微软警告新病毒“树莓知更鸟”爆发

微软警告新病毒“树莓知更鸟”爆发

微软警告新病毒“树莓知更鸟”爆发，微软公司对电脑用户发出警告，称一款高风险蠕虫病毒感染了数百家使用windows系统的企业网络。该病毒被称为“树莓知更鸟”，微软警告新病毒“树莓知更鸟”爆发。

微软警告新病毒“树莓知更鸟”爆发1

微软发布警告，一种名为“Raspberry Robin”（树莓知更鸟）的病毒正在蔓延，这种病毒可以通过USB设备（如U盘）进行传播。

据悉，该病毒会通过短URL命令与控制服务器通信，连接成功后将会下载恶意dll文件。微软确认，该病毒已感染了大量机器，但目前并未作出任何危害用户的事情，也没有窃取用户的隐私信息。

图源：pixabay

微软声称，不清楚该病毒是哪个黑客组织制作，也不清楚他们的目的是什么，但考虑到病毒存在的威胁，已将其标记为高风险问题。对于普通用户来说，在使用U盘时需要注意，避免自己的设备被感染。

近几年黑客十分猖獗，不断对企业或个人发动攻击，许多体量庞大的公司，比如全球最大肉食品加工厂JBS、富士康、广达、美国大型成品油管道运营商科洛尼尔管道运输公司等，都没能逃脱黑客的魔爪。

这些黑客通过勒索病毒窃取企业的文件，或者锁闭企业的电脑、服务器，要求他们向自己支付比特币赎金。其中部分企业扛不住亏损压力，只好向黑客支付了赎金，另一些公司则没有透露后续信息，不知是自己破解了勒索病毒，还是支付赎金。

图源：pixabay

一般来说，这类黑客很少会主动攻击普通用户，因为我们能拿出的赎金太少了，电脑上的机密文件也少，就算电脑中了病毒，直接重装系统就行了。当然，为了避免麻烦，我们最好还是谨慎行事，避免电脑中毒。

国内有许多免费的杀毒软件，如360电脑管家、腾讯电脑管家、火绒安全、联想电脑管家等，都可以防止电脑遭遇病毒袭击。Windows自带的杀毒软件“Windows Defender”，也有杀毒作用，可以保障用户的电脑安全。

出于安全考虑，使用USB设备连接电脑时，最好检查一些电脑是否有安全软件正在运行，以防电脑中病毒。

微软警告新病毒“树莓知更鸟”爆发2

年7月3日，微软公司对电脑用户发出警告，称一款高风险蠕虫病毒感染了数百家使用windows系统的企业网络。该病毒被称为“树莓知更鸟”，这款病毒通过被感染的U盘进行传播。

该款名为“树莓知更鸟”的病毒通过感染USB设备，创建一个.lnk文件。该文件一旦被用户点击，病毒就会自动创建一个名为msiexec.exe的进程，通过该进程启动一个关联的恶意文件。该关联的恶意文件便与病毒服务器连接，开始下载大量木马等病毒。

U盘在企业中屡禁不止

尽管大多数企业都进制在公司内部使用U盘，以杜绝U盘在使用过程中可能存在的病毒传播风险。但由于U盘的便捷性和企业内部的相关规定导致不同员工或者部门之间无法进行必要的数据交换，这导致U盘在企业中屡禁不止。

很多企业为了防范员工拷贝公司机密文件，普遍采用的是禁止电脑启用U盘读写功能，甚至电脑根本没有USB接口，而公司又对不同层级和不同部门之间的数据交换做了限制。在这样的情况下，员工为了必要的数据交换，不得不使用U盘找有使用U盘特权的高级人员或者技术人员求助。最终，禁止使用U盘的规定形同虚设。

技术部门与高阶领导是U盘的主要使用者

很多企业的规章制度，管基层不管高层，管非技术员工而不管技术员工。

例如公司高管拥有使用各种电脑外设的自由，而技术部门尤其是IT相关部门有更多绕开管制的技术能力，所以U盘在这两者之间屡禁不止。

杀毒软件后知后觉

对于杀毒软件，它们更多的是后知后觉。很多新型病毒，通过各种加壳、诱骗、伪装等手段，以欺骗杀毒软件。因此，一些手段高明的'病毒，往往能够欺骗杀毒软件，以一个合法文件的面貌堂而皇之地在目标电脑运行。

所以，不能完全依赖杀毒软件。平时养成良好的使用电脑习惯，不轻易点击不明文件，才是保证数据安全的根本之道。

如何防范U盘传播病毒

要防止U盘传播病毒是一个复杂的问题，之所以很多企业的制度形同虚设，关键原因在于“刑不上大夫，礼不下庶人”的区别对待。因此，严格执行公司规章制度，一视同仁很重要。

其二，建立必要的数据交换通道，是杜绝使用U盘的关键措施。为不同层级员工建立必要的数据交换通道，设置不同层级的FTP服务，是企业解决U盘数据交换的必要措施。当线上数据交换比U盘数据交换更方便的时候，U盘传播病毒的可能性就会越来越低。

微软警告新病毒“树莓知更鸟”爆发3

微软发布信息，警告用户称市面上有高风险蠕虫病毒正在感染数百个Windows企业网络。

该病毒被称为“树莓知更鸟”（Raspberry Robin），能够通过被感染的USB设备（如U盘）进行传播。

在USB设备被感染后，会生成一个.lnk文件，用户一旦点击该文件，树莓知更鸟就会自动创建一个msiexec.exe进程，并启动另一个恶意文件。

之后，它会通过一个短URL命令与控制服务器通信，成功连接后就会开始下载其他恶意.dll文件，并于TOR节点进行连接。

目前，微软指出，已经在多个部门的数百个Windows网络中，发现了该蠕虫病毒。

不过，值得庆幸的是，虽然现阶段树莓知更鸟已经感染了大量机器，但还没有做出任何威胁使用者，或是利用漏洞获取敏感信息、部署勒索软件的行为。

现阶段，微软尚不清楚该蠕虫病毒到底是哪个黑客组织的行为，也不清楚该组织的目的是什么，但考虑到潜在的威胁性，微软依旧将其标记为高风险活动。

记一次中Phobos家族Devos勒索病毒

2021年5月28日，星期五早晨，像往常一样，照例打开电脑准备工作。突然发现桌面有几个莫名其妙的DOS运行窗口，虽有疑惑但并未仔细确认。将几个窗口直接关闭。关闭窗口几秒钟后,突然发现桌面上的图标或文件突然都变成了灰色。再仔细一查看。变成了灰色的文件后缀都莫名其妙加了一串值，在最后的后缀为Devos。突然惊醒，这东西似曾相识。预感到了事情不妙。

对于眼前的一切，我立即意识到了这是勒索病毒。然后我马上查看了一下除了桌面以外的其它盘符的文件。 一确认，我心都凉了半截。整个电脑大部分文件都变成了灰色状态（被加密后添加了文件后缀）。

我深知这种病毒的厉害。很害怕病毒在公司局域网持续传播，我立即拔掉了自己电脑的网线。拔掉网线后我想结束掉病毒程序，防止自己电脑文件都被加密。打开任务管理器想结束掉病毒程序，但不知道病毒的进程到底是哪一条，无法结束。后来眼睁睁的看着文件被逐步加密（中毒）。

由于电脑文件都被逐步加密（中毒），自己手头上确还有很多工作要做。只有想办法快速恢复工作。很无奈的决定重装系统，格式化整个硬盘。

在我重装系统的过程中，有同事在讨论某些文件无法访问和使用。 后来经过我确认发现都是Phobos家族的Devos勒索病毒。我意识到了事情的严重性。立马找来公司前台发了一个紧急通知。通知如下：

打开内网某台服务器，发现桌面上的文件都被加密了。并且在桌面上有我早上自己电脑上看到过的类似DOS窗口。

下午工作工程中再次发现某台内部用的服务器异常卡顿，桌面上也有超熟悉的DOS窗口，而这些运行文件的存放位置也异常诡异。存放位置位于用户账户下的music目录内。

由于服务器是公司内部公用电脑，有多个同事可以访问。于是将刚才几个异常目录下的文件调出来让同事确认是否是同事存放的。经过确认所有人都说这些文件不是他们存放的。因此我将这几个可疑程序进行了加密拷贝。方便后续的相应分析。

后续将这些异常文件拷贝到虚拟机进行运行，发现无论是否断网。这些病毒程序都可以大概十几秒钟时间里感染桌面及系统盘大部分文件。

中此病毒症状就是有电脑文件被加密。

病毒的研发者最终目的是勒索钱财（比特币），所以在加密一定文件后会给你提醒交付赎金的联系方式。联系方式如下：

当发现自己电脑中毒后，为了保证局域网更多电脑不被受损，请按照以下流程依次操作

个人认为此次我经历的传播方式就是共享文件传播，下图反映的就是中毒的某台电脑对整个局域网进行扫描。扫描出哪些电脑开启了文件共享，然后将没有密码共享的电脑及有密码共享但之前进行过连接的电脑文件夹建立成“映射磁盘”。然后将病毒程序放置在这些共享文件里。然后通过这些共享文件进行进一步的病毒扩散。

杀毒软件1：win10 自带 Windows Defender 软件

杀毒软件2：360安全卫士

经过确认，2款软件只要病毒库是最新版都可以进行相应的拦截与提醒。

其中：Fast \ NS-v2 \ Loggy cleaner3款软件为病毒文件，其它文件疑似属于病毒文件扩散用的配套软件。

勒索病毒Devos中毒过程演示.mp4

相关资料引用与学习：

1. 2021年最猖狂的勒索病毒之一 .devos后缀勒索病毒是什么？如何应对处理？

2. 勒索病毒为什么那么难破解.mp4

3. 遇到勒索软件千万别关机！被黑客勒索怎么破？

4. B站知名UP主 视频素材被勒索（视频75万人点赞、4万转发）

微软警告使用U盘或感染高风险蠕虫病毒

微软警告使用U盘或感染高风险蠕虫病毒

微软警告使用U盘或感染高风险蠕虫病毒，微软声称，不清楚该病毒是哪个黑客组织制作，也不清楚他们的目的是什么，但考虑到病毒存在的威胁，已将其标记为高风险问题。微软警告使用U盘或感染高风险蠕虫病毒。

微软警告使用U盘或感染高风险蠕虫病毒1

微软发布信息，警告用户称市面上有高风险蠕虫病毒正在感染数百个Windows企业网络。

该病毒被称为“树莓知更鸟”（Raspberry Robin），能够通过被感染的USB设备（如U盘）进行传播。

在USB设备被感染后，会生成一个.lnk文件，用户一旦点击该文件，树莓知更鸟就会自动创建一个msiexec.exe进程，并启动另一个恶意文件。

之后，它会通过一个短URL命令与控制服务器通信，成功连接后就会开始下载其他恶意.dll文件，并于TOR节点进行连接。

目前，微软指出，已经在多个部门的数百个Windows网络中，发现了该蠕虫病毒。

不过，值得庆幸的是，虽然现阶段树莓知更鸟已经感染了大量机器，但还没有做出任何威胁使用者，或是利用漏洞获取敏感信息、部署勒索软件的行为。

现阶段，微软尚不清楚该蠕虫病毒到底是哪个黑客组织的行为，也不清楚该组织的目的是什么，但考虑到潜在的威胁性，微软依旧将其标记为高风险活动。

微软警告使用U盘或感染高风险蠕虫病毒2

微软发布警告，一种名为“Raspberry Robin”（树莓知更鸟）的病毒正在蔓延，这种病毒可以通过USB设备（如U盘）进行传播。

据悉，该病毒会通过短URL命令与控制服务器通信，连接成功后将会下载恶意dll文件。微软确认，该病毒已感染了大量机器，但目前并未作出任何危害用户的事情，也没有窃取用户的隐私信息。

图源：pixabay

微软声称，不清楚该病毒是哪个黑客组织制作，也不清楚他们的目的是什么，但考虑到病毒存在的威胁，已将其标记为高风险问题。对于普通用户来说，在使用U盘时需要注意，避免自己的设备被感染。

近几年黑客十分猖獗，不断对企业或个人发动攻击，许多体量庞大的.公司，比如全球最大肉食品加工厂JBS、富士康、广达、美国大型成品油管道运营商科洛尼尔管道运输公司等，都没能逃脱黑客的魔爪。

这些黑客通过勒索病毒窃取企业的文件，或者锁闭企业的电脑、服务器，要求他们向自己支付比特币赎金。其中部分企业扛不住亏损压力，只好向黑客支付了赎金，另一些公司则没有透露后续信息，不知是自己破解了勒索病毒，还是支付赎金。

图源：pixabay

一般来说，这类黑客很少会主动攻击普通用户，因为我们能拿出的赎金太少了，电脑上的机密文件也少，就算电脑中了病毒，直接重装系统就行了。当然，为了避免麻烦，我们最好还是谨慎行事，避免电脑中毒。

国内有许多免费的杀毒软件，如360电脑管家、腾讯电脑管家、火绒安全、联想电脑管家等，都可以防止电脑遭遇病毒袭击。Windows自带的杀毒软件“Windows Defender”，也有杀毒作用，可以保障用户的电脑安全。

出于安全考虑，使用USB设备连接电脑时，最好检查一些电脑是否有安全软件正在运行，以防电脑中病毒。

微软警告使用U盘或感染高风险蠕虫病毒3

年7月3日，微软公司对电脑用户发出警告，称一款高风险蠕虫病毒感染了数百家使用windows系统的企业网络。该病毒被称为“树莓知更鸟”，这款病毒通过被感染的U盘进行传播。

该款名为“树莓知更鸟”的病毒通过感染USB设备，创建一个.lnk文件。该文件一旦被用户点击，病毒就会自动创建一个名为msiexec.exe的进程，通过该进程启动一个关联的恶意文件。该关联的恶意文件便与病毒服务器连接，开始下载大量木马等病毒。

U盘在企业中屡禁不止

尽管大多数企业都进制在公司内部使用U盘，以杜绝U盘在使用过程中可能存在的病毒传播风险。但由于U盘的便捷性和企业内部的相关规定导致不同员工或者部门之间无法进行必要的数据交换，这导致U盘在企业中屡禁不止。

很多企业为了防范员工拷贝公司机密文件，普遍采用的是禁止电脑启用U盘读写功能，甚至电脑根本没有USB接口，而公司又对不同层级和不同部门之间的数据交换做了限制。在这样的情况下，员工为了必要的数据交换，不得不使用U盘找有使用U盘特权的高级人员或者技术人员求助。最终，禁止使用U盘的规定形同虚设。

技术部门与高阶领导是U盘的主要使用者

很多企业的规章制度，管基层不管高层，管非技术员工而不管技术员工。

例如公司高管拥有使用各种电脑外设的自由，而技术部门尤其是IT相关部门有更多绕开管制的技术能力，所以U盘在这两者之间屡禁不止。

杀毒软件后知后觉

对于杀毒软件，它们更多的是后知后觉。很多新型病毒，通过各种加壳、诱骗、伪装等手段，以欺骗杀毒软件。因此，一些手段高明的病毒，往往能够欺骗杀毒软件，以一个合法文件的面貌堂而皇之地在目标电脑运行。

所以，不能完全依赖杀毒软件。平时养成良好的使用电脑习惯，不轻易点击不明文件，才是保证数据安全的根本之道。

如何防范U盘传播病毒

要防止U盘传播病毒是一个复杂的问题，之所以很多企业的制度形同虚设，关键原因在于“刑不上大夫，礼不下庶人”的区别对待。因此，严格执行公司规章制度，一视同仁很重要。

其二，建立必要的数据交换通道，是杜绝使用U盘的关键措施。为不同层级员工建立必要的数据交换通道，设置不同层级的FTP服务，是企业解决U盘数据交换的必要措施。当线上数据交换比U盘数据交换更方便的时候，U盘传播病毒的可能性就会越来越低。