原標(biāo)題：上百?lài)?guó)家遭“感染”,，這波勒索病毒為何如此兇猛？

　　▲遭勒索病毒“感染”的電腦會(huì)收到一封“勒索信”，內(nèi)容為想要解鎖文檔需支付300美金等價(jià)的比特幣,。

5月12日起,，我國(guó)多所高校遭遇網(wǎng)絡(luò)勒索病毒攻擊。被攻擊的電腦上文檔資料被黑客鎖定,，彈出界面提示,，須支付價(jià)值300美元（約合人民幣2000元）的“比特幣”才能解鎖,。

新京報(bào)（ID：bjnews_xjb）記者了解到，包括山東大學(xué),、浙江大學(xué),、南昌大學(xué)、淮陰工學(xué)院,、寧波大學(xué),、杭州師范大學(xué)等多所高校電腦“中招”。而清華大學(xué),、復(fù)旦大學(xué)等高校陸續(xù)發(fā)布防范信息,，提醒學(xué)生不要點(diǎn)開(kāi)來(lái)路不明的鏈接，并安裝殺毒軟件,。

▲復(fù)旦大學(xué)發(fā)布防范信息。

病毒攻擊并不僅局限在我國(guó)及高校內(nèi),。國(guó)家網(wǎng)絡(luò)與信息安全信息通報(bào)中心稱(chēng)：5月12日20時(shí)許,，新型“蠕蟲(chóng)”式勒索病毒爆發(fā),，目前已有100多個(gè)國(guó)家和地區(qū)的數(shù)萬(wàn)臺(tái)電腦遭該勒索病毒感染,。

今日下午，公安部網(wǎng)安局一位工作人員表示,，已關(guān)注到此事,，并已開(kāi)始著手調(diào)查,。目前尚未接到關(guān)于此次病毒事件的報(bào)告，建議網(wǎng)友使用一些網(wǎng)絡(luò)安全工具檢查個(gè)人電腦,，同時(shí)加強(qiáng)防范,，防止中毒遭受損失。

大學(xué)寢室電腦收到“勒索信”

昨天下午6點(diǎn)多,，南昌大學(xué)大三學(xué)生李敏（化名）打開(kāi)電腦接收室友論文幫忙改格式時(shí),，發(fā)現(xiàn)網(wǎng)很卡，保存也很慢,，甚至白屏了半分鐘。

“隨后,，電腦屏幕突然顯示一封勒索信，能選擇中文,、韓文、日文,、英文等，大致內(nèi)容是,，想要解鎖文檔,，需支付300美金等價(jià)的比特幣”。李敏說(shuō),，現(xiàn)在自己大部分文件都打不開(kāi),，包括雙學(xué)位畢業(yè)論文、答辯ppt及一些有記錄信息的圖片等,。

此外,，自己班上有三位同學(xué)都遇到這種情況。

該校新傳院大三學(xué)生張宏莉回憶,，她登錄學(xué)校的移動(dòng)網(wǎng)下載論文，昨晚10時(shí)發(fā)現(xiàn)電腦中毒,。

“當(dāng)時(shí)C盤(pán)文件拓展名都被改了,，我第一反應(yīng)是用硬盤(pán)拷下來(lái)還完好的文件，沒(méi)想到備份硬盤(pán)也中毒了,?！彼硎荆蟀惭b了微軟補(bǔ)丁也無(wú)濟(jì)于事，“電腦和備份硬盤(pán)的照片都被綁架了,，希望盡快找到解決方案,，實(shí)在沒(méi)辦法只能重裝系統(tǒng)?！?/p>

新京報(bào)（ID：bjnews_xjb）記者了解到,，昨日下午起，清華,、復(fù)旦,、浙大、山東大學(xué)等多所高校的校園網(wǎng),，均遭到病毒入侵,。學(xué)生在鏈接校園網(wǎng)后，電腦中部分文檔被鎖定,，有黑客留下聯(lián)系方式,，表示要恢復(fù)文檔必須支付比特幣。

▲山東大學(xué)發(fā)布防范信息,。

“昨晚，病毒入侵了校區(qū)和附近小區(qū)的電子閱覽室,，當(dāng)時(shí)一些學(xué)生正鏈接校園網(wǎng)查詢(xún)論文資料,，電腦和U盤(pán)中的文件忽然被鎖定”。山東大學(xué)的同學(xué)介紹,，界面出現(xiàn)一個(gè)紅色對(duì)話(huà)框，黑客留下聯(lián)系方式,，要求支付比特幣才提供解密服務(wù),，超過(guò)三天未支付還會(huì)漲價(jià)。

淮陰工學(xué)院一名同學(xué)表示,，自己正在寫(xiě)畢業(yè)論文時(shí),，電腦突然出現(xiàn)彈窗，后來(lái)論文,、知網(wǎng)下載的文檔都變成不可讀,。其嘗試去淘寶購(gòu)買(mǎi)修復(fù)服務(wù)，被告知“最近勒索病毒猖獗,，本店咨詢(xún)暴增”,，因修復(fù)價(jià)格太高，最終選擇重寫(xiě)論文,。

清華大學(xué)早在4月15日就發(fā)布通知,，為防止校園網(wǎng)內(nèi)部主機(jī)受到外部攻擊，校園網(wǎng)出口封禁TCP端口139、445,、3389,。今日再次發(fā)布緊急通知稱(chēng)，多所高校疫情嚴(yán)重,，由于此前已采取封禁措施,，最近兩次全球大規(guī)模網(wǎng)絡(luò)安全疫情均未大面積危害校園網(wǎng)絡(luò)和用戶(hù)。

加油站無(wú)法網(wǎng)絡(luò)支付

除了高校外,，多名網(wǎng)友還表示,，今日全國(guó)多地的加油站在加油時(shí)，無(wú)法進(jìn)行網(wǎng)絡(luò)支付,，只能使用現(xiàn)金,。

今日下午，中國(guó)石油（華威南路加油站）一名工作人員表示,，由于中國(guó)石油的網(wǎng)絡(luò)出現(xiàn)問(wèn)題,，現(xiàn)在只能使用現(xiàn)金和加油卡進(jìn)行消費(fèi)，而且加油卡無(wú)法使用圈存功能,。

中石油北京左安路加油站也遭遇相同的情況,，工作人員稱(chēng)，凌晨一點(diǎn)多發(fā)現(xiàn)網(wǎng)絡(luò)出了問(wèn)題,。上午接到通知稱(chēng),，集團(tuán)公司出現(xiàn)網(wǎng)絡(luò)故障，正在搶修中,，但具體原因?qū)Ψ奖硎静⒉恢椤?/p>

中石油遼陽(yáng)石化分公司一位不愿透露姓名的工作人員向新京報(bào)記者透露,，接到集團(tuán)公司信息安全中心通報(bào)稱(chēng)，12日晚開(kāi)始,，陸續(xù)出現(xiàn)針對(duì)Windows操作系統(tǒng)的敲詐者病毒,，中毒計(jì)算機(jī)/服務(wù)器的文件被加密，并出現(xiàn)索要贖金的畫(huà)面,。目前公司網(wǎng)絡(luò)與系統(tǒng)暫停服務(wù),，如發(fā)現(xiàn)電腦感染病毒，應(yīng)立即關(guān)閉該電腦,，拔掉網(wǎng)線,，并上報(bào)情況。而公司網(wǎng)絡(luò)恢復(fù)時(shí)間將另行通知,。

據(jù)媒體報(bào)道,，中石油有關(guān)負(fù)責(zé)人表示，目前公司加油站的加油業(yè)務(wù)和現(xiàn)金支付業(yè)務(wù)正常運(yùn)行,，但是第三方支付無(wú)法使用,，懷疑受到病毒攻擊,，具體情況還在核查處置中。

　　上百?lài)?guó)家和地區(qū)遭“感染”

病毒攻擊并不僅局限在我國(guó),。今日,，國(guó)家網(wǎng)絡(luò)與信息安全信息通報(bào)中心緊急通報(bào)：5月12日20時(shí)許，新型“蠕蟲(chóng)”式勒索病毒爆發(fā),，目前已有100多個(gè)國(guó)家和地區(qū)的數(shù)萬(wàn)臺(tái)電腦遭該勒索病毒感染,。

今日凌晨，微博“英國(guó)那些事兒”發(fā)文,，一個(gè)多小時(shí)前,，英國(guó)16家醫(yī)院遭到大范圍網(wǎng)絡(luò)攻擊，醫(yī)院內(nèi)網(wǎng)被攻陷,，電腦被鎖定,，電話(huà)打不通。黑客索要每家醫(yī)院300比特幣的贖金,，否則將刪除所有資料,。這16家機(jī)構(gòu)對(duì)外聯(lián)系基本中斷，內(nèi)部恢復(fù)使用紙筆進(jìn)行緊急預(yù)案,。英國(guó)國(guó)家網(wǎng)絡(luò)安全部門(mén)正在調(diào)查,。

騰訊公司安全部門(mén)向新京報(bào)提供的數(shù)據(jù)顯示，初步統(tǒng)計(jì),，該“蠕蟲(chóng)”已影響了約上百個(gè)國(guó)家的學(xué)校,、醫(yī)院、機(jī)場(chǎng),、銀行,、加油站等設(shè)備，使得這些設(shè)備上的文檔資料全部被加密,，損失慘重,。

據(jù)IT之家消息，目前受感染地區(qū)主要集中在中國(guó)中部和東南沿海地區(qū),，歐洲大陸、美國(guó)五大湖地區(qū),。中國(guó),、歐洲大陸地區(qū)受到的感染情況最為嚴(yán)重。

▲浙江大學(xué)發(fā)布防范信息,。

揭秘1罪魁禍?zhǔn)资恰坝篮阒{(lán)”病毒

今日上午，360公司董事長(zhǎng)周鴻祎發(fā)微博稱(chēng),，此次校園網(wǎng)勒索病毒是由NSA泄露的“永恒之藍(lán)”黑客武器傳播的,。“永恒之藍(lán)”可遠(yuǎn)程攻擊Windows的445端口（文件共享），如果系統(tǒng)沒(méi)有安裝今年3月的微軟補(bǔ)丁,，無(wú)需用戶(hù)任何操作,，只要開(kāi)機(jī)上網(wǎng)，“永恒之藍(lán)”就能在電腦里執(zhí)行任意代碼,，植入勒索病毒等惡意程序,。

國(guó)家互聯(lián)網(wǎng)應(yīng)急中心介紹，已著手對(duì)勒索軟件及相關(guān)網(wǎng)絡(luò)攻擊活動(dòng)進(jìn)行監(jiān)測(cè),，13日9時(shí)30分至12時(shí),，境內(nèi)境外約101.1萬(wàn)個(gè)IP地址遭受“永恒之藍(lán)”SMB漏洞攻擊工具的攻擊嘗試，發(fā)起攻擊嘗試的IP地址（包括進(jìn)行攻擊嘗試的主機(jī)地址及可能已感染蠕蟲(chóng)的主機(jī)地址）數(shù)量9300余個(gè),。

中心連發(fā)兩條通報(bào)稱(chēng),，勒索軟件利用此前披露的Windows SMB服務(wù)漏洞攻擊手段，向終端用戶(hù)進(jìn)行滲透?jìng)鞑?，并勒索比特幣或其他價(jià)值物,。包括高校、能源等重要信息系統(tǒng)在內(nèi)的多個(gè)國(guó)內(nèi)用戶(hù)受到攻擊,，對(duì)我國(guó)互聯(lián)網(wǎng)絡(luò)構(gòu)成較為嚴(yán)重的安全威脅,。

綜合樣本情況和分析結(jié)果，勒索軟件在傳播時(shí)基于445端口并利用SMB服務(wù)漏洞,，總體可以判斷是由于此前“Shadow Brokers”披露漏洞攻擊工具而導(dǎo)致的后續(xù)黑產(chǎn)攻擊威脅,。

當(dāng)用戶(hù)主機(jī)系統(tǒng)被該勒索軟件入侵后，彈出勒索對(duì)話(huà)框,，提示勒索目的并索要比特幣,。而對(duì)于用戶(hù)主機(jī)上的重要文件，如：照片,、圖片,、文檔、壓縮包,、音頻,、視頻、可執(zhí)行程序等幾乎所有類(lèi)型的文件,，都被加密的文件后綴名統(tǒng)一修改為“,。WNCRY”。

另?yè)?jù)《紐約時(shí)報(bào)》報(bào)道,，周五開(kāi)始,，黑客利用從美國(guó)國(guó)家安全局竊取的惡意軟件，執(zhí)行破壞性的網(wǎng)絡(luò)攻擊,。本次攻擊似乎是迄今為止范圍最廣的一次勒索軟件襲擊,，損失暫時(shí)還無(wú)法估量,。

該軟件被認(rèn)為是美國(guó)國(guó)家安全局網(wǎng)絡(luò)武器庫(kù)的一部分。

去年夏天起,，名為“影子經(jīng)紀(jì)人”的團(tuán)體開(kāi)始公開(kāi)美國(guó)政府的黑客武器,。目前美國(guó)政府尚未承認(rèn)“影子經(jīng)紀(jì)人”的武器屬于美國(guó)國(guó)安局，但有前情報(bào)官員稱(chēng),，這些武器來(lái)自國(guó)安局“量身定做行動(dòng)”部門(mén),，該部門(mén)滲透了外國(guó)計(jì)算機(jī)網(wǎng)絡(luò)。

▲遭勒索病毒“感染”的電腦桌面,。

揭秘2“勒索病毒”有何特點(diǎn)？

騰訊公司的安全專(zhuān)家指出,，這次病毒爆發(fā)事件,，實(shí)際上是一次蠕蟲(chóng)攻擊，威力等同于當(dāng)年的conficker,。該蠕蟲(chóng)一旦攻擊進(jìn)入能鏈接公網(wǎng)的用戶(hù)機(jī)器,，就會(huì)利用內(nèi)置了EnternalBlue的攻擊代碼，自動(dòng)在內(nèi)網(wǎng)里尋找開(kāi)啟了445端口的機(jī)器進(jìn)行滲透,。一旦發(fā)現(xiàn)內(nèi)網(wǎng)中存在漏洞的機(jī)器,，不僅繼續(xù)傳播內(nèi)置漏洞掃描的蠕蟲(chóng)病毒，還會(huì)傳播敲詐者病毒,，從而導(dǎo)致用戶(hù)機(jī)器上的所有文檔被加密,。

360公司提供的數(shù)據(jù)顯示，國(guó)內(nèi)首先出現(xiàn)的是ONION病毒,，平均每小時(shí)攻擊約200次,，夜間高峰期達(dá)到每小時(shí)1000多次；WNCRY勒索病毒則是5月12日下午新出現(xiàn)的全球性攻擊,，并在中國(guó)的校園網(wǎng)迅速擴(kuò)散,，夜間高峰期每小時(shí)攻擊約4000次。

360安全衛(wèi)士的專(zhuān)家指出,，“永恒之藍(lán)”勒索病毒以O(shè)NION和WNCRY兩個(gè)家族為主,，受害機(jī)器的磁盤(pán)文件會(huì)被篡改為相應(yīng)的后綴，圖片,、文檔,、視頻、壓縮包等各類(lèi)資料都無(wú)法正常打開(kāi),，只有支付贖金才能解密恢復(fù)。這兩類(lèi)勒索病毒,，勒索金額分別是5個(gè)比特幣和300美元,，折合人民幣分別為5萬(wàn)多元和2000多元,。

　　揭秘3為何高校成“重災(zāi)區(qū)”？

國(guó)家互聯(lián)網(wǎng)應(yīng)急中心發(fā)布公告稱(chēng),，此次攻擊主要基于445端口,，互聯(lián)網(wǎng)上共900余萬(wàn)臺(tái)主機(jī)IP暴露445端口（端口開(kāi)放），而中國(guó)大陸地區(qū)主機(jī)IP有300余萬(wàn)臺(tái),。

中國(guó)高等教育學(xué)會(huì)教育信息化分會(huì)網(wǎng)絡(luò)信息安全工作組（簡(jiǎn)稱(chēng)安全工作組）也發(fā)布聲明稱(chēng),，經(jīng)過(guò)初步調(diào)查，此類(lèi)勒索病毒利用了基于445端口傳播擴(kuò)散的SMB漏洞,，部分學(xué)校感染臺(tái)數(shù)較多,，大量重要信息被加密，只有支付高額的比特幣贖金才能解密恢復(fù)文件,，損失嚴(yán)重,。

中國(guó)信息安全研究院副院長(zhǎng)左曉棟表示，由于國(guó)內(nèi)曾多次出現(xiàn)利用445端口傳播的蠕蟲(chóng)病毒,，部分運(yùn)營(yíng)商對(duì)個(gè)人用戶(hù)封掉了445端口,。但是教育網(wǎng)并無(wú)此限制，存在大量暴露著445端口的機(jī)器,，因此成為不法分子使用NSA黑客武器攻擊的重災(zāi)區(qū),。

杭州安恒信息技術(shù)有限公司創(chuàng)始人、總裁范淵表示,，某些特定行業(yè)網(wǎng)成為“重災(zāi)區(qū)”,，是因?yàn)闆](méi)有限制445端口，因此攻擊變成有效的攻擊,，影響了很多學(xué)校,，還有一小部分醫(yī)療機(jī)構(gòu)。

“可以通過(guò)更新微軟發(fā)布的補(bǔ)丁進(jìn)行防范,，但對(duì)已受到攻擊的用戶(hù),，解決仍是難題，還在想對(duì)策,?！狈稖Y介紹，前段時(shí)間已檢測(cè)到零星的勒索病毒,，多數(shù)單位可能對(duì)這個(gè)問(wèn)題沒(méi)有足夠重視,。

受到攻擊后，今天一早該公司已配合相關(guān)單位進(jìn)行快速處置,，把端口關(guān)閉,。其表示，今后要提前做好相關(guān)預(yù)防工作,，網(wǎng)絡(luò)安全意識(shí)要不斷提高,，同時(shí),，主動(dòng)性的預(yù)判研判還要不斷加強(qiáng)，要引起足夠的警覺(jué),。

防范對(duì)策,！6個(gè)步驟抵御勒索病毒

安全工作組提出兩條個(gè)人預(yù)防措施：未升級(jí)操作系統(tǒng)的處理方式（不推薦，臨時(shí)緩解）：?jiǎn)⒂貌⒋蜷_(kāi)“Windows防火墻”,，進(jìn)入“高級(jí)設(shè)置”,，在入站規(guī)則里禁用“文件和打印機(jī)共享”相關(guān)規(guī)則；升級(jí)操作系統(tǒng)的處理方式（推薦）：建議廣大師生使用自動(dòng)更新升級(jí)到Windows的最新版本,。

對(duì)于學(xué)校等單位,，安全工作組建議，在邊界出口交換路由設(shè)備禁止外網(wǎng)對(duì)校園網(wǎng)135/137/139/445端口的連接,，同時(shí),，在校園網(wǎng)絡(luò)核心主干交換路由設(shè)備禁止135/137/139/445端口的連接。

騰訊公司的安全專(zhuān)家指出,，目前微軟已經(jīng)緊急發(fā)布了之前未支持的XP,、win8、Windows server2003等系統(tǒng)的補(bǔ)丁,，加上之前的補(bǔ)丁,，微軟已支持所有主流系統(tǒng)的補(bǔ)丁，建議用戶(hù)使用電腦管家修補(bǔ)補(bǔ)丁,，以及開(kāi)啟管家進(jìn)行防御,。

國(guó)家互聯(lián)網(wǎng)應(yīng)急中心建議，用戶(hù)及時(shí)更新Windows已發(fā)布的安全補(bǔ)丁更新,，同時(shí)在網(wǎng)絡(luò)邊界,、內(nèi)部網(wǎng)絡(luò)區(qū)域、主機(jī)資產(chǎn),、數(shù)據(jù)備份方面做好如下工作：

1,。關(guān)閉445等端口（其他關(guān)聯(lián)端口如： 135、137,、139）的外部網(wǎng)絡(luò)訪問(wèn)權(quán)限,，在服務(wù)器上關(guān)閉不必要的上述服務(wù)端口；

2,。加強(qiáng)對(duì)445等端口的內(nèi)部網(wǎng)絡(luò)區(qū)域訪問(wèn)審計(jì),，及時(shí)發(fā)現(xiàn)非授權(quán)行為或潛在的攻擊行為；

3,。及時(shí)更新操作系統(tǒng)補(bǔ)?。?/p>

4。安裝并及時(shí)更新殺毒軟件,；

5,。不要輕易打開(kāi)來(lái)源不明的電子郵件；

6,。定期在不同的存儲(chǔ)介質(zhì)上備份信息系統(tǒng)業(yè)務(wù)和個(gè)人數(shù)據(jù)。

注意了,！比特幣“躺槍”,，交易需謹(jǐn)慎

由于此次病毒爆發(fā)需要受害者支付比特幣來(lái)解封電腦，因此該病毒又被一些媒體稱(chēng)為“比特幣病毒”,。

對(duì)此,，微博名為“超級(jí)比特幣”的國(guó)內(nèi)某知名比特幣公司高管認(rèn)為，比特幣并非病毒,，這次電腦病毒名為“永恒之藍(lán)”,，比特幣純屬“躺槍”。

該高管告訴新京報(bào)（ID：bjnews_xjb）記者,，比特幣不是病毒,，更不是病毒的溫床，不管是從字面意義還是實(shí)際意義,，電腦病毒的溫床是有安全漏洞的windows系統(tǒng),。他期待這次事件背后的黑客能盡早被抓歸案，比特幣“不應(yīng)該被利用,，也不應(yīng)該被指責(zé)”,。

他提醒網(wǎng)友，由于自己沒(méi)有親測(cè),，因此不知道支付了比特幣后,，被病毒攻擊的電腦是否能解封。目前國(guó)內(nèi)很多比特幣交易所是不能提取比特幣的,，若網(wǎng)友想購(gòu)買(mǎi)比特幣去支付贖金解封電腦,，需要選擇能夠提幣的交易所，不然會(huì)遭受第二次損失,。

但并非所有人都認(rèn)為比特幣“無(wú)辜”,。一位從事金融工作的知乎網(wǎng)友說(shuō)，“我一直對(duì)比特幣很抵觸”,。他認(rèn)為,，這個(gè)貨幣沒(méi)有信用依托，“還衍生出了一大幫騙子”,，對(duì)洗錢(qián)和本次事件中索要“贖金”的人來(lái)說(shuō),，比特幣“還真就好用”，希望政府能夠加強(qiáng)對(duì)比特幣的監(jiān)管,。

新京報(bào)記者 王婧祎 沙璐 趙蕾 曾金秋 實(shí)習(xí)生 劉經(jīng)宇