比特币病毒的由来，应对措施，传播方式，病毒作者

比特币敲诈病毒

同义词

比特币病毒一般指比特币敲诈病毒

比特币敲诈病毒（CTB-Locker）从2015年开始在中国爆发式传播，该病毒通过远程加密用户电脑文件，从而向用户勒索赎金，用户文件只能在支付赎金后才能打开。据路透社报道，“比特币敲诈者”木马家族的作者名叫艾维盖尼耶·米哈伊洛维奇·波格契夫，是一名俄罗斯黑客，FBI通缉十大黑客名单中排名第二。

中文名

比特币敲诈病毒

别名

比特币敲诈者

外文名

CTB-Locker

类型

电脑病毒

热点关注

TA说

比特币勒索病毒席卷全球，中英同时“沦陷”

5月12日，全球突发比特币病毒疯狂袭击公共和商业系统事件！英国各地超过40家医院遭到大范围网络黑客攻击，国家医疗服务系统（NHS）陷入一片混乱。中国多个高校校园网也集体沦陷。全球有接近74个国家受到严重攻击！目...

热点说2017 / 05 / 13

病毒简介

2015年初，一种名为“CTB-Locker”的比特币敲诈病毒在国内爆发式传播，该病毒通过远程加密用户电脑文件，从而向用户勒索赎金，用户文件只能在支付赎金后才能打开。反病毒专家称，目前（截止2015年）国内外尚无法破解该病毒。

CTB-Locker最早在2015年初传入国内，其最新变种的敲诈金额为3个比特币，约合人民币6000余元。该病毒伪装成邮件附件，一旦受害者点击运行，就会弹出类似“订单详情”的英文文档。这时病毒已经在系统后台悄悄运行，并将在10分钟后开始发作。

CTB-Locker是国外最泛滥的病毒家族之一，FBI也已介入调查。但由于此病毒使用匿名网络和比特币匿名交易获取赎金，难以追踪和定位病毒的始作俑者，目前病毒元凶仍逍遥法外。

中毒现象

电脑中该病毒十分钟后，木马会给受感染电脑中的docx、pdf、xlsx、jpg等110种文件加密，几乎覆盖全部类型的文档和图片，使其无法正常打开。

中木马后，虽然可以使用杀毒软件杀掉该木马，但加密文件没有任何办法还原。如果超过96小时未支付，木马不再弹窗，加密文件也随之被永久锁定。

CTB-Locker’运用的是4096位算法，这种算法，普通电脑需要几十万年才能破解出来，超级电脑破解所需时间也可能得按年计算，国内外尚无任何机构和个人能够破解该病毒，支付赎金是恢复文件的唯一办法。

传播方式

“CTB-Locker”病毒主要通过邮件附件传播，因敲诈金额较高，该类木马投放精准，瞄准“有钱人”，通过大企业邮箱、高级餐厅官网等方式传播。

国内现状

腾讯反病毒实验室的监测数据显示，从2015年4月开始，“比特币敲诈者”疫情最为严重，为了持久有效的攻击，躲避静态特征码的查杀，病毒也在不断地演变，图标多选用文档图标（如doc,pdf等），而自身的壳不断地变形变异。其中，5月7日新变种达到最高值，单天就高达13万个.[1]

病毒作者

据路透社报道，“比特币敲诈者”木马家族的作者名叫艾维盖尼耶·米哈伊洛维奇·波格契夫，是一名俄罗斯黑客，FBI通缉十大黑客名单中排名第二。

FBI对抓捕波格契夫提出了巨额悬赏。悬赏令显示，提供关键信息导致波格契夫被拘捕者可获得300万美元的奖励，这也是美国在打击网络犯罪案件中所提供的最高悬赏金。

近期关注到国内多所院校出现ONION勒索软件感染情况，磁盘文件会被病毒加密为.onion后缀，只有支付高额赎金才能解密恢复文件，对学习资料和个人数据造成严重损失。

根据网络安全机构通报，这是不法分子利用NSA黑客武器库泄漏的“永恒之蓝”发起的病毒攻击事件。“永恒之蓝”会扫描开放445文件共享端口的Windows机器，无需用户任何操作，只要开机上网，不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序。

在此提醒广大师生：

目前微软已发布补丁MS17-010修复了“永恒之蓝”攻击的系统漏洞，请尽快为电脑安装此补丁，网址为

https://technet.microsoft.com/zh-cn/library/security/MS17-010；对于XP、2003等微软已不再提供安全更新的机器，建议使用360“NSA武器库免疫工具”检测系统是否存在漏洞，并关闭受到漏洞影响的端口，可以避免遭到勒索软件等病毒的侵害。免疫工具下载地址：

http://dl.360safe.com/nsa/nsatool.exe。

那么勒索病毒的黑手是怎么伸向我们的

勒索病毒软件主要通过大量垃圾邮件及被入侵的网站快速散播。受害者往往是在打开垃圾电邮的附件时，或使用被入侵的网站和网上广告载入漏洞攻击包而受到感染的。

目前已知的垃圾电邮标题包括:

ATTN: Invoice J-[RANDOM NUMBERS]

Your booking [RANDOM NUMBERS] is confirmed

Payment ACCEPTED [RANDOM NUMBERS]

FW: Invoice 2016-M#[RANDOM NUMBER]

这些恶意电邮中的附件，可能是已启动“宏”的微软 Office 档案，亦可能是包含 javascript (.js) 的 zip 压缩档案，或其他格式的档案。这些带有恶意程式或代码的附件通常是可以避过反恶意软件侦测的下载器。此外 HKCERT 亦发现部份受害者在访问被黑客入侵的网站时也会受到感染，这些网站主要是针对 Internet Explorer 的用户。

受到感染后，勒索软件通常会将用户系统上所有的文档、邮件、数据库、源代码、图片、压缩文件等多种文件进行某种形式的加密操作，使之不可用，或者通过修改系统配置文件，干扰用户正常使用系统，使系统的可用性降低。

在用户心急如焚想要开启文档时，勒索软件就会通过弹出窗口、对话框或生成文本文件等的方式，向用户发出勒索通知，要求用户向指定帐户汇款来获得解密文件的密码，或者获得恢复系统正常运行的方法。

中毒之后，会加密电脑里的所有文件，使其无法打开，包括图片、文档等等。加密文件使用4096位算法，普通电脑需要破解几十年才能破解。

病毒传播方式：邮箱、网络、U盘等。网络是最常见的传播方式。敲诈病毒，主要对象是有钱人和组织。此次疯传的比特币病毒，主要目标是开启了445端口 文件共享的服务器和PC。一般电脑和服务器是不用文件共享服务的，所以这次首先受到影响的也是学校和医院这种文件共享比较频繁的组织。

病毒作者：艾维盖尼耶·米哈伊洛维奇·波格契夫，一名俄罗斯黑客。

暂时应对方法

如果不幸中毒，小编教你五种暂时应对的方法:

1、不要给钱。赎金很贵并且交了之后未必能恢复。

2、未中毒的电脑迅速多次备份数据。已中毒的，重装系统前把硬盘低格，然后安操作系统。

3、安装反勒索防护工具，但仅在病毒侵入前有作用，但对已经中病毒的电脑无能为力，还是要做好重要文档备份工作。不要访问可以网站、不打开可疑邮件和文件

4、关闭电脑包括TCP和UDP协议135和445端口

5、还看不懂的，把网掐了。