综合样本情况和分析结果，勒索软件在传播时基于445端口并利用SMB服务漏洞，总体可以判断是由于此前“Shadow Brokers”披露漏洞攻击工具而导致的后续黑产攻击威胁。

当用户主机系统被该勒索软件入侵后，弹出勒索对话框，提示勒索目的并索要比特币。而对于用户主机上的重要文件，如：照片、图片、文档、压缩包、音频、视频、可执行程序等几乎所有类型的文件，都被加密的文件后缀名统一修改为“。WNCRY”。

另据《纽约时报》报道，周五开始，黑客利用从美国国家安全局窃取的恶意软件，执行破坏性的网络攻击。本次攻击似乎是迄今为止范围最广的一次勒索软件袭击，损失暂时还无法估量。

该软件被认为是美国国家安全局网络武器库的一部分。

去年夏天起，名为“影子经纪人”的团体开始公开美国政府的黑客武器。目前美国政府尚未承认“影子经纪人”的武器属于美国国安局，但有前情报官员称，这些武器来自国安局“量身定做行动”部门，该部门渗透了外国计算机网络。

▲遭勒索病毒“感染”的电脑桌面。

揭秘2“勒索病毒”有何特点？

腾讯公司的安全专家指出，这次病毒爆发事件，实际上是一次蠕虫攻击，威力等同于当年的conficker。该蠕虫一旦攻击进入能链接公网的用户机器，就会利用内置了EnternalBlue的攻击代码，自动在内网里寻找开启了445端口的机器进行渗透。一旦发现内网中存在漏洞的机器，不仅继续传播内置漏洞扫描的蠕虫病毒，还会传播敲诈者病毒，从而导致用户机器上的所有文档被加密。

360公司提供的数据显示，国内首先出现的是ONION病毒，平均每小时攻击约200次，夜间高峰期达到每小时1000多次；WNCRY勒索病毒则是5月12日下午新出现的全球性攻击，并在中国的校园网迅速扩散，夜间高峰期每小时攻击约4000次。

360安全卫士的专家指出，“永恒之蓝”勒索病毒以ONION和WNCRY两个家族为主，受害机器的磁盘文件会被篡改为相应的后缀，图片、文档、视频、压缩包等各类资料都无法正常打开，只有支付赎金才能解密恢复。这两类勒索病毒，勒索金额分别是5个比特币和300美元，折合人民币分别为5万多元和2000多元。