勒索软件凶猛：“罗宾汉”病毒打瘫美国市政府

美国海港城市、巴尔的摩市政府陷入瘫痪已经整整一个月。

从5月7日开始，市政府的大约1万台电脑被病毒入侵，重要文件系统被加密锁定，所有政府雇员无法登陆电子邮件系统，房地产交易无法完成，甚至连工资都没办法发放……

（巴尔的摩市市政厅）

而这一切的根源，在于一个名为“Robbin Hood”的勒索软件病毒，Robbin Hood的中文译名，是“罗宾汉”。

这个“侠盗”病毒，让巴尔的摩市政府的网络陷入瘫痪，攻击者索要13个比特币才肯交出密钥。

巴尔的摩市政府估计，要想把被破坏的系统重新运行起来，需要至少10万美元的费用、以及大约几个月的时间。这么算来，13个比特币也大约价值10万美元，交出赎金似乎是个不错的主意。

（图片来自 Bleeping Compute）

市政官员表示他们无意支付这部分赎金，因为“只要妥协过一次，无疑会鼓励别有用心者在未来发起更多类似的攻击。只是在此期间，巴尔的摩市正在耗费大量的心力、以恢复基础服务的正常运行”。

巴尔的摩市的技术力量，并不足以应对如此规模的电脑病毒攻击。

在几天前的新闻稿中，巴尔的摩市市长 Bernard Young 指出，“我们已经将操作转换到了手动模式，并会通过其它方案来继续向公众提供服务。在恢复的过程中，我们还与 FBI 合作展开了调查，不过具体的细节还无法公开。”

从公开信息来看，巴尔的摩市政府的重要系统，并未像国内的同类重要系统一样：与互联网物理隔绝，实行严格的安全等级保护，以及对重要系统和数据进行备份。

“罗宾汉”勒索病毒如何传播？

根据纽约时报的报道，Robbin Hood病毒使用了微软“永恒之蓝”漏洞进行传播。黑客会扫描局域网中开放445端口（文件共享端口）的电脑，只要漏洞存在，无需用户做任何操作，黑客就可以把勒索软件植入到受害电脑之中。

但通常来说，勒索软件不会只有一个传播途径，大多数勒索软件还会利用电子邮件附件来进行传播，黑客往往会把病毒伪装成word文件、图片等，作为附件，并用“重要内容！”、“重要通知”等标题引起人们的注意，诱使用户打开邮件附件，一旦打开就可能会潜入电脑，并运行起来。

防范勒索病毒的四大措施

安全专家提示，使用windows系统电脑的用户，应采用如下措施来防范、减缓病毒的攻击：

（1）注意微软公告，打好所有的系统补丁。如果是局域网系统，应使用企业安全软件中自带的补丁工具，这样可以兼顾安全和效率。

（2）安装主流安全软件，最好是国产软件，因为国产软件对国内局域网环境比较熟悉，防护效果相对较佳。

（3）重要系统应做好与互联网的物理隔离，建立安全制度，并对重要数据实时备份。因为勒索软件一旦中毒，即使能把病毒杀掉也无法解密，因此做好备份十分重要。

（4）在局域网中排除电脑账户弱口令，凡是使用登陆密码1234、abcd这样简单密码的电脑账户，应立即修改密码。

近期重要的勒索软件攻击事件

事件一：2018年12月，“微信支付”（也称微信赎金）病毒在国内爆发，这是全球首例利用微信支付索取赎金的勒索病毒。用户一旦中毒，文件即被加密。病毒会留下一个“解密工具”的图标，用户点击这个图标，会跳转到一个二维码页面。用户通过微信“扫一扫”功能支付110元赎金，黑客称收到赎金后才能解密。

东莞网警支队快速反应，于12月4日22时准确摸排出嫌疑人真实身份为罗某某（男，22岁，广东茂名人），并于12月5日15时将嫌疑人罗某某抓获，24小时内火速侦破“12.05”新型勒索病毒破坏计算机信息系统案。

-----

事件二：2019年3月，境外某黑客组织向我国开展勒索邮件攻击，邮件中带有GandCrab5.2勒索病毒，已有少数企业用户中招。

中毒后，病毒会加密电脑上的重要数据文件（类型超过400种），根据加密的文件数量，向中招用户勒索赎金1000美元-5000美元不等。目前教育、医疗等重要机构是其重点攻击对象。

安全厂商瑞星公司发布病毒分析，邮件中携带的勒索病毒版本号为GandCrab5.2。病毒发作后对用户主机硬盘数据全盘加密，并让受害用户访问网址下载Tor浏览器，随后通过Tor浏览器登录攻击者的数字货币支付窗口，要求受害用户缴纳赎金。

文章来源：https://www.toutiao.com/i6699400466935054852/

喜欢就分享一下吧~