安天勒索wannacry专杀工具v1.0 最新版下载_

应用介绍

安天安全公司在第一时间针对病毒开发出了应对工具，勒索病毒安天勒索病毒文件一键恢复工具是一款修复能力相当强悍的手机文件一键恢复工具软件，针对近期wana新型勒索病毒的不断蔓延，正有愈演愈烈的态势，目前该病毒已经席卷了全球众多国家，数不胜数的电脑遭受病毒侵害，你的电脑是否已经遭受侵害了呢?这个工具全自动一键恢复工具，助你快速转移电脑的重要文件资料！

工具介绍

面对肆虐的Onion、WNCRY两类勒索病毒变种在全国范围内出现爆发的情况，安天已紧急发布比特币勒索病毒免疫工具及应急处置方案。

据悉，勒索病毒变种增加了NSA黑客工具包中的“永恒之蓝”0day漏洞利用，可在局域网内蠕虫式主动传播，未修补漏洞的系统会被迅速感染，勒索高额的比特币赎金折合人民币2000~50000不等。

目前已证实受感染的电脑集中在企事业单位、政府机关、高校等内网环境。安天资深安全专家指出，病毒加密用户文档后会删除原文件，所以，存在一定机会恢复部分或全部被删除的原文件。建议电脑中毒后，尽量减少操作，及时使用专业数据恢复工具，恢复概率较高。

什么是比特币病毒勒索病毒：“比特币敲诈者” 2014年在国外流行，15年初在国内陆续被发现。这类木马会加密受感染电脑中的docx、pdf、xlsx、jpg等114种格式文件，使其无法正常打开，并弹窗“敲诈”受害者，要求受害者支付3比特币作为“赎金”，而按照记者从网上查询到比特币的比价，3比特币差不多人民币也要五六

元。这种木马一般通过全英文邮件传播，木马程序的名字通常为英文，意为“订单”“产品详情”等，并使用传真或表格图标，极具迷惑性。收件人容易误认为是工作文件而点击运行木马程序。

何谓勒索软件

勒索软件(ransomware)是一种流行的木马，通过骚扰、恐吓甚至采用绑架用户文件等方式，使用户数据资产或计算资源无法正常使用，并以此为条件向用户勒索钱财。这类用户数据资产包括文档、邮件、数据库、源代码、图片、压缩文件等多种文件。赎金形式包括真实货币、比特币或其它虚拟货币。一般来说，勒索软件作者还会设定一个支付时限，有时赎金数目也会随着时间的推移而上涨。有时，即使用户支付了赎金，最终也还是无法正常使用系统，无法还原被加密的文件。

主要传播手段

勒索软件的传播手段与常见的木马非常相似，主要有以下这些。

1. 借助网页木马传播，当用户不小心访问恶意网站时，勒索软件会被浏览器自动下载并在后台运行

2. 与其他恶意软件捆绑发布

3. 作为电子邮件附件传播

4. 借助可移动存储介质传播

1.3 主要表现形式

一旦用户受到勒索软件的感染，通常会有如下表现形式，包括：

1. 锁定计算机或移动终端屏幕

2. 借杀毒软件之名，假称在用户系统发现了安全威胁，令用户感到恐慌，从而购买所谓的"杀毒软件"

3. 计算机屏幕弹出类似下图的提示消息，称用户文件被加密，要求支付赎金

勒索软件的分类

根据勒索软件所使用的勒索方式，主要分为以下三类：

影响用户系统的正常使用。比如PC Cyborg、QiaoZhaz(Trojan/Win32.QiaoZhaz)等，会采用锁定系统屏幕等方式，迫使系统用户付款，以换取对系统的正常使用。

恐吓用户。比如FakeAV(Trojan[Ransom]/Win32.FakeAV)等，会伪装成反病毒软件，谎称在用户的系统中发现病毒，诱骗用户付款购买其“反病毒软件”。又如Reveton(Trojan[Ransom]/Win32.Foreign)，会根据用户所处地域不同而伪装成用户所在地的执法机构，声称用户触犯法律，迫使用户支付赎金。

绑架用户数据。这是近期比较常见的一种勒索方式，最典型的是CTB-Locker家族(Trojan[Ransom]/Win32.CTBLocker) ，采用高强度的加密算法，加密用户文档，只有在用户支付赎金后，才提供解密文档的方法。

根据上述分类方法，结合具体行为、运行平台，可将勒索软件整理如下表：

勒索软件的演进史

几种典型勒索软件家族的出现

已知最早的勒索软件出现于1989年，名为“艾滋病信息木马”(Trojan/DOS.AidsInfo，亦称“PC Cyborg木马”)，其作者为Joseph Popp。该木马程序以“艾滋病信息引导盘”的形式进入系统，采用替换AUTOEXEC.BAT(DOS系统文件，位于启动盘根目录，文件为文件格式，用于描述系统启动时自动加载执行的命令)文件的方式，实现在开机时记数。一旦系统启动次数达到90次时，该木马将隐藏磁盘的多个目录，C盘的全部文件名也会被加密(从而导致系统无法启动)。此时，屏幕将显示信息，声称用户的软件许可已经过期，要求用户向“PC Cyborg”公司位于巴拿马的邮箱寄去189美元，以解锁系统。作者在被起诉时曾为自己辩解，称其非法所得用于艾滋病研究。

2001年，专门仿冒反病毒软件的恶意代码家族(Trojan[Ransom]/Win32.FakeAV)出现，2008年左右开始在国外流行。该恶意代码家族的界面内容为英文，又因为当时国内部分反病毒厂商已经开始采用免费的价格策略，所以该恶意代码家族在国内不容易得逞，对国内影响相对较小。FakeAV在伪装成反病毒软件欺骗用户的过程中，所使用的窗体标题极具迷惑性。据安天CERT统计，其标题有数百种之多，常用标题如下表所示：

2005年出现了一种加密用户文件的木马(Trojan/Win32.GPcode)。该木马在被加密文件的目录生成具有警告性质的txt文件，要求用户购买解密程序。所加密的文件类型包括：.doc、.html、.jpg、.xls、.zip及.rar。

2006年出现Redplus 勒索木马(Trojan/Win32.Pluder)，是国内首个勒索软件。该木马会隐藏用户文档和包裹文件，然后弹出窗口要求用户将赎金汇入指定银行账号。据国家计算机病毒应急处理中心统计，来自全国各地的该病毒及其变种的感染报告有581例。在2007年，出现了另一个国产勒索软件QiaoZhaz，该木马运行后会弹出“发现您硬盘内曾使用过盗版了的我公司软件，所以将您部分文件移动到锁定了的扇区，若要解锁将文件释放，请电邮liugongs19670519@yahoo.com.cn购买相应软件”的对话框。

赎金支付方式的变化

早期的勒索软件采用传统的邮寄方式接收赎金(比如Trojan/DOS.AidsInfo)，会要求受害者向指定的邮箱邮寄一定数量的赎金。我们也发现了要求受害者向指定银行账号汇款(比如Trojan/Win32.Pluder)和向指定号码发送可以产生高额费用的短信(比如Trojan[rog,sys,fra]/Android.Koler)的勒索软件。直到比特币(比特币是一种P2P形式的数字货币，可以兑换成大多数国家的货币)这种虚拟货币支付形式出现后，由于它可以为勒索软件提供更为隐蔽的赎金获取方式，2013年以来，勒索软件逐渐采用了比特币为代表的虚拟货币的支付方式。可以说，虚拟货币的出现，加速了勒索软件的泛滥。

移动终端的勒索软件

2014年4月下旬，勒索软件陆续出现在以Android系统为代表的移动终端。较早出现的为Koler家族(Trojan[rog,sys,fra]/Android.Koler)。该家族主要行为是：在用户解锁屏及运行其它应用时，会以手机用户非法浏览色情信息为由，反复弹出警告信息，提示用户需缴罚款，从而向用户勒索高额赎金。近两年的移动平台勒索软件家族样本中，东欧和俄罗斯所占比例最多，达到59%，其次是英、美和中国。从下图可以看到安天从各国捕获的移动终端勒索软件家族的比例，其中simplelock.a类所占比例接近总数的一半。

图2 移动终端的勒索软件

典型的移动终端勒索软件家族如下表所示：

新的威胁趋势

2015年1月，Cryptowall 家族新变种(3.0)被发现使用I2P匿名网络通信，在一天内感染288个用户，该变种在加密受害者的文件后，向其勒索比特币，同时还有直接窃取用户比特币的行为。2月和4月新出现的勒索软件家族TeslaCrypt和Alpha Crypt，被发现利用了Adobe新近修复的Flash安全漏洞。同样利用这些漏洞还有CTB-Locker、CryptoWall、TorrentLocker、BandarChor、Angler等家族。其中最为值得关注的是CTB-Locker，它使用了高级逃逸技术，可以躲避某些安全软件的检测。

2015年4月30日，安天CERT曾接到用户提供的含有CTB-Locker的邮件附件，用户称已将该附件提交至第三方开放沙箱，怀疑其具有专门攻击国产办公系统的行为。经安天CERT分析确认，在该样本中并未发现针对国产办公环境的攻击能力。但随着勒索软件的持续泛滥和攻击手段的花样翻新，不能排除未来会出现专门针对我国办公环境的勒索软件。从目前获取的勒索软件新家族看，多数仍是采用社工手段群发邮件，但这些邮件往往紧随潮流趋势，令人防不胜防。比如：据threatpost报导，CTB_Locker家族已经开始采用包含“Windows 10免费升级”(Upgrade to Windows 10 for free)标题的社工邮件传播。

小结

从最早的“艾滋病信息木马”到最近出现的Locker勒索软件，二十几年的时间里，虽然勒索软件的新家族层出不穷，但主要的勒索方式仍以绑架用户数据为主。下图展示了1989年到2015年间勒索软件的演进史，在图片左侧标明了几个重要的时间点，从图中可以看出随着Android平台的日益普及，面向移动终端的勒索软件也日渐增多;随着比特币的广泛应用，以比特币代为赎金支付形式的勒索软件也逐渐多了起来。