勒索病毒最新消息：勒索蠕虫病毒越发嚣张，补丁必须打

很多朋友对勒索病毒最新消息：勒索蠕虫病毒越发嚣张，补丁必须打不是很了解，每日小编刚好整理了这方面的知识，今天就来带大家一探究竟。

5月12日晚20点，全世界都被“永恒之蓝”勒索病毒刷屏了。目前，这种电脑勒索病毒正在全球蔓延。此次勒索病毒“WannaCry”事件与以往最大的不同在于，勒索病毒以蠕虫病毒的形式传播，传播方式采用了不久前NSA泄露的MS17-010漏洞。

距离勒索病毒爆发已经过去两周了，但是永恒之蓝勒索蠕虫并没有就此止步。这一次，很有可能会有不止一个基于MS17-010的漏洞存活下来，继续捣乱。以下是360威胁情报中心提供的“永恒之蓝”勒索蠕虫及值得警惕的动向。

360威胁情报中心截至5月26日的数据显示，自5月23日以来，独立IPs扫描端口445数量大幅增加并开始呈现上升趋势，5月26日达到历史新高，甚至比5月12日永恒之蓝爆发时高出11%。这种现象令人不安，表明基于NSA工具的SMB服务漏洞正在被蠕虫积极利用和传播。

永恒之蓝勒索蠕虫猖獗时期，有很多修改版本去掉了Kill Switch，然后发现了捆绑了NSA几乎所有可用SMB漏洞攻击工具的EternalRocks(永恒之石)家族。这些衍生品和其他家族理论上有更强的传播力，甚至会逐渐取代永恒蓝虫的主流地位。

利用SMB漏洞传播的蠕虫如果只是暗中控制，不做更多吸引用户注意力的事情，可能会继续活跃，2008年爆发的Conficker蠕虫至今仍在活跃。这一次，基于17-010以上漏洞的蠕虫(不一定是“永恒之蓝”)很有可能存活下来，继续捣乱。目前扫描源IP数量的持续增加，暗示着很多系统没有打补丁，蠕虫可以进入大量系统进行扫描攻击和传播。

永恒之蓝勒索蠕虫的现状永恒之蓝勒索蠕虫(WannaCry)爆发已经快两周了，360威胁情报中心一直在持续跟踪。基于360网络研究院的数据显示，“永恒之蓝”勒索蠕虫的感染量在经历了最初的激增后，近期一直保持稳定，偶尔会有小幅波动。下图是WannaCry蠕虫家族Kill Switch域名的访问曲线：

5月12日蠕虫爆发后，最初几个小时蠕虫感染达到高峰，在北京时间5月12日23: 00左右注册并启用Kill Switch域名后，蠕虫感染得到极大抑制。经过随后几天安全厂商和用户的协同处理，整体感染情况基本得到控制。下图为蠕虫感染的独立IP数曲线：可以看出蠕虫感染量基本保持稳定，但近日略有上升。

以上分析表明，“永恒之蓝”勒索蠕虫家族已经得到了很大程度的控制，但360威胁情报中心在分析了全网扫描活动的数据后发现了一个令人不安的趋势：独立IPS扫描端口445的数量正在大幅增加。下图是蠕虫爆发前5月2日扫描445端口的独立IP数量：5月12日之前，445端口的扫描源IP数量基本保持稳定，这个数据可以理解为后台参考。

下图显示，5月12日蠕虫爆发时，扫描到的源IP数量增加了11%左右：基本上可以认为超出的IP数量大部分来自被感染的机器。接下来的几天，在全球采取了应对蠕虫的措施后，扫描到的IP数量减少，蠕虫的传播得到了控制。但从5月23日开始，扫描源IP数量开始呈现上升趋势，5月26日达到历史新高(今天27日的数据还不完全)，如下图所示：

永恒之蓝勒索蠕虫猖獗时期，有很多修改版本去掉了Kill Switch，然后发现了捆绑了NSA几乎所有可用SMB漏洞攻击工具的EternalRocks(永恒之石)家族。这些衍生品和其他家族理论上有更强的传播力，甚至会逐渐取代永恒蓝虫的主流地位。“永恒之蓝”蠕虫的加密勒索行为会促使国内用户尽快处理，重装系统安装补丁，减少后续感染源。

但是，如果其他利用SMB漏洞传播的蠕虫只是暗中潜伏和控制，不做更多吸引用户注意力的事情，它们可能会继续活跃。2008年爆发的Conficker蠕虫仍然活跃。这一次，基于17-010以上漏洞的蠕虫(不一定是“永恒之蓝”)很有可能存活下来，继续给我们制造麻烦。

不管是什么蠕虫，阻断其访问通道永远是最有效、最根本的解决办法，打补丁怎么强调都不为过。时刻保持对网络的监控也是系统防御的重要组成部分。做网络安全不能银子弹式的思考。攻击者完全有可能利用漏洞取得突破而不被察觉，但在后续的扫描和检测中可能会有可察觉的迹象。

具体来说，如果利用NSA工具SMB漏洞的蠕虫通过一些未打补丁的系统进入内网，安全系统及时发现其自动扫描行为也不晚。可以预见，蠕虫利用MS17-010漏洞的扫描活动将作为后台攻击在互联网上长期存在。我们需要时刻保持警惕，对随时准备砸门的僵尸加固门窗。

以上知识分享希望能够帮助到大家！