教育部否認大規模感染勒索病毒：安全廠商惡意放大病毒影響

針對網傳「中國此次遭受攻擊的主要是教育網用戶」消息，中國教育和科研計算機網CERNET網絡中心15日發布聲明稱，「教育網並未出現大規模勒索病毒感染，也不是重災區。

」以下為聲明內容：

5月12日開始，因Windows漏洞導致的勒索蠕蟲病毒在全球爆發。

正當我們積極防範和應對這次大規模網絡病毒攻擊的時候，國內某些安全廠商卻出於自己的商業目的，連續發表不實言論和所謂技術報告，或無中生有，捏造事實，或惡意放大該病毒的影響，主要包括「中國此次遭受攻擊的主要是教育網用戶」，原因是「教育網節點之間對445埠訪問控制不夠嚴格，造成病毒在校園網和教育科研網中大量傳播，呈現爆發的態勢」，「整個教育行業損失非常嚴重」。

並稱「大量准畢業生的畢業設計，論文材料被加密，導致無法完成論文答辯」。

部分媒體也在沒有調查的情況下，引用或轉載這些不實言辭，「高校成為重災區」，「教育網成為重災區」見諸許多媒體的報導。

這些失實的言論已經嚴重誤導輿論，引起部分高校師生的恐慌，影響了正常的教學和生活秩序。

鑒於此，我們嚴正聲明如下：

截止14日中午，根據我們對各高校用戶的不完全統計，在近1600個高校用戶中，確認感染病毒的高校僅66所，占比4%，僅涉及數百個IP位址。

由於連接教育網的各高校校園網大多採用多出口模式，在被病毒感染的66所高校中，通過教育網感染病毒的高校僅有5所，通過其他運營商網絡感染病毒的高校39所，無法確定感染病毒途徑的高校22所。

經教育網安全應急響應小組CCERT對國際相關權威數據的分析表明，教育網各高校用戶感染病毒的比例很低，僅占國內感染病毒總量的1%，未出現大規模勒索病毒感染，更談不上是重災區。

2、本次感染勒索病毒的最主要原因是用戶Windows系統沒有及時升級存在漏洞造成的，而不是由於主幹網沒有封堵445埠造成的。

按照國際網際網路技術規範，網際網路TCP埠應為眾多網際網路應用提供開放的接口能力，除非緊急情況需要，網際網路運營商一般不應該、也不會隨意封堵主幹網TCP埠。

即便封堵，一般運營商也不會在主幹網，而是由用戶（如校園網或企業網）根據自身需要在接入主幹網的邊緣採取訪問控制措施（例如封堵某些TCP埠）。

另外，目前用戶上網具有非常強的移動性，指望在運營商主幹網上封堵某個埠就能保護用戶計算機安全，是不現實和不專業的。

事實上，目前確有一些高校使用445埠提供網絡信息服務，因此教育網儘管沒有在今年4月後封堵主幹網445埠，但是一直在密切監測主幹網445埠的流量變化情況。

一批連接教育網的高校在今年4月發現Windows某些版本漏洞後，是在封堵445等埠的同時迅速組織力量修補Windows某些版本漏洞，確保不被感染。

而另一些僅連接運營商主幹網的高校由於沒有及時修補Windows某些版本漏洞，還是被感染了勒索病毒。

可見，並不是封堵445埠，而是儘快完成各類用戶Windows系統軟體的升級或修復漏洞才是防範勒索病毒的根本措施。

在此我們要求相關安全廠商本著實事求是的態度，澄清事實並承認錯誤；希望媒體在報導時，慎重援引廠商言論，加強與報導所涉單位的核實採訪工作；呼籲廣大社會公眾，堅決抵制有意無意製造社會安全恐慌而達到商業目的廠商。

我們將保留採取進一步法律手段的權利。

中國教育和科研計算機網CERNET網絡中心

2017年05月15日

相關背景新聞報導：教育網大量電腦445埠暴露，導致中招

據360安全中心分析，此次校園網勒索病毒是由NSA泄漏的「永恆之藍」黑客武器傳播的。

「永恆之藍」可遠程攻擊Windows的445埠（文件共享），如果系統沒有安裝今年3月的微軟補丁，無需用戶任何操作，只要開機上網，「永恆之藍」就能在電腦里執行任意代碼，植入勒索病毒等惡意程序。

由於國內曾多次出現利用445埠傳播的蠕蟲病毒，部分運營商對個人用戶封掉了445埠。

但是教育網並無此限制，存在大量暴露著445埠的機器，因此成為不法分子使用NSA黑客武器攻擊的重災區。

正值高校畢業季，勒索病毒已造成一些應屆畢業生的論文被加密篡改，直接影響到畢業答辯。

目前，「永恆之藍」傳播的勒索病毒以ONION和WNCRY兩個家族為主，受害機器的磁碟文件會被篡改為相應的後綴，圖片、文檔、視頻、壓縮包等各類資料都無法正常打開，只有支付贖金才能解密恢復。

這兩類勒索病毒，勒索金額分別是5個比特幣和300美元，摺合人民幣分別為5萬多元和2000多元。

360針對校園網勒索病毒事件的監測數據顯示，國內首先出現的是ONION病毒，平均每小時攻擊約200次，夜間高峰期達到每小時1000多次；WNCRY勒索病毒則是5月12日下午新出現的全球性攻擊，並在中國的校園網迅速擴散，夜間高峰期每小時攻擊約4000次。

安全專家發現，ONION勒索病毒還會與挖礦機（運算生成虛擬貨幣）、遠控木馬組團傳播，形成一個集合挖礦、遠控、勒索多種惡意行為的木馬病毒「大禮包」，專門選擇高性能伺服器挖礦牟利，對普通電腦則會加密文件敲詐錢財，最大化地壓榨受害機器的經濟價值。

針對NSA黑客武器利用的Windows系統漏洞，微軟在今年3月已發布補丁修復。

此前360安全中心也已推出「NSA武器庫免疫工具」，能夠一鍵檢測修復NSA黑客武器攻擊的漏洞；對XP、2003等已經停止更新的系統，免疫工具可以關閉漏洞利用的埠，防止電腦被NSA黑客武器植入勒索病毒等惡意程序。

2017年05月13日