【網熱點】當心！勒索病毒虐"哭"全球 如何避免電腦被「綁架」?

千龍網綜合報導今天上班，估計大多數人打開電腦的時候，會惴惴不安，生怕中了「頭彩」，收到一條名為「想哭」（WannaCry）的勒索軟體發來的「贖金」通知單。

如果中招了，那可真是欲哭無淚了！因為電腦被這種勒索病毒感染後，其中文件會被加密鎖住，支付黑客所要求贖金後才能解密恢復。

據悉，勒索金額最高達5個比特幣，目前價值人民幣5萬多元。

這個令人聞風喪膽的WannaCry病毒，屬於蠕蟲式勒索軟體，通過利用編號為MS17－010的Windows漏洞（被稱為「永恆之藍」）主動傳播感染受害者。

自5月12日以來，由它發起的一次迄今為止最大規模的勒索病毒網絡攻擊席捲全球。

目前至少有150個國家受到網絡攻擊，國內多所高校及多家單位也遭攻擊，未來還可能進一步升級。

那麼，勒索病毒從何處來？爆發原因是什麼，有什麼危害，如何應對？

什麼是勒索軟體？

美國加利福尼亞大學教授約翰.比利亞塞尼奧爾介紹，勒索軟體是一種惡意軟體，通過對電腦上的文件進行某種形式的加密操作，使用戶無法打開文件，隨後向用戶發出勒索通知。

病毒從何而來？

病毒發行者利用了去年被盜的美國國家安全局（NSA）自主設計的Windows系統黑客工具Eternal Blue，將2017年2月的一款勒索病毒升級。

被感染的Windows用戶必須在7天內交納比特幣作為贖金，否則電腦數據將被全部刪除且無法修復。

勒索病毒要求用戶在被感染後的三天內交納相當於300美元的比特幣，三天後「贖金」將翻倍。

英國NHS官方宣布，襲擊該系統的勒索病毒叫做WannaCry（想哭嗎）或Wanna Decryptor（想解鎖嗎）。

你的電腦如何「中招」？

電腦用戶往往會收到一封經過偽裝的電子郵件，例如有關招聘信息、購貨清單等。

一旦點擊相關連結或打開附件，就會感染該病毒，導致電腦文件被黑客鎖住。

當用戶主機系統被該勒索軟體入侵後，彈出如下勒索對話框，提示勒索目的並向用戶索要比特幣。

而對於用戶主機上的重要文件，如：照片、圖片、文檔、壓縮包、音頻、視頻、可執行程序等幾乎所有類型的文件，都被加密的文件後綴名被統一修改為「.WNCRY」。

目前，安全業界暫未能有效破除該勒索軟的惡意加密行為，用戶主機一旦被勒索軟體滲透，只能通過重裝作業系統的方式來解除勒索行為，但用戶重要數據文件不能直接恢復。

勒索軟體介面圖

用戶文件被加密

如何防範勒索病毒？

5月13日下午消息，國家網絡與信息安全信息通報中心緊急通報，呼籲廣大計算機用戶儘快升級安裝補丁，地址為：https：//technet.microsoft.com/zh-cn/library/security/MS17-010.aspx。

Windows 2003和XP沒有官方補丁，相關用戶可打開並啟用Windows防火牆，進入「高級設置」，禁用「文件和印表機共享」設置；或啟用個人防火牆關閉445以及135、137、138、139等高風險埠。

已感染病毒機器請立即斷網，避免進一步傳播感染。

惡意勒索

據捷克網絡安全企業愛維士公司統計，全球99個國家和地區12日共遭遇超過7.5萬次電腦病毒攻擊，其中俄羅斯、烏克蘭等國遇襲尤其嚴重。

這款病毒名為「想哭」，屬於一種勒索軟體。

電腦用戶會收到一封電子郵件，往往是打著工作邀約、發貨清單、安全警告等「幌子」，但一旦打開相關連結，就會導致電腦中招。

該勒索軟體隨即會對電腦儲存的文件進行加密，使用戶無法打開。

電腦螢幕上彈出警告語：「你或許會試圖奪回文件，還是別浪費時間了！」

接著，電腦提示用戶在規定期限內支付300美元贖金，便可恢復電腦資料；每耽擱數小時，贖金額度就會上漲一些。

據俄羅斯卡巴斯基實驗室研究員庫爾特·鮑姆加特納觀察：「在支付贖金的用戶中，多數人在最初幾小時內就乖乖掏出300美元。

」

多國遭殃

據Splunk網絡安全公司主管里奇·巴傑描述，「這是全球迄今最大的勒索軟體攻擊事件之一」。

卡巴斯基全球研究和分析團隊表示，俄羅斯所受攻擊遠遠超過其他受害者，而中國大陸和台灣也受到較多攻擊。

英國公共衛生體系國民保健制度的服務系統12日被病毒入侵後，多家醫院電腦癱瘓，不得不停止接待病人，一些救護車等醫療服務也受影響。

英國首相特雷莎·梅當天說，英國國家網絡安全中心正與國民保健制度聯手應對這次危機。

西班牙、葡萄牙、阿根廷等多國電信企業，以及美國聯邦快遞公司均受這款病毒侵襲。

俄羅斯內務部、梅加豐電信公司遭遇同種病毒攻擊，據信已控制住病毒擴散規模。

俄羅斯國際文傳電訊社援引俄內務部發言人伊琳娜·沃爾克的話報導，俄內務部大約1000台電腦被感染，不到該部門電腦總數的1%。

另一名消息人士稱，俄政府文件未在此次攻擊中泄密。

美國挨批

目前，尚未有黑客組織認領這次襲擊。

但業界人士的共識是，這款「想哭」病毒來源於美國國安局的病毒武器庫。

上個月，美國國安局遭遇泄密事件，其研發的病毒武器庫被曝光於網上。

不少網絡安全專家指責，美國斥巨資研發黑客攻擊工具、而非自衛機制，結果造成全球網絡環境「更不安全」。

路透社援引美國聯邦政府公布的數據以及情報部門官員的話報導，美國網絡項目開支中，90%用於研發黑客攻擊武器，例如侵入「敵人」的電腦網絡、監聽民眾、設法讓基礎設施癱瘓或受阻等。

得知最新攻擊事件後，「稜鏡」監聽項目曝光者、美國前防務承包商雇員愛德華·斯諾登12日發推文說，「儘管多次被警告，（美國國安局）仍然研製了危險的攻擊工具。

今天，我們見到代價……醫院裡的病人生命受到威脅」。

面對外界批評，美國國安局尚未作出回應。

美國國土安全部計算機緊急應對小組表示，正密切關注這起波及全球的黑客攻擊事件。

【國內情況】

校園網成勒索病毒重災區

國內方面，校園網成勒索病毒肆虐之所。

5月12日晚間20點左右，國內部分高校學生反映電腦被病毒攻擊，文檔被加密。

攻擊者稱需支付比特幣解鎖。

目前受影響的有賀州學院、桂林電子科技大學、桂林航天工業學院、大連海事大學、山東大學等。

正直畢業季，北辰提醒廣大學子及時備份畢業論文，升級電腦安全等級，避免遭受損失。

據360安全中心分析，此次校園網勒索病毒是由NSA泄漏的「永恆之藍」黑客武器傳播的。

「永恆之藍」可遠程攻擊Windows的445埠（文件共享），如果系統沒有安裝今年3月的微軟補丁，無需用戶任何操作，只要開機上網，「永恆之藍」就能在電腦里執行任意代碼，植入勒索病毒等惡意程序。

360針對校園網勒索病毒事件的監測數據顯示，國內首先出現的是ONION病毒，平均每小時攻擊約200次，夜間高峰期達到每小時1000多次；WNCRY勒索病毒則是5月12日下午新出現的全球性攻擊，並在中國的校園網迅速擴散，夜間高峰期每小時攻擊約4000次。

由於國內曾多次出現利用445埠傳播的蠕蟲病毒，部分運營商對個人用戶封掉了445埠。

但是教育網並無此限制，存在大量暴露著445埠的機器，因此成為不法分子使用NSA黑客武器攻擊的重災區。

正值高校畢業季，勒索病毒已造成一些應屆畢業生的論文被加密篡改，直接影響到畢業答辯。

目前，「永恆之藍」傳播的勒索病毒以ONION和WNCRY兩個家族為主，受害機器的磁碟文件會被篡改為相應的後綴，圖片、文檔、視頻、壓縮包等各類資料都無法正常打開，只有支付贖金才能解密恢復。

多家單位遭病毒攻擊

5月12日晚，WannaCry勒索病毒在全球多個國家蔓延，國內多所高校的網絡遭受到勒索病毒的攻擊，大量學生畢業論文等重要資料被病毒加密，只有支付贖金才能恢復。

記者了解到，受到該病毒影響的不僅僅是校園網，還包括部分企事業單位。

據一名中國聯通鄭州分公司的工作人員稱，5月14日，因為受到比特幣勒索病毒的影響，單位電腦全部癱瘓。

5月13日，響水公安局出入境辦事處發布消息稱，因公安網遭遇新型病毒攻擊，暫時停辦出入境業務，具體恢復時間等待通知。

「弄了一宿，數據也沒有恢復過來。

」昨天，山東的一名民警告訴記者，受到勒索病毒影響，單位存儲資料的電腦被鎖定，學習計算機專業的他最終也只能束手無策。

中石油部分加油站受影響

同樣受影響的還有中國石油加油站。

昨日，中國石油在其官網中發布公告稱，5月12日22點30分左右，因全球比特幣勒索病毒爆發，公司所屬部分加油站正常運行受到波及。

病毒導致加油站加油卡、銀行卡、第三方支付等網絡支付功能無法使用。

不過，加油及銷售等基本業務運行正常，加油卡帳戶資金安全不受影響。

昨日下午，記者與北京地區五個中國石油加油站取得了聯繫。

其中中國石油首汽12號加油站的工作人員表示，13日起，因為受到新型病毒的影響，加油站的手機支付、加油卡支付等多種支付方式均受到影響，雖然上午進行了緊急搶修，但仍存在網絡不穩定的情況。

中國石油國門加油站的工作人員告訴北青報記者，截至下午4點，國門加油站仍只接受現金支付或國門加油站的加油卡支付費用。

中國石油昨天下午表示，根據現場驗證過的技術解決方案，開始逐站實施恢復工作。

80％以上加油站已經恢復網絡連接，受病毒感染的加油站正在陸續恢復加油卡、銀行卡、第三方支付功能。

中國石油大湖山莊西南、中國石油東鵬加油站、中國石油京順加油站的工作人員告訴北青報記者，已經在中午前恢復了手機支付和加油卡支付的功能。

【事件進展】

病毒傳播一度被意外攔阻

來自英國的消息似乎為戰勝勒索病毒帶來了一絲希望。

英國媒體13日報導，一名22歲的英國網絡工程師12日晚注意到，這一勒索病毒正不斷嘗試進入一個極其特殊、尚不存在的網址，於是他順手花8.5英鎊（約合75元人民幣）註冊了這個域名，試圖藉此網址獲取勒索病毒的相關數據。

令人不可思議的是，此後勒索病毒在全球的進一步蔓延竟然得到了阻攔。

這名工程師和同事分析，這個奇怪的網址很可能是勒索病毒開發者為避免被網絡安全人員捕獲所設定的「檢查站」，而註冊網址的行為無意觸發了程序自帶的「自殺開關」。

也就是說，勒索病毒在每次發作前都要訪問這個不存在的網址，如果網址繼續不存在，說明勒索病毒尚未引起安全人員注意，可以繼續在網絡上暢行無阻；而一旦網址存在，意味著病毒有被攔截並分析的可能。

在這種情況下，為避免被網絡安全人員獲得更多數據甚至反過來加以控制，勒索病毒會停止傳播。

勒索病毒已經出現新變種

意外攔阻勒索病毒的英國網絡工程師和一些網絡安全專家都表示，這種方法目前只是暫時阻止了勒索病毒的進一步發作和傳播，但幫不了那些勒索病毒已經發作的用戶，也並非徹底破解這種勒索病毒。

他們推測，新版本的勒索病毒很可能不帶這種「自殺開關」而捲土重來。

這種推測果然很快成為現實。

昨天國家網絡與信息安全信息通報中心緊急通報：監測發現，在全球範圍內爆發的WannaCry勒索病毒出現了變種：WannaCry2.0，與之前版本的不同是，這個變種不能通過註冊某個域名來關閉變種勒索病毒的傳播，該變種傳播速度可能會更快。

北京市委網信辦、北京市公安局、北京市經信委也聯合發出《關於WannaCry勒索蠕蟲出現變種及處置工作建議的通知》。

該通知要求各單位立即組織內網檢測，一旦發現中毒機器，立即斷網處置，嚴格禁止使用U盤、移動硬碟等可執行擺渡攻擊的設備。

《通知》稱，目前看來對硬碟格式化可清除病毒。

歐盟刑警組織下屬的歐洲網絡犯罪中心13日表示，此次勒索病毒攻擊的規模之大前所未有，需要通過複雜的國際調查尋找犯罪嫌疑人，歐盟刑警組織已和多國合作對此次攻擊展開調查。

美國加利福尼亞大學洛杉磯分校計算機科學和網絡安全教授彼得?賴海爾提醒，應及時更新電腦作業系統，尤其是安裝安全補丁。

【勒索病毒應急處理須知】

一、病毒影響範圍

MS17-010漏洞主要影響以下作業系統：Windows 2000，Windows 2003，Windows2008，Windows2012，Windows XP，Windows Vista，Windows7，Windows8，Windows10。

二、應急解決方案

對於未開機或未被感染的計算機：

第一步：斷開網絡（拔掉網線）；

第二步：使用U盤或光碟自帶的PE系統啟動電腦，將計算機中所有重要文件（尤其文檔、圖片、照片、壓縮包、音頻、視頻等）備份到移動存儲設備上。

第三步：開啟系統防火牆，並利用系統防火牆高級設置阻止向445埠進行連接。

第四步：對系統進行ms17010、ms10061、ms14068、ms08067、ms09050補丁更新。

三、啟動防火牆及阻止445埠處理流程

Win7、Win8、Win10的處理流程：

1、打開控制面板-系統與安全-Windows防火牆，點擊左側啟動或關閉Windows防火牆。

2、選擇啟動防火牆，並點擊確定。

3、點擊高級設置。

4、點擊入、出站規則，新建規則。

5、選擇埠，下一步。

6、選擇阻止連接，下一步。

7、特定本地埠，輸入445，下一步。

8、配置文件，全選，下一步。

9、名稱，可以任意輸入，完成即可。

XP系統的處理流程：

1、依次打開控制面板，安全中心，Windows防火牆，選擇啟用

2、點擊開始，運行，輸入cmd，確定執行下面三條命令

net stop rdr

net stop srv

net stop netbt

四、如何分辨是否中毒：

當系統被該勒索軟體入侵後，會彈出勒索對話框：

或在桌面及各個文件夾內出現以下文件：

所有被感染文件以「.WNCRY」為後綴：

該病毒目前沒有專殺工具，加密文件無法暴力破解。

如不幸感染病毒，系統中有重要文件的請等待解密工具，沒有重要文件的可以選擇格式化全盤並重做系統。

該勒索軟體採用包括英語、簡體中文、繁體中文等28種語言進行「本地化」。

會將自身複製到每個文件夾下，並重命名為「@[email protected]」。

同時衍生大量語言配置等文件，該勒索軟體AES和RSA加密算法，加密的文件以「WANACRY!」開頭，加密如下後綴名的文件：

【應對措施】

6步驟抵禦「勒索病毒」

安全工作組提出兩條預防措施：未升級作業系統的處理方式(不推薦，臨時緩解)：啟用並打開「Windows防火牆」，進入「高級設置」，在入站規則里禁用「文件和印表機共享」相關規則；升級作業系統的處理方式(推薦)：建議使用自動更新升級到Windows的最新版本。

對於學校等單位，建議在邊界出口交換路由設備禁止外網對校園網135/137/139/445埠的連接，同時，在校園網絡核心主幹交換路由設備禁止上述埠的連接。

騰訊公司的安全專家指出，微軟已支持所有主流系統的補丁，建議用戶使用電腦管家修補補丁，開啟管家進行防禦。

針對NSA黑客武器利用的Windows系統漏洞，微軟在今年3月已發布補丁修復。

此前360安全中心也已推出「NSA武器庫免疫工具」，(NSA武器庫免疫工具：http://dl.360safe.com/nsa/nsatool.exe)免疫工具可以關閉漏洞利用的埠，防止電腦被NSA黑客武器植入勒索病毒等惡意程序。

建議電腦用戶儘快使用360「NSA武器庫免疫工具」進行防禦。

國家網際網路應急中心建議，用戶及時更新Windows已發布的安全補丁更新，地址為：https：//technet.microsoft.com/zh-cn/library/security/MS17-010.aspx。

Windows 2003和XP沒有官方補丁，相關用戶可打開並啟用Windows防火牆，進入「高級設置」，禁用「文件和印表機共享」設置；或啟用個人防火牆關閉445以及135、137、138、139等高風險埠。

已感染病毒機器請立即斷網，避免進一步傳播感染。

在升級安裝補丁的同時做好如下工作：

1.關閉445等埠(其他關聯埠如135、137、139)的外部網絡訪問權限，在伺服器上關閉不必要的上述服務埠；

2.加強對445等埠的內部網絡區域訪問審計，及時發現非授權行為或潛在的攻擊行為；

3.及時更新作業系統補丁；

4.安裝並及時更新殺毒軟體；

5.不要輕易打開來源不明的電子郵件；

6.定期在不同的存儲介質上備份信息系統業務和個人數據。

【首度回應】

中央網信辦：「蠕蟲」式勒索軟體傳播速度放緩

5月15日，千龍網記者就「蠕蟲」式勒索軟體攻擊事件採訪了中央網信辦網絡安全協調局負責人。

據該負責人介紹，5月12日起，一款勒索軟體在全球較大範圍內傳播，感染了包括醫院、教育、能源、通信、製造業等以及政府部門在內的多個領域，我國一些行業和政府部門的計算機也受到了感染，造成了一定影響。

事件發生後，公安、工信、教育、銀行、網信等有關部門都立即做了部署，對防範工作提出了要求。

奇虎360、騰訊、安天、金山安全、安恆、遠望等相關企業迅速開展研究，主動提供安全服務和防範工具。

各相關媒體做了大量報導，對提高全社會的防範意識、遏制勒索軟體發揮了重要作用。

目前，該勒索軟體還在傳播，但傳播速度已經明顯放緩。

該負責人表示，幾天來應對該勒索軟體的實踐表明，對廣大用戶而言最有效的應對措施是要安裝安全防護軟體，及時升級安全補丁，即使是與網際網路不直接相連的內網計算機也應考慮安裝和升級安全補丁。

作為單位的系統管理技術人員，還可以採取關閉該勒索軟體使用的埠和網絡服務等措施。

此次勒索軟體較大範圍傳播是近年來少有的，再一次給人們敲響了警鐘。

網際網路等信息技術的快速發展，在給人們帶來巨大福祉的同時，也帶來了前所未有的網絡安全挑戰。

該負責人建議，各方面都要高度重視網絡安全問題，及時安裝安全防護軟體，及時升級作業系統和各種應用的安全補丁，設置高安全強度口令並定期更換，不要下載安裝來路不明的應用軟體，對特別重要的數據採取備份措施等。