勒索病毒再添新成员alanwalker 利用“永恒之蓝”传播

导语：哥们是一壶烈酒，让你兴奋，让你激动，让你尽显英雄本色，虽然有时也难免让你丢人现眼；朋友是一杯清茶，让你平和，让你宁静，让你略知世道人心，虽然有时也难免让你单调乏味。

春节将至，针对网络安全的威胁却一点没有要消停的意思。根据360互联网安全中心监测发现，让人糟心的勒索病毒家族里又出现了一位新成员——alanwalker勒索病毒。该病毒在入侵Windows服务器后，会利用PowerShell执行勒索病毒，通过加密机器上的重要文件，要挟用户支付0.2比特币赎金。

勒索病毒再添新成员alanwalker 利用“永恒之蓝”传播，图1 alanwalker勒索病毒勒索信息

可加密超420种文件 利用“永恒之蓝”蔓延局域网

据监测统计，alanwalker勒索病毒可加密文件类型较多，目前已加密超过420种文件类型，主要为在Windows服务器中较为重要的数据库文件、压缩包、文档和可执行文件等。而且值得注意的是，alanwalker勒索病毒通过PowerShell执行远程载荷时，全程无文件落地，这在目前勒索病毒中较为少见。

图2 alanwalker勒索病毒加密的文件类型

除此之外，alanwalker勒索病毒还会用另一种方式扩大勒索范围。加密完成后，alanwalker勒索病毒还会使用“永恒之蓝”漏洞攻击武器攻击局域网中的其他机器，试图将勒索病毒植入局域网中其他机器内。

图3 alanwalker勒索病毒使用“永恒之蓝”漏洞攻击武器部分代码

疑为Greystars的变种或近亲 360第一时间拦截

360安全大脑经过分析后发现，alanwalker勒索病毒的主体代码、加密文件类型、勒索信息与2018年4月发现的Greystars勒索病毒极其相似，而存储载荷的方式也与Greystars勒索病毒相同。据此，360安全专家推断，alanwalker勒索病毒可能为Greystars的变种，或是两者使用了同一开发者所开发的勒索病毒。

360互联网安全中心还发现，alanwalker勒索病毒在1月30日传播时曾经使用github仓库存储PowerShell载荷，不过载荷地址在第一时间已经失效。但alanwalker勒索病毒通过github等代码仓库存储恶意载荷的情况，仍将可能成为未来的一种主流趋势。

不过，广大用户不必过分担心，360安全卫士已经可以有效拦截alanwalker勒索病毒的攻击。但需注意的是，服务器管理员还是应当及时修补操作系统、Web应用漏洞，使用强度高的系统登录密码和Web应用后台登录密码，防止被勒索病毒重复攻击。

在看完本篇文章的你有什么感触？在看完这篇文章后，无论你是开心还是不开心，小编都很希望你能开开心心的看完了这篇文章，如果你们有什么想吐槽的，可以在下方的评论区来吐槽，小编永远都是在默默的关注着你，你的每一条评论，小编都会看到，如果你是个有脾气的人，小编会给你敞开一条大道，如果你是一个，没有脾气的人，那么小编会给你一个么么哒，看完这篇文章的你们，希望能打赏小编一下，你的关注就是小编的动力。