本文目录一览：

• 1、勒索病毒样本
• 2、1分钟看懂勒索病毒，勒索病毒通过什么途径传播
• 3、勒索病毒是什么？
• 4、外国人为什么会怀疑勒索病毒是中国南方人做的？

勒索病毒样本

计算机病毒（Computer Virus）是编制者在计算机程序中插入的破坏计算机功能或者数据的代码，能影响计算机使用，能自我复制的一组计算机指令或者程序代码。

计算机病毒具有传播性、隐蔽性、感染性、潜伏性、可激发性、表现性或破坏性。计算机病毒的生命周期：开发期→传染期→潜伏期→发作期→发现期→消化期→消亡期。

计算机病毒是一个程序，一段可执行码。就像生物病毒一样，具有自我繁殖、互相传染以及激活再生等生物病毒特征。计算机病毒有独特的复制能力，它们能够快速蔓延，又常常难以根除。它们能把自身附着在各种类型的文件上，当文件被复制或从一个用户传送到另一个用户时，它们就随同文件一起蔓延开来。

1分钟看懂勒索病毒，勒索病毒通过什么途径传播

勒索病毒简介

勒索病毒，是一种新型电脑病毒，主要以邮件，程序木马，网页挂马的形式进行传播。该病毒性质恶劣、危害极大，一旦感染将给用户带来无法估量的损失。这种病毒利用各种加密算法对文件进行加密，被感染者一般无法解密，必须拿到解密的私钥才有可能破解。

传播途径

勒索病毒文件一旦进入本地，就会自动运行，同时删除勒索软件样本，以躲避查杀和分析。接下来，勒索病毒利用本地的互联网访问权限连接至黑客的CC服务器，进而上传本机信息并下载加密私钥与公钥，利用私钥和公钥对文件进行加密。除了病毒开发者本人，其他人是几乎不可能解密。加密完成后，还会修改壁纸，在桌面等明显位置生成勒索提示文件，指导用户去缴纳赎金。且变种类型非常快，对常规的杀毒软件都具有免疫性。攻击的样本以exe、js、wsf、vbe等类型为主，对常规依靠特征检测的安全产品是一个极大的挑战。

根据勒索病毒的特点可以判断，其变种通常可以隐藏特征，但却无法隐藏其关键行为，经过总结勒索病毒在运行的过程中的行为主要包含以下几个方面：

1、通过脚本文件进行Http请求;

2、通过脚本文件下载文件;

3、读取远程服务器文件;

4、收集计算机信息;

5、遍历文件;

6、调用加密算法库。

为防止用户感染该类病毒，我们可以从安全技术和安全管理两方面入手：

1、不要打开陌生人或来历不明的邮件，防止通过邮件附件的攻击;

2、尽量不要点击office宏运行提示，避免来自office组件的病毒感染;

3、需要的软件从正规(官网)途径下载，不要双击打开.js、.vbs等后缀名文件;

4、升级深信服NGAF到最新的防病毒等安全特征库;

5、升级防病毒软件到最新的防病毒库，阻止已存在的病毒样本攻击;

6、定期异地备份计算机中重要的数据和文件，万一中病毒可以进行恢复。

勒索病毒是什么？

勒索病毒，是一种新型电脑病毒，主要以邮件，程序木马，网页挂马的形式进行传播。该病毒性质恶劣、危害极大，勒索病毒文件一旦进入本地，就会自动运行，同时删除勒索软件样本，以躲避查杀和分析。勒索病毒利用各种加密算法对文件进行加密，要破解若非病毒开发者本人及其团体，必须拿到解密的私钥才有可能破解。

网页挂马

网页挂马就是在网页的源代码中加入一些代码，利用漏洞实现自动下载他的木马到你的机器里

参考资料

网页被挂马是什么意思.搜狗问问[引用时间2018-1-19]

外国人为什么会怀疑勒索病毒是中国南方人做的？

WannaCry 勒索蠕虫病毒很可能是中国人做的，而且南方人的可能性更大。

这几天外国媒体一直在报道这件事，描述是如此细致。

不过，在此前，WannaCry 勒索病毒刚爆发不久时，被怀疑的是朝鲜。

在5月16日，卡巴斯基实验室通过样本分析，力证“WannaCry

中的一部分代码和拉撒路组织用的恶意软件代码几乎一模一样”。而此前就有证据表明拉撒路组织和朝鲜官方有关，所以 WannaCry

可能是朝鲜人干的。

这一结论得到了不少网络安全公司和个人研究者的支持。没过几天，23日网络安全公司里的“老大哥”赛门铁克也发话了

——“我们发现了该勒索软件与 Lazarus 团伙有所关联的强力证据”。

就在越来越多的“证据”指向朝鲜，人们真的快相信勒索蠕虫病毒就是朝鲜放出时，话风一转，被怀疑的对象成了中国：有国外研究机构指出，WannaCry 蠕虫病毒代码出自于“讲汉语的人”。

根据一家名叫闪点（ Flashpoint） 的英国科技公司的说法，WannaCry 勒索者极有可能是中国人做的，理由是勒索信里的中文用得太好了—— 叙述准确，文笔通畅，一气呵成！

闪电公司列出了一组数据，把英文版本的勒索信用谷歌翻译成了28种语言，发现大多数翻译结果和勒索软件中展示出来的信息高度一致（相似度大多超过96%），唯独两个语言版本完全不一样：简体中文和繁体中文。

按照这一结果，把其中的语句进行了简单比对，发现确实如此。比如第一句“What

happened to my

computer?”，一般机器就会翻译成“我的电脑怎么了？”、“我的电脑发生了什么？”但勒索软件显示的却是“我的电脑出了什么问题？”，这更像是人翻译或者重新写的而不像机器翻译的。

闪点公司还发现，勒索者的中文水平似乎比英文水平更高。

中文版本里的语句大多通畅流利，表达准确，就连标点符号都几乎没有用错。

但在英文版本里，却经常出现一些看起来狗屁不通的句子：“But

you have not so enough time” 。连句子的基本结构都用不好，说明他们的英文水平一定非常差，以中文为母语的可能性更大。

还有一个细节，在勒索信的下半部分，勒索者把“帮助”写成了“帮组”，这很大程度上能证明他们使用的是中文拼音输入法（拼音：bangzhu）。而且这种错误通常出现在“兰方人”身上。

而且，勒索信里有“礼拜”、“杀毒软件”等词。他们认为“礼拜”在中国大陆南方地区、香港、台湾、新加坡常见，而中国地区则更多用“星期”和“周”。

“杀毒软件”一词在台湾通常被称作“反病毒软体”因此也可以排除台湾地区的“嫌疑”。

“我们有较高的信心，表明 WannaCry 勒索信用了流利的中文。至于勒索者具体是哪个国籍的，暂时还说不准。 我们认为很可能勒索者以中文作为母语，但也不能排除其他语言。虽然不排除有人故意以此来掩盖身份，然而可能性不太大，因为这些语言特征都是非常细微的，细节往往很难掩盖。”

听起来似乎证据很充分，不过，在2016年2月份，据卡巴斯基实验室表示：“过去一年中，该公司发现的 62 个加密勒索软件家族中，47 个由俄罗斯人或说俄语的人开发。”结果没过几天，就有另一个叫 BAE Systems 的研究机构就发现了有人恶意嫁祸俄罗斯黑客的证据。

虽说细节很难掩盖，但如果刻意留下一些看似细节的证据，也是嫁祸的最佳手段。销毁证据、嫁祸，如今已经成为黑客攻击的必备流程了。

在2017年4月份，美国中情局（CIA）被披露的网络军火库中，就有一款叫“Marble” 的工具，它能将病毒、恶意代码、木马的真实源代码进行混淆，转换成中文、俄文等其他国家的语言，把“锅”甩到其他国家。

从这个角度上来看，既然能开发专门的工具来“嫁祸”，那在勒索软件里做一点混淆，故意留下点“小尾巴”也并非没有可能。

看来以后黑客攻击都得注意点，提前找一个翻译官最好！