这其实是病毒的一个自我保护机制，因为大部分病毒检测软件和安全研究人员，会把病毒拖进沙箱里进行断网测试（这样就没法检测有没有注册了），所以这只不过是病毒开发者为了不露出马脚而做出的一种策略！

　　所以后来，黑客干脆取消了这个设置，没有域名这回事了，中病毒就加密，差评君拿到的病毒版本就是这个~

　　首先，差评君用虚拟机装了个盗版 Win 7 系统，模拟了一下国内大部分中招电脑的环境。。。

　　然后，新建了几个 Word，PPT，txt 之类的常用文档，作为测试用。

　　然后，直接点开病毒刚正面~

　　此时差评君的虚拟机是没有联网的，但几秒之后，病毒还是开始了感染，并且加密了差评君建立的那些常用文档。

　　看着勒索软件蹦跳的解密价格翻倍倒计时（感染三天后赎金会从 300 美元翻倍成 600 美元），j2直播，差评君突发奇想，修改系统时间会不会有效？

　　于是。。。

　　竟然有效果，倒计时会增加！

　　这或许是个拖延赎金翻倍的方法？。。。

　　根据某剑分析工具（怕有广告嫌疑就不提全名了），可以看到这个病毒释放之后套路很简单。

　　先自我复制几下（ 蓝色 ）

　　然后开始不停地进行，打开、删除、写入、创建，修改，更改文件属性等动作，应该是在加密文件。。。

　　同时呢，病毒的一个进程不停地监听局域网，因该是在局域网 “ 找目标 ”。

　　差评君最后没有给虚拟机联网，因为差评君也不知道园区这片局域网的电脑都打没打补丁，也懒得再建另一个虚拟机桥接。。。

　　不过据一些网友说，新版病毒在两台没有打补丁虚拟机桥接成局域网的场景下，是会传播感染的。

　　也就是说，这个勒索病毒正在不停地以新姿势横行！

　　讲道理，针对这件事，已经被感染的机器恢复的可能不高，而还没感染的机器，只能预防为主，升级杀毒软件，打打补丁什么，这是一件值得深思的事。。。

　　首先，这次灾难中，很多市政机构都中招了。

　　其次，很多学校的机房和使用校园网的学生都中招了。

　　但实际上这件事情，根本不应该会这么严重。

　　因为微软公布这个漏洞的补丁，已经是一个月以前的事情了！

　　截图自百度百科

　　2017年4月16日，CNCERT主办的CNVD发布《关于加强防范Windows操作系统和相关软件漏洞攻击风险的情况公告》，对影子经纪人“Shadow Brokers”披露的多款涉及Windows操作系统SMB服务的漏洞攻击工具情况进行了通报（相关工具列表如下），并对有可能产生的大规模攻击进行了预警。

　　如果说机构和学校的系统因为稳定性问题，不能经常更新，那还说的过去。

　　但是还有这么多个人用户也中枪，那就很不应该了。。。

　　这到底是什么原因呢？