病毒界驚現(xiàn)“豬隊友”？另一惡意程序利用永恒之藍攻擊卻阻斷445端口

騰訊科技訊 近期，WannaCry勒索病毒把整個互聯(lián)網(wǎng)攪得天翻地覆，利用美國NSA泄露的永恒之藍漏洞大肆傳播。但騰訊電腦管家檢測到，在該病毒傳播的同時，還有一個惡意程序同樣在利用該漏洞進行傳播。因該惡意程序會阻斷受害電腦的445端口的網(wǎng)絡連接，故一定程度上阻止了WannaCry病毒的大肆傳播。目前，騰訊電腦管家已可攔截該攻擊，用戶不必驚慌。

騰訊電腦管家攔截惡意程序

據(jù)了解，該惡意程序是一個“門羅幣”的挖礦程序（“門羅幣”是一種虛擬機貨幣，類似比特幣）。黑客利用虛擬主機掃描網(wǎng)絡上開放了445端口的機器，之后利用“永恒之藍“漏洞攻擊，進入目標主機后，下載挖礦軟件進行挖礦。

而出乎意料的是，該惡意程序會通過ip組策略阻斷受害機器的135、445端口的網(wǎng)絡請求。而445端口的開啟正是WannaCry勒索病毒得以猖獗蠻蔓延的必要條件之一，據(jù)騰訊電腦管家安全團隊介紹，445端口常用于局域網(wǎng)之間共享文件或者打印機，感染病毒主機通過掃描局域網(wǎng)內(nèi)主機進行相關攻擊，由于未更新安全補丁同時開啟445端口主機過多，病毒同時在失陷主機植入木馬程序，再次攻擊感染新的有漏洞主機，導致在局域網(wǎng)內(nèi)傳播感染速度非常之快。

此外，由于該惡意程序爆發(fā)的時間更早，最早發(fā)現(xiàn)是在今年4月底，且受害用戶群也很龐大，這意味著該惡意程序無意間“幫助”大量用戶關閉了445端口，因此在一定程度上阻止了WannaCry病毒的大規(guī)模擴散。

病毒運行后首先關閉機器135、445端口：

然后通過釋放到C:Program FilesCommon FilesSystem 目錄下的文件alg.exe執(zhí)行挖礦命令：

挖礦程序：alg.exe

挖礦指令中的門羅幣收集地址：

49e9B8HxzSbMWsNbMs72aVe78U9CCE2DAM5aDJYNeccWNvWiKfrPaGeewmTAjj6nt6Bqzob4zaRjLXfpW1WfRMnzEAQBHy7

該地址截至目前已收集到約433XMR

雖然在該惡意程序的“助攻”之下，在一定上阻止了“WannaCry”的大肆傳播，但伴隨著對勒索病毒的深入研究和追蹤溯源，以騰訊電腦管家為代表的安全廠商已經(jīng)上線了一套行之有效的處置方式，用戶對待勒索病毒不必太過驚慌。此外，即使不幸感染勒索病毒的網(wǎng)友用戶也可下載安裝騰訊電腦管家勒索病毒專殺工具和文件恢復工具，并按照下方步驟操作，有很大概率找回被鎖文件。

1、 發(fā)現(xiàn)感染了勒索病毒后，立即斷網(wǎng)（拔網(wǎng)線或斷開WiFi）。

2、 電腦中毒后，不能關機，并且不要因為驚慌失措，進行大量的無效操作（如拷貝、新建、復制、粘貼等），也不要打開任何文檔、軟件或程序。

3、 通過其他電腦或手機，在騰訊電腦管家官網(wǎng)下載勒索病毒專殺工具及文件恢復工具，并用U盤直接拷貝到電腦中安裝運行。

（勒索病毒專殺工具下載地址：http://dlied6.qq.com/invc/QQPatch/killwannacrytools.zip）

4、 用騰訊電腦管家勒索病毒專殺工具進行查殺，殺毒完畢后即可運行文件恢復工具恢復文件。

5、 將恢復好的文件拷貝至安全的U盤或移動硬盤中，隨后重新安裝系統(tǒng)。

根據(jù)騰訊電腦管家安全團隊測試發(fā)現(xiàn)，只要按照以上方法進行操作，其文件被恢復的概率可達到最高！