病毒界驚現「豬隊友」?另一惡意程序利用永恆之藍攻擊卻阻斷445埠

近期，WannaCry勒索病毒把整個網際網路攪得天翻地覆，利用美國NSA洩露的永恆之藍漏洞大肆傳播。但騰訊電腦管家檢測到，在該病毒傳播的同時，還有一個惡意程序同樣在利用該漏洞進行傳播。因該惡意程序會阻斷受害電腦的445埠的網絡連接，故一定程度上阻止了WannaCry病毒的大肆傳播。目前，騰訊電腦管家已可攔截該攻擊，用戶不必驚慌。

（騰訊電腦管家攔截惡意程序）

據了解，該惡意程序是一個「門羅幣」的挖礦程序（「門羅幣」是一種虛擬機貨幣，類似比特幣）。黑客利用虛擬主機掃描網絡上開放了445埠的機器，之後利用「永恆之藍「漏洞攻擊，進入目標主機後，下載挖礦軟體進行挖礦。

而出乎意料的是，該惡意程序會通過ip組策略阻斷受害機器的135、445埠的網絡請求。而445埠的開啟正是WannaCry勒索病毒得以猖獗蠻蔓延的必要條件之一，據騰訊電腦管家安全團隊介紹，445埠常用於區域網之間共享文件或者印表機，感染病毒主機通過掃描區域網內主機進行相關攻擊，由於未更新安全補丁同時開啟445埠主機過多，病毒同時在失陷主機植入木馬程序，再次攻擊感染新的有漏洞主機，導致在區域網內傳播感染速度非常之快。

此外，由於該惡意程序爆發的時間更早，最早發現是在今年4月底，且受害用戶群也很龐大，這意味著該惡意程序無意間「幫助」大量用戶關閉了445埠，因此在一定程度上阻止了WannaCry病毒的大規模擴散。

病毒運行後首先關閉機器135、445埠：

然後通過釋放到C:\Program Files\Common Files\System\ 目錄下的文件alg.exe執行挖礦命令：

挖礦程序：alg.exe

挖礦指令中的門羅幣收集地址：

49e9B8HxzSbMWsNbMs72aVe78U9CCE2DAM5aDJYNeccWNvWiKfrPaGeewmTAjj6nt6Bqzob4zaRjLXfpW1WfRMnzEAQBHy7

該地址截至目前已收集到約433XMR

雖然在該惡意程序的「助攻」之下，在一定程度上阻止了「WannaCry」的大肆傳播，但伴隨著對勒索病毒的深入研究和追蹤溯源，以騰訊電腦管家為代表的安全廠商已經上線了一套行之有效的處置方式，用戶對待勒索病毒不必太過驚慌。此外，即使不幸感染勒索病毒的網友用戶也可下載安裝騰訊電腦管家勒索病毒專殺工具和文件恢復工具，並按照下方步驟操作，有很大概率找回被鎖文件。

1、發現感染了勒索病毒後，立即斷網（拔網線或斷開WiFi）。

2、電腦中毒後，不能關機，並且不要因為驚慌失措，進行大量的無效操作（如拷貝、新建、複製、粘貼等），也不要打開任何文檔、軟體或程序。

3、 通過其他電腦或手機，在騰訊電腦管家官網下載勒索病毒專殺工具及文件恢復工具，並用U盤直接拷貝到電腦中安裝運行。

（勒索病毒專殺工具下載地址：

http://dlied6.qq.com/invc/QQPatch/killwannacrytools.zip）

4、用騰訊電腦管家勒索病毒專殺工具進行查殺，殺毒完畢後即可運行文件恢復工具恢復文件。

5、將恢復好的文件拷貝至安全的U盤或移動硬碟中，隨後重新安裝系統。

根據騰訊電腦管家安全團隊測試發現，只要按照以上方法進行操作，其文件被恢復的概率可達到最高！