遭勒索病毒“感染”的電腦會(huì)收到“勒索信”，內(nèi)容為想解鎖文檔需支付價(jià)值300美元的比特幣。受訪者供圖

12日起，我國多所高校遭遇網(wǎng)絡(luò)勒索病毒攻擊。被攻擊電腦上文檔資料被鎖定，彈出界面提示，須支付價(jià)值300美元(約合人民幣2000元)的“比特幣”才能解鎖。

勒索病毒不局限于我國及高校。國家網(wǎng)絡(luò)與信息安全信息通報(bào)中心稱，100多個(gè)國家和地區(qū)數(shù)萬臺(tái)電腦遭勒索病毒感染。

國家互聯(lián)網(wǎng)應(yīng)急中心發(fā)布應(yīng)急公告，勒索病毒向終端用戶進(jìn)行滲透?jìng)鞑ィ⒗账鞅忍貛呕蚱渌麅r(jià)值物，構(gòu)成較為嚴(yán)重的攻擊威脅。已著手對(duì)勒索軟件及相關(guān)網(wǎng)絡(luò)攻擊活動(dòng)進(jìn)行監(jiān)測(cè)，建議用戶及時(shí)更新Windows已發(fā)布的安全補(bǔ)丁，同時(shí)在網(wǎng)絡(luò)邊界、內(nèi)部網(wǎng)絡(luò)區(qū)域、主機(jī)資產(chǎn)、數(shù)據(jù)備份方面做好相關(guān)工作。

公安部網(wǎng)安局一位工作人員也表示，已關(guān)注此事，并著手調(diào)查。目前尚未接到關(guān)于此次病毒事件的報(bào)告，建議網(wǎng)友使用一些網(wǎng)絡(luò)安全工具檢查個(gè)人電腦，同時(shí)加強(qiáng)防范，防止中毒遭受損失。

學(xué)生電腦收到“勒索信”

12日下午6點(diǎn)多，南昌大學(xué)大三學(xué)生李敏(化名)打開電腦，接收室友論文幫忙改格式時(shí)，發(fā)現(xiàn)網(wǎng)很卡，保存也很慢，甚至白屏了半分鐘。

“隨后，電腦屏幕突然顯示一封勒索信，能選擇中文、韓文、日文、英文等，大致內(nèi)容是，想要解鎖文件，需支付300美金等價(jià)的比特幣”。李敏說，大部分文件都打不開了，包括雙學(xué)位畢業(yè)論文、答辯PPT及一些有記錄信息的圖片等。班上有三位同學(xué)遇到類似情況。

該校新傳院大三學(xué)生張宏莉回憶，自己12日晚10時(shí)登錄學(xué)校的移動(dòng)網(wǎng)下載論文，發(fā)現(xiàn)電腦中毒。

“當(dāng)時(shí)C盤文件拓展名都被改了，我第一反應(yīng)是用硬盤拷下來還完好的文件，沒想到備份硬盤也中毒了。”她表示，安裝了微軟補(bǔ)丁也無濟(jì)于事，“希望盡快找到解決方案，實(shí)在沒辦法只能重裝系統(tǒng)。”

新京報(bào)記者了解到，山東大學(xué)、浙江大學(xué)、南昌大學(xué)、寧波大學(xué)等多所高校電腦“中招”。學(xué)生電腦中文檔被鎖定，有黑客留下聯(lián)系方式，表示要恢復(fù)文檔必須支付比特幣。

淮陰工學(xué)院一名同學(xué)表示，自己正在寫畢業(yè)論文時(shí)，電腦突然出現(xiàn)彈窗，后來論文、知網(wǎng)下載的文檔都變成不可讀。其嘗試去淘寶購買修復(fù)服務(wù)，最終因修復(fù)價(jià)格太高，選擇重寫論文。

上百國家遭“感染”

多名網(wǎng)友表示，全國多地的加油站在加油時(shí)，無法進(jìn)行網(wǎng)絡(luò)支付，只能使用現(xiàn)金。

昨日下午，多位中石油工作人員稱，集團(tuán)出現(xiàn)網(wǎng)絡(luò)故障，正在搶修，只能使用現(xiàn)金和加油卡消費(fèi)，且加油卡無法使用圈存功能。

中石油遼陽石化分公司一位工作人員透露，接到集團(tuán)通報(bào)，12日晚開始，陸續(xù)出現(xiàn)針對(duì)Windows操作系統(tǒng)的敲詐者病毒，文件被加密，并索要贖金。目前公司網(wǎng)絡(luò)與系統(tǒng)暫停服務(wù)，如發(fā)現(xiàn)電腦感染病毒，立即關(guān)閉該電腦，拔掉網(wǎng)線。公司網(wǎng)絡(luò)恢復(fù)時(shí)間另行通知。

病毒攻擊并不局限在我國。國家網(wǎng)絡(luò)與信息安全信息通報(bào)中心發(fā)布通報(bào)：12日20時(shí)許，新型“蠕蟲”式勒索病毒爆發(fā)，目前已有100多個(gè)國家和地區(qū)的數(shù)萬臺(tái)電腦遭感染。

昨日凌晨，微博“英國那些事兒”發(fā)文，一個(gè)多小時(shí)前，英國16家醫(yī)院遭到大范圍網(wǎng)絡(luò)攻擊，醫(yī)院內(nèi)網(wǎng)被攻陷，電腦被鎖定，電話打不通。黑客索要每家醫(yī)院300比特幣的贖金，否則將刪除所有資料。16家機(jī)構(gòu)對(duì)外聯(lián)系基本中斷，內(nèi)部恢復(fù)使用紙筆進(jìn)行緊急預(yù)案。英國國家網(wǎng)絡(luò)安全部門正在調(diào)查。

騰訊公司安全部門向新京報(bào)提供的數(shù)據(jù)顯示，初步統(tǒng)計(jì)，該“蠕蟲”已影響了約上百個(gè)國家的學(xué)校、醫(yī)院、機(jī)場(chǎng)、銀行、加油站等設(shè)備，使得這些設(shè)備上的文檔資料全部被加密，損失慘重。

據(jù)IT之家消息，目前受感染地區(qū)主要集中在中國中部和東南沿海地區(qū)，歐洲大陸、美國五大湖地區(qū)。中國、歐洲大陸地區(qū)受到的感染情況最為嚴(yán)重。

揭秘1

罪魁禍?zhǔn)资恰坝篮阒{(lán)”病毒

昨日上午，360公司董事長周鴻祎發(fā)微博稱，此次勒索病毒是由NSA泄露的“永恒之藍(lán)”黑客武器傳播的。“永恒之藍(lán)”可遠(yuǎn)程攻擊Windows的445端口(文件共享)，如果系統(tǒng)未安裝3月的微軟補(bǔ)丁，用戶只要開機(jī)上網(wǎng)，“永恒之藍(lán)”就能在電腦里執(zhí)行任意代碼，植入勒索病毒等惡意程序。

國家互聯(lián)網(wǎng)應(yīng)急中心介紹，已著手對(duì)勒索軟件及相關(guān)網(wǎng)絡(luò)攻擊活動(dòng)進(jìn)行監(jiān)測(cè)，13日9時(shí)30分至12時(shí)，境內(nèi)境外約101.1萬個(gè)IP地址遭受“永恒之藍(lán)”攻擊，發(fā)起攻擊嘗試的IP地址數(shù)量9300余個(gè)。

應(yīng)急中心發(fā)布通報(bào)稱，勒索軟件利用此前披露的Windows SMB服務(wù)漏洞攻擊手段，向終端用戶進(jìn)行滲透?jìng)鞑ィ⒗账鞅忍貛呕蚱渌麅r(jià)值物。包括高校、能源等重要信息系統(tǒng)在內(nèi)的多個(gè)國內(nèi)用戶受到攻擊，對(duì)我國互聯(lián)網(wǎng)絡(luò)構(gòu)成較為嚴(yán)重的安全威脅。

據(jù)新華社報(bào)道，尚未有黑客組織認(rèn)領(lǐng)這次襲擊。但業(yè)界共識(shí)是，病毒源于美國國安局的病毒武器庫。上個(gè)月，美國國安局遭遇泄密，其研發(fā)的病毒武器庫被曝光。美國國安局尚未作出回應(yīng)，美國國土安全部計(jì)算機(jī)緊急應(yīng)對(duì)小組稱，正密切關(guān)注這起波及全球的黑客攻擊事件。

揭秘2

加密電腦文件勒索高額“贖金”

騰訊公司的安全專家指出，該事件實(shí)際上是一次蠕蟲攻擊。蠕蟲一旦攻擊進(jìn)入能鏈接公網(wǎng)的用戶機(jī)器，就會(huì)利用內(nèi)置了“永恒之藍(lán)”的攻擊代碼，自動(dòng)尋找開啟445端口的機(jī)器進(jìn)行滲透。一旦發(fā)現(xiàn)存在漏洞的機(jī)器，不僅繼續(xù)傳播蠕蟲病毒，還會(huì)傳播敲詐者病毒，導(dǎo)致用戶機(jī)器上所有文檔被加密。

360安全衛(wèi)士的專家指出，“永恒之藍(lán)”勒索病毒以O(shè)NION和WNCRY兩個(gè)家族為主，受害機(jī)器的磁盤文件會(huì)被篡改為相應(yīng)的后綴，圖片、文檔、視頻、壓縮包等都無法正常打開，只有支付贖金才能解密恢復(fù)。兩類病毒勒索金額分別是5個(gè)比特幣(約合人民幣5萬多元)和300美元。

360公司提供的數(shù)據(jù)顯示，國內(nèi)首先出現(xiàn)的是ONION病毒，平均每小時(shí)攻擊約200次，夜間高峰期達(dá)每小時(shí)1000多次；WNCRY勒索病毒是12日新出現(xiàn)的全球性攻擊，并在中國校園網(wǎng)迅速擴(kuò)散，夜間高峰期每小時(shí)攻擊約4000次。

國內(nèi)某知名比特幣公司高管提醒，尚不清楚支付比特幣后，被攻擊的電腦能否解封。目前國內(nèi)很多比特幣交易所是不能提取比特幣的，若想購買比特幣解封電腦，需選擇能提幣的交易所，不然會(huì)遭受二次損失。

揭秘3

相關(guān)端口暴露高校成“重災(zāi)區(qū)”

國家互聯(lián)網(wǎng)應(yīng)急中心通告，此次攻擊主要基于445端口，互聯(lián)網(wǎng)上共900余萬臺(tái)主機(jī)IP暴露該端口(端口開放)，中國大陸地區(qū)有300余萬臺(tái)。

中國高等教育學(xué)會(huì)教育信息化分會(huì)網(wǎng)絡(luò)信息安全工作組發(fā)布聲明，經(jīng)初步調(diào)查，此類勒索病毒利用了基于445端口傳播擴(kuò)散的SMB漏洞，部分學(xué)校感染臺(tái)數(shù)較多，大量重要信息被加密。

中國信息安全研究院副院長左曉棟稱，國內(nèi)曾多次出現(xiàn)利用445端口傳播的蠕蟲病毒，因此部分運(yùn)營商對(duì)個(gè)人用戶封掉該端口。但教育網(wǎng)并無此限制，存在大量暴露該端口的機(jī)器，成為被攻擊的重災(zāi)區(qū)。

杭州安恒信息技術(shù)有限公司創(chuàng)始人、總裁范淵表示，某些特定行業(yè)網(wǎng)未限制445端口，因此攻擊變得“有效”，很多學(xué)校及一小部分醫(yī)療機(jī)構(gòu)受到影響。“可以通過更新微軟發(fā)布的補(bǔ)丁進(jìn)行防范，但對(duì)已受到攻擊的用戶，解決仍是難題。”其介紹，前段時(shí)間已檢測(cè)到零星的勒索病毒，多數(shù)單位可能沒足夠重視。

清華大學(xué)則因采取封禁措施而“避難”。4月15日，學(xué)校為防止校園網(wǎng)內(nèi)部主機(jī)受攻擊，封禁TCP端口139、445、3389。昨日，該校發(fā)布通知稱，最近兩次全球大規(guī)模網(wǎng)絡(luò)安全疫情，均未大面積危害校園網(wǎng)絡(luò)和用戶。

■ 小貼士

6步驟抵御“勒索病毒”

安全工作組提出兩條預(yù)防措施：未升級(jí)操作系統(tǒng)的處理方式(不推薦，臨時(shí)緩解)：啟用并打開“Windows防火墻”，進(jìn)入“高級(jí)設(shè)置”，在入站規(guī)則里禁用“文件和打印機(jī)共享”相關(guān)規(guī)則；升級(jí)操作系統(tǒng)的處理方式(推薦)：建議師生使用自動(dòng)更新升級(jí)到Windows的最新版本。

對(duì)于學(xué)校等單位，建議在邊界出口交換路由設(shè)備禁止外網(wǎng)對(duì)校園網(wǎng)135/137/139/445端口的連接，同時(shí)，在校園網(wǎng)絡(luò)核心主干交換路由設(shè)備禁止上述端口的連接。

騰訊公司的安全專家指出，微軟已支持所有主流系統(tǒng)的補(bǔ)丁，建議用戶使用電腦管家修補(bǔ)補(bǔ)丁，開啟管家進(jìn)行防御。

國家互聯(lián)網(wǎng)應(yīng)急中心建議，用戶及時(shí)更新Windows已發(fā)布的安全補(bǔ)丁更新，同時(shí)做好如下工作：

1. 關(guān)閉445等端口(其他關(guān)聯(lián)端口如135、137、139)的外部網(wǎng)絡(luò)訪問權(quán)限，在服務(wù)器上關(guān)閉不必要的上述服務(wù)端口；

2. 加強(qiáng)對(duì)445等端口的內(nèi)部網(wǎng)絡(luò)區(qū)域訪問審計(jì)，及時(shí)發(fā)現(xiàn)非授權(quán)行為或潛在的攻擊行為；

3. 及時(shí)更新操作系統(tǒng)補(bǔ)丁；

4. 安裝并及時(shí)更新殺毒軟件；

5. 不要輕易打開來源不明的電子郵件；

6. 定期在不同的存儲(chǔ)介質(zhì)上備份信息系統(tǒng)業(yè)務(wù)和個(gè)人數(shù)據(jù)。

新京報(bào)記者 王婧祎 沙璐 趙蕾 曾金秋 實(shí)習(xí)生 劉經(jīng)宇