永恒之蓝再遭利用 腾讯电脑管家全面拦截

(腾讯电脑管家拦截恶意程序)

　　据了解，该恶意程序是一个“门罗币”的挖矿程序(“门罗币”是一种虚拟机货币，类似比特币)。黑客利用虚拟主机扫描网络上开放了445端口的机器，之后利用“永恒之蓝“漏洞攻击，进入目标主机后，下载挖矿软件进行挖矿。

　　而出乎意料的是，该恶意程序会通过ip组策略阻断受害机器的135、445端口的网络请求。而445端口的开启正是WannaCry勒索病毒得以猖獗蛮蔓延的必要条件之一，据腾讯电脑管家安全团队介绍，445端口常用于局域网之间共享文件或者打印机，感染病毒主机通过扫描局域网内主机进行相关攻击，由于未更新安全补丁同时开启445端口主机过多，病毒同时在失陷主机植入木马程序，再次攻击感染新的有漏洞主机，导致在局域网内传播感染速度非常之快。

　　此外，由于该恶意程序爆发的时间更早，最早发现是在今年4月底，且受害用户群也很庞大，这意味着该恶意程序无意间“帮助”大量用户关闭了445端口，因此在一定程度上阻止了WannaCry病毒的大规模扩散。

　　病毒运行后首先关闭机器135、445端口：

　　然后通过释放到C:\Program Files\Common Files\System\ 目录下的文件alg.exe执行挖矿命令：

　　挖矿程序：alg.exe

　　挖矿指令中的门罗币收集地址：

　　49e9B8HxzSbMWsNbMs72aVe78U9CCE2DAM5aDJYNeccWNvWiKfrPaGeewmTAjj6nt6Bqzob4zaRjLXfpW1WfRMnzEAQBHy7

　　该地址截至目前已收集到约433XMR

　　虽然在该恶意程序的“助攻”之下，在一定程度上阻止了“WannaCry”的大肆传播，但伴随着对勒索病毒的深入研究和追踪溯源，以腾讯电脑管家为代表的安全厂商已经上线了一套行之有效的处置方式，用户对待勒索病毒不必太过惊慌。此外，即使不幸感染勒索病毒的网友用户也可下载安装腾讯电脑管家勒索病毒专杀工具和文件恢复工具，并按照下方步骤操作，有很大概率找回被锁文件。

　　发现感染了勒索病毒后，立即断网(拔网线或断开WiFi)。

　　电脑中毒后，不能关机，并且不要因为惊慌失措，进行大量的无效操作(如拷贝、新建、复制、粘贴等)，也不要打开任何文档、软件或程序。

　　通过其他电脑或手机，在腾讯电脑管家官网下载勒索病毒专杀工具及文件恢复工具，并用U盘直接拷贝到电脑中安装运行。

　　(勒索病毒专杀工具下载地址：http://dlied6.qq.com/invc/QQPatch/killwannacrytools.zip)

　　用腾讯电脑管家勒索病毒专杀工具进行查杀，杀毒完毕后即可运行文件恢复工具恢复文件。

　　将恢复好的文件拷贝至安全的U盘或移动硬盘中，随后重新安装系统。

　　根据腾讯电脑管家安全团队测试发现，只要按照以上方法进行操作，其文件被恢复的概率可达到最高!