“昨晚,，病毒入侵了校區(qū)和附近小區(qū)的電子閱覽室,，當(dāng)時(shí)一些學(xué)生正鏈接校園網(wǎng)查詢論文資料，電腦和U盤中的文件忽然被鎖定”,。山東大學(xué)的同學(xué)介紹,，界面出現(xiàn)一個(gè)紅色對(duì)話框,，黑客留下聯(lián)系方式，要求支付比特幣才提供解密服務(wù),，超過三天未支付還會(huì)漲價(jià),。

淮陰工學(xué)院一名同學(xué)表示，自己正在寫畢業(yè)論文時(shí),，電腦突然出現(xiàn)彈窗,，后來論文、知網(wǎng)下載的文檔都變成不可讀。其嘗試去淘寶購買修復(fù)服務(wù),，被告知“最近勒索病毒猖獗,，本店咨詢暴增”，因修復(fù)價(jià)格太高,，最終選擇重寫論文,。

清華大學(xué)早在4月15日就發(fā)布通知，為防止校園網(wǎng)內(nèi)部主機(jī)受到外部攻擊,，校園網(wǎng)出口封禁TCP端口139,、445、3389,。今日再次發(fā)布緊急通知稱,，多所高校疫情嚴(yán)重，由于此前已采取封禁措施,，最近兩次全球大規(guī)模網(wǎng)絡(luò)安全疫情均未大面積危害校園網(wǎng)絡(luò)和用戶,。

加油站無法網(wǎng)絡(luò)支付

除了高校外，多名網(wǎng)友還表示,，今日全國多地的加油站在加油時(shí),，無法進(jìn)行網(wǎng)絡(luò)支付，只能使用現(xiàn)金,。

今日下午，中國石油（華威南路加油站）一名工作人員表示,，由于中國石油的網(wǎng)絡(luò)出現(xiàn)問題,，現(xiàn)在只能使用現(xiàn)金和加油卡進(jìn)行消費(fèi)，而且加油卡無法使用圈存功能,。

中石油北京左安路加油站也遭遇相同的情況,，工作人員稱，凌晨一點(diǎn)多發(fā)現(xiàn)網(wǎng)絡(luò)出了問題,。上午接到通知稱,，集團(tuán)公司出現(xiàn)網(wǎng)絡(luò)故障，正在搶修中,，但具體原因?qū)Ψ奖硎静⒉恢椤?/p>

中石油遼陽石化分公司一位不愿透露姓名的工作人員向新京報(bào)記者透露,，接到集團(tuán)公司信息安全中心通報(bào)稱，12日晚開始,，陸續(xù)出現(xiàn)針對(duì)Windows操作系統(tǒng)的敲詐者病毒,，中毒計(jì)算機(jī)/服務(wù)器的文件被加密，并出現(xiàn)索要贖金的畫面,。目前公司網(wǎng)絡(luò)與系統(tǒng)暫停服務(wù),，如發(fā)現(xiàn)電腦感染病毒，應(yīng)立即關(guān)閉該電腦，拔掉網(wǎng)線,，并上報(bào)情況,。而公司網(wǎng)絡(luò)恢復(fù)時(shí)間將另行通知。

據(jù)媒體報(bào)道,，中石油有關(guān)負(fù)責(zé)人表示,，目前公司加油站的加油業(yè)務(wù)和現(xiàn)金支付業(yè)務(wù)正常運(yùn)行，但是第三方支付無法使用,，懷疑受到病毒攻擊,，具體情況還在核查處置中。

　　上百國家和地區(qū)遭“感染”

病毒攻擊并不僅局限在我國,。今日,，國家網(wǎng)絡(luò)與信息安全信息通報(bào)中心緊急通報(bào)：5月12日20時(shí)許，新型“蠕蟲”式勒索病毒爆發(fā),，目前已有100多個(gè)國家和地區(qū)的數(shù)萬臺(tái)電腦遭該勒索病毒感染,。

今日凌晨，微博“英國那些事兒”發(fā)文,，一個(gè)多小時(shí)前,，英國16家醫(yī)院遭到大范圍網(wǎng)絡(luò)攻擊，醫(yī)院內(nèi)網(wǎng)被攻陷,，電腦被鎖定,，電話打不通。黑客索要每家醫(yī)院300比特幣的贖金,，否則將刪除所有資料,。這16家機(jī)構(gòu)對(duì)外聯(lián)系基本中斷，內(nèi)部恢復(fù)使用紙筆進(jìn)行緊急預(yù)案,。英國國家網(wǎng)絡(luò)安全部門正在調(diào)查,。

騰訊公司安全部門向新京報(bào)提供的數(shù)據(jù)顯示，初步統(tǒng)計(jì),，該“蠕蟲”已影響了約上百個(gè)國家的學(xué)校,、醫(yī)院、機(jī)場,、銀行,、加油站等設(shè)備，使得這些設(shè)備上的文檔資料全部被加密,，損失慘重,。

據(jù)IT之家消息，目前受感染地區(qū)主要集中在中國中部和東南沿海地區(qū),，歐洲大陸,、美國五大湖地區(qū),。中國、歐洲大陸地區(qū)受到的感染情況最為嚴(yán)重,。

▲浙江大學(xué)發(fā)布防范信息。

揭秘1罪魁禍?zhǔn)资恰坝篮阒{(lán)”病毒

今日上午,，360公司董事長周鴻祎發(fā)微博稱,，此次校園網(wǎng)勒索病毒是由NSA泄露的“永恒之藍(lán)”黑客武器傳播的?！坝篮阒{(lán)”可遠(yuǎn)程攻擊Windows的445端口（文件共享）,，如果系統(tǒng)沒有安裝今年3月的微軟補(bǔ)丁，無需用戶任何操作,，只要開機(jī)上網(wǎng),，“永恒之藍(lán)”就能在電腦里執(zhí)行任意代碼，植入勒索病毒等惡意程序,。

國家互聯(lián)網(wǎng)應(yīng)急中心介紹,，已著手對(duì)勒索軟件及相關(guān)網(wǎng)絡(luò)攻擊活動(dòng)進(jìn)行監(jiān)測，13日9時(shí)30分至12時(shí),，境內(nèi)境外約101.1萬個(gè)IP地址遭受“永恒之藍(lán)”SMB漏洞攻擊工具的攻擊嘗試,，發(fā)起攻擊嘗試的IP地址（包括進(jìn)行攻擊嘗試的主機(jī)地址及可能已感染蠕蟲的主機(jī)地址）數(shù)量9300余個(gè)。

中心連發(fā)兩條通報(bào)稱,，勒索軟件利用此前披露的Windows SMB服務(wù)漏洞攻擊手段,，向終端用戶進(jìn)行滲透傳播，并勒索比特幣或其他價(jià)值物,。包括高校,、能源等重要信息系統(tǒng)在內(nèi)的多個(gè)國內(nèi)用戶受到攻擊，對(duì)我國互聯(lián)網(wǎng)絡(luò)構(gòu)成較為嚴(yán)重的安全威脅,。

綜合樣本情況和分析結(jié)果，勒索軟件在傳播時(shí)基于445端口并利用SMB服務(wù)漏洞,，總體可以判斷是由于此前“Shadow Brokers”披露漏洞攻擊工具而導(dǎo)致的后續(xù)黑產(chǎn)攻擊威脅,。

當(dāng)用戶主機(jī)系統(tǒng)被該勒索軟件入侵后，彈出勒索對(duì)話框,，提示勒索目的并索要比特幣,。而對(duì)于用戶主機(jī)上的重要文件，如：照片,、圖片,、文檔、壓縮包,、音頻,、視頻,、可執(zhí)行程序等幾乎所有類型的文件，都被加密的文件后綴名統(tǒng)一修改為“,。WNCRY”,。

另據(jù)《紐約時(shí)報(bào)》報(bào)道，周五開始,，黑客利用從美國國家安全局竊取的惡意軟件,，執(zhí)行破壞性的網(wǎng)絡(luò)攻擊。本次攻擊似乎是迄今為止范圍最廣的一次勒索軟件襲擊,，損失暫時(shí)還無法估量,。

該軟件被認(rèn)為是美國國家安全局網(wǎng)絡(luò)武器庫的一部分。

去年夏天起,，名為“影子經(jīng)紀(jì)人”的團(tuán)體開始公開美國政府的黑客武器,。目前美國政府尚未承認(rèn)“影子經(jīng)紀(jì)人”的武器屬于美國國安局，但有前情報(bào)官員稱,，這些武器來自國安局“量身定做行動(dòng)”部門,，該部門滲透了外國計(jì)算機(jī)網(wǎng)絡(luò)。

▲遭勒索病毒“感染”的電腦桌面,。

揭秘2“勒索病毒”有何特點(diǎn)？

騰訊公司的安全專家指出,，這次病毒爆發(fā)事件,，實(shí)際上是一次蠕蟲攻擊，威力等同于當(dāng)年的conficker,。該蠕蟲一旦攻擊進(jìn)入能鏈接公網(wǎng)的用戶機(jī)器,，就會(huì)利用內(nèi)置了EnternalBlue的攻擊代碼，自動(dòng)在內(nèi)網(wǎng)里尋找開啟了445端口的機(jī)器進(jìn)行滲透,。一旦發(fā)現(xiàn)內(nèi)網(wǎng)中存在漏洞的機(jī)器,，不僅繼續(xù)傳播內(nèi)置漏洞掃描的蠕蟲病毒，還會(huì)傳播敲詐者病毒,，從而導(dǎo)致用戶機(jī)器上的所有文檔被加密,。

360公司提供的數(shù)據(jù)顯示，國內(nèi)首先出現(xiàn)的是ONION病毒,，平均每小時(shí)攻擊約200次,，夜間高峰期達(dá)到每小時(shí)1000多次；WNCRY勒索病毒則是5月12日下午新出現(xiàn)的全球性攻擊,，并在中國的校園網(wǎng)迅速擴(kuò)散,，夜間高峰期每小時(shí)攻擊約4000次。

360安全衛(wèi)士的專家指出,，“永恒之藍(lán)”勒索病毒以O(shè)NION和WNCRY兩個(gè)家族為主,，受害機(jī)器的磁盤文件會(huì)被篡改為相應(yīng)的后綴,，圖片、文檔,、視頻,、壓縮包等各類資料都無法正常打開，只有支付贖金才能解密恢復(fù),。這兩類勒索病毒,，勒索金額分別是5個(gè)比特幣和300美元，折合人民幣分別為5萬多元和2000多元,。

　　揭秘3為何高校成“重災(zāi)區(qū)”,？

國家互聯(lián)網(wǎng)應(yīng)急中心發(fā)布公告稱，此次攻擊主要基于445端口,，互聯(lián)網(wǎng)上共900余萬臺(tái)主機(jī)IP暴露445端口（端口開放）,，而中國大陸地區(qū)主機(jī)IP有300余萬臺(tái)。

中國高等教育學(xué)會(huì)教育信息化分會(huì)網(wǎng)絡(luò)信息安全工作組（簡稱安全工作組）也發(fā)布聲明稱,，經(jīng)過初步調(diào)查,，此類勒索病毒利用了基于445端口傳播擴(kuò)散的SMB漏洞，部分學(xué)校感染臺(tái)數(shù)較多,，大量重要信息被加密,，只有支付高額的比特幣贖金才能解密恢復(fù)文件，損失嚴(yán)重,。

中國信息安全研究院副院長左曉棟表示,，由于國內(nèi)曾多次出現(xiàn)利用445端口傳播的蠕蟲病毒，部分運(yùn)營商對(duì)個(gè)人用戶封掉了445端口,。但是教育網(wǎng)并無此限制,，存在大量暴露著445端口的機(jī)器，因此成為不法分子使用NSA黑客武器攻擊的重災(zāi)區(qū),。

杭州安恒信息技術(shù)有限公司創(chuàng)始人,、總裁范淵表示，某些特定行業(yè)網(wǎng)成為“重災(zāi)區(qū)”,，是因?yàn)闆]有限制445端口,，因此攻擊變成有效的攻擊，影響了很多學(xué)校,，還有一小部分醫(yī)療機(jī)構(gòu),。

“可以通過更新微軟發(fā)布的補(bǔ)丁進(jìn)行防范,，但對(duì)已受到攻擊的用戶,，解決仍是難題，還在想對(duì)策,?！狈稖Y介紹,，前段時(shí)間已檢測到零星的勒索病毒，多數(shù)單位可能對(duì)這個(gè)問題沒有足夠重視,。

受到攻擊后,，今天一早該公司已配合相關(guān)單位進(jìn)行快速處置，把端口關(guān)閉,。其表示,，今后要提前做好相關(guān)預(yù)防工作，網(wǎng)絡(luò)安全意識(shí)要不斷提高,，同時(shí),，主動(dòng)性的預(yù)判研判還要不斷加強(qiáng)，要引起足夠的警覺,。

防范對(duì)策,！6個(gè)步驟抵御勒索病毒