勒索病毒是谁弄的

Posted 2023-05-08

“永恒之蓝”勒索病毒的开发人员可能是名为“影子经纪人”的用户。

去年8月份，名为“影子经纪人”（The Shadow Brokers） 的神秘黑客组织通过社交平台宣称，他们攻击了一个有美国国家安全局（NSA）背景的黑客组织“方程式组织”，将NSA 用于大规模监控和情报活动的网络武器和文件公布在Github、Tumblr和PastBin 等互联网平台上，文件内容涉及大量的网络武器和文件，包括命令和控制中心（C&C）服务器的安装脚本、配置文件，以及针对一些知名网络设备制造商的路由器和防火墙等产品的网络武器。本次感染急剧爆发的主要原因在于其传播过程中使用了其工具包中的“永恒之蓝”漏洞，微软公司今年3月份已经发布补丁，漏洞编号MS17-010， 由于该次攻击使用常用的445端口进行攻击，如果相关企事业单位未对使用Windows系统主机更新相关补丁程序，就会导致病毒大范围在局域网内传播，出现典型的短时间内爆发式攻击。

参考技术A 勒索病毒据说是从NSA（美国国家安全局）里面泄露出来的，去年黑客从NSA获取了多个黑客工具，获取了windows系统多个漏洞，这其中就包括永恒之蓝，勒索病毒就是利用这个漏洞进行攻击的。
目前这个黑客组织比较神秘，头目光明“影子经纪人”。追问

加班这么晚吗

追答

是的。

参考技术B 穿越谎言的迷.雾,
看看各大媒体从来不说的真.相

zh6mm6my 将7改为.

个别浏览器如果打不开，请换用谷歌的Chrome浏览器

新勒索病毒garminwasted.flyingship.kook.xienvkdoc.HAT应对法

.garminwasted 和 .bbawasted勒索病毒属于WastedLocker家族勒索病毒
.flyingship 属于CryptoWire家族勒索病毒
.xienvkdoc 勒索病毒属于WyvernLocker家族勒索病毒
.Kook 勒索病毒是STOP勒索病毒的变体
.HAT 勒索病毒属于Dharma勒索病毒（是.spare勒索病毒.homer勒索病毒变体）

这些病毒会通过网络传播病毒钩子程序，在社交媒体和文件共享服务中传播恶意脚本以下载执行病毒程序，比如电子邮件附件和被***伪装劫持的网站中就可能存在。对于服务器系统更危险的是远程协议攻破登录账户跟密码。

通常这些病毒程序下载到计算机以后会把所有磁盘文件都加密成对应后缀文件例如（work.docx.id-2E757G02。[邮箱地址] .HAT或xxx.garminwasted）并且都会留下勒索信息，告诉你文件都被加密了，然后要交赎_金才能获得解密方法，但是很多情况都是骗局就算交了还会反复勒索问你要，因为他本意就是为了更多赎金。

更坏的情况就是因为新出病毒可能不稳定导致加密时彻底损坏文件，导致数据彻底丢失。所以就算你想花钱赎回也不一定能拿回数据，或者付出更高代价或者拿不到秘钥解密。所以不建议任何情况下都去交赎_金解密。因为病毒感染有很多未知情况，有时你的系统不一定只中了一种病毒，可能是双重病毒加密，或者多个加密ID进行加密。而这时普通人是无法分辨恢复的可能性和被加密的程度。但是如果有重要数据不得不尝试找回，只能做好心理准备。

防范病毒建议如下：1.别打开垃圾邮件。2.别登陆垃圾网站,别下载三方破解软件。3.服务器远程端口改为复杂端口。4.及时修复系统补丁加防远程协议稳固。5.系统密码尽量复杂，并两个月改一次。6.尽量不用第三方远程软件或临时使用后卸载。7.启用防火墙和安装杀毒软件监控拦截恶意程序。8.重要数据一定要异地备份（重中之重）。

感染了病毒应对策略：1.计算机断网防止继续***。2.关闭病毒执行程序（先禁止开机自启动再重启系统）。3.卸载病毒程序（建议不常用的软件都卸载）。4.重新安装杀毒软件杀毒,如安装不了并且系统盘没有所需要的数据那就重装系统。5.用“空移动硬盘”备份被感染的文件防止丢失或后续恢复损坏。6.寻找数据解密修复帮助（建议寻找专业技术服务，他们排查加密损坏程度，签署担保协议如果不成功恢复数据受害者可以不承担任何经济损失）。以上是多年病毒文件修复经验的诚恳建议，希望能帮到您。