近期，WannaCry勒索病毒把整個(gè)互聯(lián)網(wǎng)攪得天翻地覆，利用美國(guó)NSA泄露的永恒之藍(lán)漏洞大肆傳播。但騰訊電腦管家檢測(cè)到，在該病毒傳播的同時(shí)，還有一個(gè)惡意程序同樣在利用該漏洞進(jìn)行傳播。因該惡意程序會(huì)阻斷受害電腦的445端口的網(wǎng)絡(luò)連接，故一定程度上阻止了WannaCry病毒的大肆傳播。目前，騰訊電腦管家已可攔截該攻擊，用戶不必驚慌。

　　騰訊電腦管家攔截惡意程序

據(jù)了解，該惡意程序是一個(gè)“門羅幣”的挖礦程序（“門羅幣”是一種虛擬機(jī)貨幣，類似比特幣）。黑客利用虛擬主機(jī)掃描網(wǎng)絡(luò)上開(kāi)放了445端口的機(jī)器，之后利用“永恒之藍(lán)“漏洞攻擊，進(jìn)入目標(biāo)主機(jī)后，下載挖礦軟件進(jìn)行挖礦。

而出乎意料的是，該惡意程序會(huì)通過(guò)ip組策略阻斷受害機(jī)器的135、445端口的網(wǎng)絡(luò)請(qǐng)求。而445端口的開(kāi)啟正是WannaCry勒索病毒得以猖獗蠻蔓延的必要條件之一，據(jù)騰訊電腦管家安全團(tuán)隊(duì)介紹，445端口常用于局域網(wǎng)之間共享文件或者打印機(jī)，感染病毒主機(jī)通過(guò)掃描局域網(wǎng)內(nèi)主機(jī)進(jìn)行相關(guān)攻擊，由于未更新安全補(bǔ)丁同時(shí)開(kāi)啟445端口主機(jī)過(guò)多，病毒同時(shí)在失陷主機(jī)植入木馬程序，再次攻擊感染新的有漏洞主機(jī)，導(dǎo)致在局域網(wǎng)內(nèi)傳播感染速度非常之快。

此外，由于該惡意程序爆發(fā)的時(shí)間更早，最早發(fā)現(xiàn)是在今年4月底，且受害用戶群也很龐大，這意味著該惡意程序無(wú)意間“幫助”大量用戶關(guān)閉了445端口，因此在一定程度上阻止了WannaCry病毒的大規(guī)模擴(kuò)散。

病毒運(yùn)行后首先關(guān)閉機(jī)器135、445端口：

然后通過(guò)釋放到C:Program FilesCommon FilesSystem 目錄下的文件alg.exe執(zhí)行挖礦命令：

　　挖礦程序：alg.exe

　　挖礦指令中的門羅幣收集地址：

49e9B8HxzSbMWsNbMs72aVe78U9CCE2DAM5aDJYNeccWNvWiKfrPaGeewmTAjj6nt6Bqzob4zaRjLXfpW1WfRMnzEAQBHy7

　　該地址截至目前已收集到約433XMR

雖然在該惡意程序的“助攻”之下，在一定上阻止了“WannaCry”的大肆傳播，但伴隨著對(duì)勒索病毒的深入研究和追蹤溯源，以騰訊電腦管家為代表的安全廠商已經(jīng)上線了一套行之有效的處置方式，用戶對(duì)待勒索病毒不必太過(guò)驚慌。此外，即使不幸感染勒索病毒的網(wǎng)友用戶也可下載安裝騰訊電腦管家勒索病毒專殺工具和文件恢復(fù)工具，并按照下方步驟操作，有很大概率找回被鎖文件。

　　1、 發(fā)現(xiàn)感染了勒索病毒后，立即斷網(wǎng)（拔網(wǎng)線或斷開(kāi)WiFi）。

2、 電腦中毒后，不能關(guān)機(jī)，并且不要因?yàn)轶@慌失措，進(jìn)行大量的無(wú)效操作（如拷貝、新建、復(fù)制、粘貼等），也不要打開(kāi)任何文檔、軟件或程序。

3、 通過(guò)其他電腦或手機(jī)，在騰訊電腦管家官網(wǎng)下載勒索病毒專殺工具及文件恢復(fù)工具，并用U盤直接拷貝到電腦中安裝運(yùn)行。

（勒索病毒專殺工具下載地址：http://dlied6.qq.com/invc/QQPatch/killwannacrytools.zip）

4、 用騰訊電腦管家勒索病毒專殺工具進(jìn)行查殺，殺毒完畢后即可運(yùn)行文件恢復(fù)工具恢復(fù)文件。

5、 將恢復(fù)好的文件拷貝至安全的U盤或移動(dòng)硬盤中，隨后重新安裝系統(tǒng)。

根據(jù)騰訊電腦管家安全團(tuán)隊(duì)測(cè)試發(fā)現(xiàn)，只要按照以上方法進(jìn)行操作，其文件被恢復(fù)的概率可達(dá)到最高！