瑞星杀毒软件官方文章列表:

• 1、瑞星网络版杀毒软件For Linux获兆芯兼容性认证
• 2、为什么曾经的杀毒霸王瑞星，会沦落到现在这个境地？
• 3、电脑病毒消失了，曾经的杀毒一哥瑞星也只剩下小狮子了
• 4、全新撒旦Satan勒索病毒来袭 瑞星独家提供解密工具
• 5、美国末日地堡再度翻红：制造商在萧条中逆势上涨

瑞星网络版杀毒软件For Linux获兆芯兼容性认证

张通社4月10号消息，上海兆芯集成电路有限公司与北京瑞星网安技术股份有限公司联合针对瑞星网络版杀毒软件For Linux开展测试，测试结果表明，兆芯开先ZX-C/ZX-C 系列处理器平台可良好兼容瑞星网络版杀毒软件For Linux，系统、软件运行稳定可靠，且功能、性能及兼容性等方面均表现正常，成功印证了兆芯国产通用处理器平台出色的软硬件兼容性，同时也标志着瑞星已经可以为兆芯国产通用处理器用户提供全面的安全保障。

瑞星网络版杀毒软件For Linux获兆芯兼容性认证

开先ZX-C/ZX-C 系列处理器是兆芯自主设计研发的国产通用处理器产品，采用28nm工艺，兼容x86指令集，支持扩展指令SSE4.2、AVX，主频高达2.0GHz，支持CPU硬件虚拟化技术。开先ZX-C 系列处理器还支持SM3、SM4国密算法，可提供基于硬件的数据加解密功能。

开先ZX-C/ZX-C 系列处理器兼容全系列WINDOWS操作系统，同时支持中科方德、中标麒麟、湖南麒麟、深度、普华等国产操作系统，软硬件兼容性出色，可极大程度降低应用迁移成本。目前，兆芯开先ZX-C/ZX-C 系列处理器广泛应用于联想、清华同方、上海仪电智通等品牌国产台式机、一体机、MINI-PC、笔记本、嵌入式设备的设计开发及量产。同时，基于兆芯CPU的各类整机在党政办公、金融、教育、交通等行业领域内应用情况良好且广受好评。

据悉，瑞星杀毒软件网络版For Linux是瑞星公司自主研发的且拥有全部自主知识产权的安全防护产品，是专门针对Linux/Unix文件系统中的DOS/WINDOWS病毒进行防护和查杀的杀毒软件。该软件既能够按照本地管理员的操作进行病毒查杀，也可以响应瑞星杀毒软件网络版管理控制台的远程控制指令，对Linux本机进行病毒查杀，同时还可以将查杀结果传送到系统中心或者管理控制台，方便管理员了解网络内所有计算机的病毒感染情况。该软件功能齐全、性能极高，可对Linux进行系统和网络双层防护，全面保护系统安全。

兆芯以自主创新和兼容主流为发展根本，并始终保持开放合作的态度，致力于通过发挥自身优势，联合全产业链生态伙伴，共同为推动国家网络信息安全事业发展贡献力量。

为什么曾经的杀毒霸王瑞星，会沦落到现在这个境地？

如今的互联网界，许多公司都会用动物的形象来作为企业的标志，如腾讯企鹅，百度熊，淘宝蚂蚁，美团袋鼠，UC松鼠等等，而说起小狮子，人们会想到一个老牌的互联网公司，所谓小狮子指的就是瑞星。

在90年代，瑞星曾经是国内杀毒软件当之无愧的王者，最鼎盛的时候，曾经一度光靠软件就能收入7亿。

而昔日的辉煌终归是昔日的，现在在互联网界呼风唤雨的巨头已经是TATM（百度，阿里巴巴，腾讯，小米）们了，如果不是瑞星前几年在股转系统挂出公开转让说明书，引发关注，甚至已经鲜少有人能记起这只小狮子。

曾经，互联网上流传着一个忧伤的冷笑话。一位男子回家的时候听到了屋里传来男人的鼾声，他没有推开门，而是离开了居住的城市。

30年后，遇到曾经的妻子。妻子问他当年为何不告而别。男子说出了理由后，妻子哭到：那是瑞星的小狮子。虽然暴露年龄，但是2010年的时候，我最喜欢的就是调戏电脑右下角的那个小狮子。

在最鼎盛的时候，曾经是中国杀毒软件当之无愧的王者，但短短几年过去，辉煌不再。那么，曾经的创奇为何会沦为配角呢？

【1】重心的转移：从研发到推广

瑞星的失落和两个创始人王莘、刘旭之间的运营话语权交替有一定的关系，公司内耗拖了发展的后腿。从后期王莘掌管瑞星的动作来看，王莘重市场推广的作用多过于产品本身，而刘旭则是典型的以产品研发为重。从2003年刘旭离开瑞星开始，瑞星开始走下坡路。

瑞星的品牌诞生于1991年，主要创始人有三个，王莘、刘旭和田亚葵。王莘是出资人，刘旭出技术，田亚葵跑市场。在公司成长初期，基本都是靠刘旭的研发能力打开的市场。

1998年4月推出清除宏病毒的杀毒软件后，12月就被授予国家重点新产品称号，并且被列入九八国家级火炬项目，一炮走红。这之前，瑞星只剩10万资金，同时还欠着15万广告费。

1999年，CIH病毒首次在全球大爆发，瑞星在刘旭的带领下，成为国内第一个解决CIH病毒的杀毒软件。这两战奠定了瑞星在杀软界的地位，刘旭取代王莘成为瑞星的总裁，掌握了公司的话语权。这段时间也是瑞星发展最快的阶段，一度光靠软件就能收入7亿就是这个时期，被瑞星的人称为“刘旭时代”。

2003年，瑞星达到了最巅峰的时刻，这一年，瑞星在国内杀毒软件市场的占有率一度达到了60%。然而，也是从2003年开始，刘旭离开了瑞星创办了微点杀毒软件公司，瑞星开始了王莘时代。

业内人士称，瑞星每年用于媒体公关和广告的费用数目惊人，这其中还有大量用于打理政府关系。瑞星和360对掐、微点案和3Q大战期间，公关战期间，花费的费用不在少数，但这期间推出的产品却鲜有精品。经常能看到网民戏谑瑞星，“看看瑞星这几年，一直没有什么创新产品出来。它跟在360后面，360出一个它抄一个，而且抄的速度比金山还慢。”

【2】对竞争对手：只打击不学习

在瑞星发展的历史上，它对重要的两个竞争对手，都是只打击不学习。

一个对手是抢了它个人级安全市场的奇虎360。在360推出安全卫士和免费杀毒软件时，瑞星领着一众收费杀软和360打公关口水战，称“免费没好货”。找不同的理由攻击对手。

2010年，瑞星指责360安全卫士存有后门，称“安全专家发现， 360 安全卫士在安装进用户电脑时，会偷偷开设后门盗取用户隐私。后门软件可能会造成用户电脑被远程控制 ，银行账号、炒股账号、网游帐号被窃取，服务器被控制发动网络攻击 ，用户上网被实时监控等危害 。”知名的“后门战”开打。最后发现是瑞星在搞鬼，360状告瑞星获赔20万。

另一个对手比360的遭遇更甚。就是瑞星前总裁刘旭离开瑞星后开的微点杀毒软件公司。它全新概念的杀毒软件——微点主动防御杀毒软件让瑞星受到了威胁。

据悉2005年7月，在微点公司的新产品即将上市之际，北京市公安局网监处处长于兵接受了瑞星公司的420万元贿赂打压微点公司。

制造了“全国首例故意传播网络病毒案件”扣到微点公司头上，警方称微点公司“在软件研制过程中，违规在互联网上下载、运行多种病毒”，“致使计算机病毒在互联网上大量传播，严重危害网络安全，造成重大经济损失”。

微点公司副总裁田亚葵因此被羁押长达11个月。微点主动防御软件因这起虚假案件被封杀两年半，三年后洗清冤屈才拿到销售许可证，经济损失达3000万。

【3】错过机会 反应过慢

瑞星失落的最大原因，在于它在个人级杀毒软件免费和移动端布局这两次市场转折点，都没有进行针对性的战略调整，在快速变化的市场中，没有踏好时间节点，反应过慢。

2008年，正是360免费杀毒软件刚刚推出的时候，包括瑞星在内的所有杀毒软件厂商的反应是抗拒的，带着老大哥式的傲慢。但360以摧枯拉朽之势迅速抢占了市场，免费模式对瑞星的个人级产品市场造成了毁灭性的冲击。

当奇虎360打得自家产品节节败退时，瑞星并没有针对市场进行调整，或者对自己的产品进行升级，以应对市场变化。反而公开立场表示“免费杀毒无前途”，“纯粹的免费不可能存在”，“免费安全没有保障”等论调，带领一种陷入了口水战。

直到2011年3月，瑞星才认识到大势已去，只能跟随360的免费策略，宣布个人安全软件产品全面、永久免费。

但已经来不及了，奇虎360用免费模式已经做成了互联网安全行业的第一。瑞星只能将业务重心逐步转向企业级产品。

吃过一次亏的瑞星并没有吸取教训，在2010年之后移动互联网快速发展阶段，并没有在移动端占据一席之地。按照转让说明书显示，截至2015年7月，瑞星共有13款企业级产品，8款个人级产品以及1款瑞星安全网址导航。

从招股书的产品结构可以看出，瑞星的主要布局仍然在PC端，企业级产品、个人级产品和网址导航，而在移动端的布局则非常弱。

而根据报道，2010年之后，瑞星曾为自己确定了三个战略性的业务方向：一是企业级安全领域;二是企业移动安全管理(MBM)系统;三是个人级的移动互联网产品，瑞星在手机安全团队之外单独成立了移动互联网产品小组。

但直到现在，市场上关于瑞星移动端产品的消息，只听到了它去年11月推出过一款WiFi助手。而它曾经最大的竞争对手360，则已经逐步建立以手机安全为核心，应用分发平台、移动搜索、手机硬件等“软硬结合”全方位发展的移动生态布局。

转让说明书显示，2014年瑞星股份营业收入为1.65亿元，净利润411.91万元，到了2015年1-7月，瑞星的营业收入为8265.25万元，净利润出现了1717.31万元的亏损。

公司也承认，“个人信息安全市场转型期间业务未能紧跟市场步伐，导致个人级市场份额下滑，至今尚未挽回损失。”

移动互联网这最后一个能够弯道超车的机会没有被抓住，差距已经拉大。或许江湖早已不是那个江湖，瑞星也许还是那个瑞星。

今天的分享到这里就结束了，欢迎大家评论点赞。

电脑病毒消失了，曾经的杀毒一哥瑞星也只剩下小狮子了

如今的互联网界，许多公司都会用动物的形象来作为企业的标志，如腾讯企鹅，百度熊，淘宝蚂蚁，美团袋鼠，UC松鼠等等，而说起小狮子，人们会想到一个老牌的互联网公司。

所谓小狮子指的就是瑞星，1991年瑞星诞生于中关村，90年代的中关村还不大，那时候的创业圈子也很小。1992年，瑞星开始做防病毒卡，仅仅一年时间瑞星就做到了市场第一。江民杀毒软件KV100上市，瑞星开始出现亏损，随后瑞星迅速调整，推出了瑞星杀毒软件8.0，这款软件把瑞星推向了全国市场，在这一年CIH病毒在全球大爆发，瑞星成为第一个解决问题的杀毒软件，奠定了瑞星在杀软界的地位。这一年瑞星靠软件能卖7亿元，个人级产品几乎垄断当时的市场，超过8000万台终端同时激活。

360就抢夺了1亿用户，半年后瑞星的市场份额仅剩不到20%，这比当年江民还惨。

360杀毒免费后，互联网界的病毒貌似真的少了很多，大家都基本不说病毒了，也没那么多的这个蠕虫那个病毒的！

曾经，互联网上流传着一个忧伤的冷笑话。一位男子回家的时候听到了屋里传来男人的鼾声，他没有推开门，而是离开了居住的城市。

30年后，遇到曾经的妻子。妻子问他当年为何不告而别。男子说出了理由后，妻子哭到：那是瑞星的小狮子。

瑞星到最后给用户留下的也就剩这只爱瞌睡，会打呼的小狮子了。

全新撒旦Satan勒索病毒来袭 瑞星独家提供解密工具

近日，瑞星威胁情报平台发现多起国内用户感染“撒旦”Satan勒索病毒事件。据瑞星安全研究人员介绍，该病毒运行后会加密受害者计算机文件，加密完成后会用中英韩三国语言索取1个比特币作为赎金，并威胁三天内不支付将不予解密。与以往常见的勒索病毒不同，“撒旦”不仅会对感染病毒的电脑下手，同时病毒还会利用多个漏洞继续攻击其它电脑。目前，瑞星公司已开发出独家解密工具，如果用户电脑中的文件已被“撒旦”病毒加密，可尝试下载解密。（下载地址：http://download.rising.com.cn/for_down/satan/Satan3.x_Encrypt.exe）

图：感染“撒旦”病毒后弹出的勒索窗口

瑞星安全研究人员对最新版本的“撒旦”Satan勒索病毒进行了分析，发现该病毒与以往勒索病毒有较大的不同，“撒旦”Satan勒索病毒不仅使用永恒之蓝漏洞攻击，还增加了其它的漏洞攻击。包括文件上传漏洞、tomcat弱口令漏洞、WebLogic WLS组件漏洞、JBOOS 反序列化漏洞等。

虽然永恒之蓝已经过去很久，但是国内很多用户出于各种原因依然没有打补丁，这导致很多企业存在极大的安全隐患。“撒旦”Satan勒索病毒可通过漏洞进行传播，所以不下载可疑程序并不能防止感染病毒，如果不打补丁，即使没有任何操作只要联网就有可能被攻击，因此及时更新补丁，排查web漏洞，提高服务器安全才能最大限度的防御此类病毒。

防范措施

更新永恒之蓝漏洞补丁。

及时更新web漏洞补丁，升级web组件。

开启防火墙关闭445端口。

安装杀毒软件保持监控开启。

安装瑞星之剑勒索防御软件。

由于“撒旦”Satan勒索病毒使用对称加密算法加密，密钥硬编码在病毒程序和被加密文件中，因此可以解密。目前，瑞星已经开发出了解密工具，如果用户中了此病毒可下载此工具恢复被加密文件，下载地址：

http://download.rising.com.cn/for_down/satan/Satan3.x_Encrypt.exe。

解密工具使用方法

1、查看勒索信息是否和报告中的相同。

2、判断被加密文件名是否为[dbger@protonmail.com] 原始文件名 .dbger，或者[satan_pro@mail.ru] 原始文件名 .satan。

3、运行解密工具

4、点击 “文件”按钮选中要解密的文件夹。

5、点击“解密”后，被加密文件将会被解密。

可以看到同目录下生成了被解密的文件，但是加密的文件将会被保留，用户查看确定文件被完全解密后，可删除被加密文件。在不确定解密文件是否正确的情况下，不要轻易删除被加密文件，防止其它类型病毒变种加密的文件没有被解密。

6、目前最新版本可以解密，如遇到此病毒的其它变种无法解密，可联系瑞星公司。

病毒详细分析

病毒攻击流程如下：

图：病毒攻击流程

新版撒旦Satan勒索病毒运行后会创建一个互斥体 “SATAN_SCAN_APP”，如果已经存在则退出。

图：创建互斥体

如果不存在则开始执行恶意功能，从资源中释放需要用到的恶意模块到C:UsersAll Users 目录下，包括永恒之蓝攻击工具、加密模块、密码抓取工具Mimikatz。

释放永恒之蓝攻击工具，其中blue.exe 是永恒之蓝漏洞攻击工具，star.exe是脉冲双星后门植入工具，down64.dll 是漏洞攻击成功后植入被攻击机器的后门，功能是下载勒索病毒母体，

其它文件都是攻击工具需要用到的依赖库和配置文件。

图：释放永恒之蓝攻击工具

释放加密模块，负责加密受害者计算机中的文件，针对加密模块的分析详见下文“加密模块分析”部分。

图：释放加密模块

判断系统架构，释放不同版本的密码抓取工具Mimikatz 并运行，64位系统从资源MINI64释放，32位系统从资源MINI32释放，命名为mmkt.exe。

图：释放运行密码抓取工具

密码抓取模块运行后会将抓取到的用户名保存到病毒目录下的“uname”文件中，密码保存到“upass”文件中。运行加密勒索模块，加密本机文件。

图：运行加密模块

创建三个线程攻击网络中的其它机器。

图：创建线程攻击其它机器

线程1，获取本机IP地址。

图:获取本机IP

循环攻击本地局域网Local_IP/16，16位子网掩码的网段。例如192.168.1.1——192.168.255.255，覆盖65536台主机，而不是仅仅攻击255台主机，相对而言攻击范围更广。

创建线程传入要攻击的IP。

图：循环攻击局域网主机

只攻击指定IP的445端口。

图：线程1只攻击445端口

线程2，攻击局域网中除了445端口之外的其它硬编码的226个端口。创建线程，传入攻击IP和端口，与线程1不同，线程1只传入攻击IP，端口固定445。线程2在创建子线程的时候 传入了攻击IP和端口 。

图：使用web漏洞攻击局域网中的机器

和线程1相比，线程2增加了一个判断，如果传入的端口是445，则执行永恒之蓝漏洞攻击，否则执行web漏洞攻击，不过针对445端口的永恒之蓝攻击不会生效，因为硬编码的226个端口中不包含445端口，即使包含，上层函数也不会传递445端口。因为线程1就可以完成局域网的445端口攻击了，此处就不用再攻击了。此病毒旧版本的硬编码端口列表中包含445端口。新版本的端口列表修改了，但是这里的代码没有修改，因此这里的判断显得有些多余。

图：判断端口执行攻击

此外在执行web攻击之前会设置一个标志位，如果端口是443或8443则将标志位设置为1，目的是拼凑攻击报文时，区分http还是https。https服务默认443端口，tomcat的https服务需要8443端口。

图：拼凑攻击报文

之所以没有固定端口，对同一个IP使用不同的端口循环攻击226次，是因为网络中有些机器没有打补丁，但是会将各种web服务的默认端口号修改为其它端口号，作为漏洞缓解措施。攻击者通过这种方式绕过缓解措施。这也为我们提了个醒，缓解措施很有可能被绕过，把漏洞彻底修复才能更大限度的避免被攻击。

硬编码的内置端口列表：

图：硬编码的攻击端口列表

线程3和线程2的区别主要是线程2攻击的是局域网IP，线程3攻击的是内置的互联网IP，病毒内置了大量的IP段，循环随机选取攻击。

图：循环攻击内置的IP段

从内置的硬编码的IP中，随机选取将要攻击的IP地址段。

图：随机选取

线程3的攻击函数和线程2相同，攻击每个IP时，都会循环攻击硬编码的226个端口，同样由于内置的编码表中不含有445端口，攻击互联网的线程也无法对445端口发起永恒之蓝攻击，只会向指定的IP发起web攻击。

图：循环攻击指定的IP端口

图：判断端口执行攻击

永恒之蓝攻击，漏洞触发后会将down64.dll植入到被攻击机器。

图：永恒之蓝攻击

down64.dll的功能是联网下载运行病毒母体，被攻击机器中毒后，又会循环同样的操作，加密本机文件勒索，攻击其它机器。

web攻击利用了多种漏洞，文件上传漏洞。

图：文件上传漏洞

tomcat弱口令攻击。

图：tomcat弱口令漏洞

CVE-2017-10271 WebLogic WLS组件漏洞。

图：WebLogic WLS组件漏洞

CVE-2017-12149 JBOOS 反序列化漏洞。

图：JBOOS 反序列化漏洞

加密模块分析，Satan勒索病毒主要针对数据文件进行加密，加密后追加文件后缀为 “.dbger”。

图：被加密文件的现象

勒索模块运行后，尝试对所有驱动器遍历文件，排除以下目录：

最多 22 列

剪切

复制

粘贴

请使用 Ctrl V 粘贴

向上插入 1 行

向下插入 1 行

向左插入 1 列

向右插入 1 列

合并单元格

取消合并单元格

删除列

删除行

删除表格

Windows、python2、python3、microsoft games、boot、i386、intel、dvd maker、recycle、jdk、lib、libs、all users、360rec、360sec、360sand、favorites、common files、internet explorer、msbuild、public、360downloads、windows defen、windows mail、windows media pl、windows nt、windows photo viewer、windows sidebar、default user

表：病毒排除的目录

图：病毒不加密的目录

当为如下后缀时，不会加密：

最多 22 列

剪切

复制

粘贴

请使用 Ctrl V 粘贴

向上插入 1 行

向下插入 1 行

向左插入 1 列

向右插入 1 列

合并单元格

取消合并单元格

删除列

删除行

删除表格

dbger、cab、pol、dll、msi、exe、lib、iso、bin、tmp、log、ocx、chm、dat、sys、dic、myd、sdi、lnk、gho、pbk

表格：病毒排除的后缀

图：病毒不加密的文件类型

然后创建线程对遍历到的文件进行加密，病毒还会尝试关闭SQL相关服务防止文件被占用无法加密。

图：关闭SQL服务

加密后文件名:[dbger@protonmail.com] 原始文件名 .dbger。

图：被加密的文件 命名规则

把加密密钥上传到给远程服务器101.99.84.136。

图：访问控制服务器

病毒的加密算法，加密方式:使用CryptAPI进行加密，算法为RC4，密钥结构:[HardWareID] k_str1 k_str2 k_str3 [PUBLIC]。

密钥示例如下：

图：密钥结构

使用Windows自带的CryptAPI进行加密，MD5算法哈希密钥，加密算法为RC4。

图：加密算法为RC4

硬编码了三个字符串，

k_str1:"dfsa#@FGDS!dsaKJiewiu*#&*))__=22121kD()@#(*#@#@!DSKL909*(!#!@AA"

k_str2:"*@#AdJJMLDML#SXAIO98390d&th2nfd%%u2j312&&dsjdAa"

k_str3:"@!FS#@DSKkop()(290#0^^^2920-((__!#*$gf4SAddAA"。

图：硬编码的字符串，作为密钥的一部分

HardWareID和PUBLIC都是是随机生成的。首先，它会尝试读取保存在C:WindowsTempKSession中的HardWareID值，如果失败则随机生成0x40大小字符串（固定的，加密过程只生成一次），然后写入了KSession文件中。

图：生成HardWareID

图：HardWareID会被保存在KSession文件中

同样的方式生成长度为0x20大小的PUBLIC值（每加密一个文件生成一次）。

图：生成PUBLIC

从图中可以看到，每个文件的PUBLIC是不同的。

图：每个文件的PUBLIC不同

最终HardWareID和PUBLIC都会追加到，被加密文件的末尾。

图：可以在被加密的文件末尾看到HardWareID与PUBLIC的值

病毒为了加快加密速度，对不同大小，不同类型的文件采取不同的加密策略，重要的文档例如 word、excel文档全部加密。其它文档根据文件大小，加密文件约前二分之一 、前五分之一不等。

特殊后缀如下，主要是比较重要的办公文档、源代码文档的后缀名。

最多 22 列

剪切

复制

粘贴

请使用 Ctrl V 粘贴

向上插入 1 行

向下插入 1 行

向左插入 1 列

向右插入 1 列

合并单元格

取消合并单元格

删除列

删除行

删除表格

"sql" ，"zip" ，"php" ，"asp" ，"jsp" ，"cpp" ，"ini" ，"aspx" ，"cs" ，"py" ，"h" ，"vbs"，"bat"，"conf"，"sh"，"inc"，"e"，"c"，"pl"，"csv"，"asm"，"doc"，"docx"，"xls"，"xlsx"，"ppt"

表：完全加密的特殊后缀

加密方式为如下几种：

1、小于等于100000000字节

（1）特殊后缀，完全加密。

（2）其它后缀，部分加密，加密大小的算法 CryptSize = (FileSize / 2000) *1000，约为文件的二分之一。

举个例子，文件小于等于100000000字节时，zip格式的压缩包就会被完全加密，而RAR格式的只会被加密大约二分之一，因为zip是病毒指定的特殊后缀，而RAR不在列表中。

2、大于100000000 字节的文件

（1）特殊后缀，完全加密。

（2）其它后缀，部分加密，加密大小的算法 CryptSize = (FileSize / 5000) *1000，约为文件的五分之一。

举个例子，文件大于100000000字节时，zip格式的压缩包就会被完全加密，而RAR格式的 只会被加密大约五分之一，因为zip是病毒指定的特殊后缀，而RAR不在列表中。

当加密完成后，病毒会打开勒索文本提示用户支付赎金。勒索信息提供三种语言英文、中文和韩文，威胁受害者在三天之内向作者支付1个比特币，否则文件无法解密，并且重要文件被公开。然而事实上文件可以解密，并且病毒作者也没有获取到受害者的文件。

比特币钱包:3EbN7FP8f8x9FPQQoJKXvyoHJgSkKmAHPY

邮箱:dbger@protonmail.com

图：弹出勒索信息

IOC

MD5

ECF5CABC81047B46977A4DF9D8D68797 病毒母体

C0150256A864E5C634380A53290C7649 加密模块

C&C

http://101.99.84.136

http://101.99.84.136/cab/sts.exe

http://101.99.84.136/cab/st.exe

http://101.99.84.136/data/token.php?status=ST&code=

http://101.99.84.136/data/token.php?status=BK&code=

http://101.99.84.136/data/token.php?status=DB&code=

http://101.99.84.136/data/token.php?status=ALL&code=

http://101.99.84.136/count.php?url=

美国末日地堡再度翻红：制造商在萧条中逆势上涨

每当危险发生，鸵鸟都会把头埋进土里。如今，这种现象转移到了人们身上。新冠疫情导致谷歌关于“doomsday bunker”等词汇的搜索量急剧上升，而YouTube上过去关于地下堡垒的爆款视频又被人翻了出来。

从2020年穿越回去的评论屡屡出现在评论区，人们爱看有钱人购买地下堡垒，也关心如何在自己家院子建堡垒等选题，评论区折射出的紧迫感让你感觉仿佛明天就是世界末日。

家住弗罗里达州的约翰看着这些评论嘿嘿一笑，他和妻子在自家的地下堡垒已经躲了一个多月。消失这么久，邻居甚至都以为他们被FBI抓去隔离。

而三年前嘲笑他建造地下堡垒的表哥，现在在Facebook上私信问他地堡生产商的联系方式。

另一边，卡车拉着一个巨型钢铁盒子缓缓驶入杰夫家的院子，因为铁盒子上醒目的“生存掩体”标语，导致邻居全都窥知了他的地堡计划。

他愤怒地打电话给厂家：“我不喜欢你们在车辆上做广告，我知道这样对企业有好处，但是如果我要在自己的房屋下建造一个堡垒，我不想让任何人知道。”

这家公司的广告让购买者付出了又买两把加特林的代价。

新型冠状病毒肆虐全球，为了存续人类的火种，越来越多的美国人选择钻进地底下，地下避难所的制造商们在这波经济萧条中逆势上涨。

罗恩·哈伯德的阿特拉斯生存收容所制造公司（Atlas survival shelters）就是吃中了这波疫情红利的企业。自称为地堡制造业亨利·福特的他，在得克萨斯州硫磺泉的一个大型仓库中，正没日没夜地为客户生产地下堡垒。

“我的电话整天都在响，因为疫情，一下子涌入大量订单，现在手头上就有20个地堡同时在生产，交货期已经排到了明年。”

因为有大批相信世界末日论的民众，他从中嗅到了商机，于2008年成立了这家公司。

为了满足不同消费群体的需求，他们的产品价格从5万美元到500万美元不等，有适合中产阶级的基础款地堡，也有可以住28人配备植物温室和汽车洞穴的“加利福尼亚白金系列”地下宫殿。

“中产阶级的地下堡垒就真的只是堡垒，富翁的则是地下宫殿。”

新墨西哥州的一个女士购买了阿特拉斯的掩体，为了安装这个巨大的铁盒子，挖掘机挖开了她家的院子，并用吊车将在工厂组装好的掩体直接吊进院子的窟窿，然后填埋最后铺上草皮，一共只花费了不到一周的时间。

她在里面藏了7000美元的生存物资

哈伯德的竞争对手瑞星公司（Rising S Company）位于德克萨斯州默奇森以南约70英里处的工厂也是一番热火朝天的景象。

老板加里·林奇表示，他们今年一季度的销量比去年增长了4倍，大部分订单都是在过去一个月之内下的。该公司的客户群体包含了石油工人、退伍军人以及和平主义者民主党等。

对于新型冠状病毒，加里·林奇持乐观态度，他认为冠状病毒并不会构成很大的威胁。但同时，他的公司正在利用冠状病毒的恐慌情绪来营销自己的产品。

打开瑞星公司的官方网站，首页上一颗巨大的新型冠状病毒会让你以为进入了什么神秘的暗网，旁边标注他们出售能够对抗病毒的地下堡垒。

他认为，新型冠状病毒已经说服人们尝试花费6万至10万美元购买入门级掩体。

“我们的避难所将保护您免受核辐射，内乱，家庭入侵，炭疽，芥子气和COVID-19的侵害。”

自2002年以来，瑞星公司已在美国各地建造了约1.2万个避难所。该公司最受欢迎的产品，Silver Leaf是一个45平方米的地下迷你房子，起价为12.25万美元。

跟哈伯德一样，林奇也迎合部分高端客户的需求。他打造了一个价值835万美元的地下掩体，配备了健身中心，游泳池，保龄球场和电影院，让客户即使避难依然能享受人生。

有人预测疫情结束之后，将会出现大量闲置地下堡垒，Airbnb会成为最大赢家。

罗恩·哈伯德认为下单的客户并不是为了买个地下堡垒来隔离，疫情爆发反而是给他们敲响了警钟。

“冠状病毒使他们意识到未来需要一个更安全的地方。”

有传言称，比尔·盖茨在华盛顿州和加利福尼亚州的别墅下面有地堡

为世界末日做准备已经成为主流，连《鼹鼠的故事》搜索率也随之升高，YouTube的网红们也不愿意放弃这个巨大的流量池，他们当中也有人把目光瞄准了地下。

作为YouTube最挣钱的网红之一，拥有3410万粉丝的MrBeast在上周推出了一个探访位于美国堪萨斯州的“避难公寓计划”的视频。

将近2000万人收看了这次探秘

阿特拉斯和瑞星公司生产的地堡跟这个比，简直就是小巫见大巫。因为避难公寓计划是由一个核弹发射井改造而成的构造复杂的15层地堡。

这里每个房间的价格在100万到250万美元不等，购买的富豪们还没有使用，就率先吸引了一波网红，将富豪们的秘密公之于众。

整个公寓共计能住进70个人，而公寓内的设施足够他们在没有外部供给的情况下活很多年。15层的地下避难所里，蔬菜基地、电影院、健身房、图书馆等应有尽有。

每人配备有足够5年食用的冷冻以及脱水食品，另外，避难所内的花园可以种70多种不同的蔬菜，人们还可以在其中的鱼塘里养罗非鱼。

除了可以养鱼种菜，还有一台小型手术台以及监狱，甚至还能游泳，简直就是一个藏匿于地下的现实版动物森林。

这个大胆想法始于2001年，911事件刺激了该公司创始人拉里·霍尔。他坦言，他们公司建造的这个地下避难所可以让富人们在避难的同时还能继续过着奢华的生活。

霍尔说：“每当发生自然灾害或冲突加剧时，我们的电话就会激增。”

从历史上看，每次出现内乱或可能侵犯人身自由的迹象时，世界末日市场都会受到公众的热捧：比如2007年金融危机，2012年奥巴马再次当选美国总统，2017年美国和朝鲜之间的紧张局势。

美国国家地理频道进行的最新调查显示，越来越多的美国人担心世界末日来临，于是开始购买豪华地堡、储存大量罐装食品、购买枪械弹药，训练家人如何使用AK-47等枪械。

“造成这个现象的原因就是没有安全感，他们不能救我，我只能自救。”

一个已经购买地堡的顾客在网上评论：“他们说泰坦尼克号不会下沉，结果沉没了。”

“如果问看了好莱坞的末日片能学到什么，那一定是：时刻准备着。”

福州某小区的一位业主应该也是受了启发