感染与传播，因此解决方案有两种：关闭445端口（关闭SMB协议）与打补丁。

1、关闭137、138、139、445端口，禁用文件共享服务。

2、打补丁等于修复MS17-010系统漏洞。

3.2. RDP(SSH)暴力破解

暴力破解的原理是攻击者使用用户名字典和密码字典，枚举用户名和密码，通过多次尝试获取登录信息。大部分人为了记忆密码，会使用简单，易联想的密码，导致攻击者通过枚举方式获取操作系统用户名和密码，从而进行恶意破坏。目前Sodinokibi/GlobeImposter勒索病毒及其变种均通过RDP暴力破解获取用户名和密码，借此登录远程计算机，上传勒索病毒，导致服务器被感染。

3.2.1. 自查方式