勒索軟體威脅或將持續，未來還將威脅數十億部手機

「英雄拯救世界」？在近兩天全球性的勒索軟體網絡攻擊事件中，傳出了一名英國網絡工程師通過註冊某個域名而遏制這場災難的消息。

但網絡安全專家指出，目前事態只是由於多種原因而稍顯緩和，許多網絡用戶特別是中國用戶仍面臨風險關口。

網絡攻擊級別「史無前例」

12日，全球多個國家的網絡遭遇名為「想哭」的勒索軟體攻擊，據統計，涉及中國、英國、西班牙、俄羅斯等近百個國家和地區。

電腦被勒索軟體感染後文件會被加密鎖定，支付黑客所要贖金後才能解密恢復，受攻擊對象甚至包括醫院、高校等公益性機構。

歐盟刑警組織說，這次網絡攻擊「達到史無前例的級別」。

這一勒索軟體利用的是微軟「視窗」作業系統中的一個漏洞。

儘管此前微軟已發布安全補丁，但仍有許多沒有更新的電腦被感染。

鑒於事態嚴重，微軟很快宣布採取非同尋常的安防措施，為一些它已不再支持的老「視窗」平台提供補丁。

多家網絡安全廠商也緊急推出了應對勒索軟體的安全工具。

13日，媒體報導一個英國小伙「拯救世界」的消息，稱他通過註冊某個域名遏制了這場網絡攻擊。

記者調查發現，這位迄今沒有透露姓名等信息的英國網絡工程師運營一家分析惡意軟體的網站。

他在網站上稱，通過分析「想哭」軟體發現，它預設如果訪問某個域名就自我刪除，而這個域名尚未註冊，他通過註冊這個域名並進行相關操作，成功阻止了「想哭」軟體蔓延。

「這個說法並不全對，域名的作用其實有限，」安天公司安全研究與應急處理中心主任李柏松說，「一部分已被感染的電腦，確實可以訪問這個域名而使勒索軟體停止破壞，但當前最大的問題是大量內網節點已被感染，而有些節點無法訪問這個域名，並且勒索軟體很容易修改出不帶有這一特性的新變種。

所以，不能指望就靠這個域名拯救世界。

」

「我們監測到的攻擊量和感染量並沒有明顯回落，只是一個緩慢的持平和下降，」360公司首席安全工程師鄭文彬說，「隨著媒體推動和用戶意識到問題，公眾和機構的電腦逐漸打上補丁，這才是事態目前稍顯緩和的主要原因。

」

用戶仍然面臨風險

「這個緩和很大程度上還因為是周末，15日會是重要的考驗關口，」鄭文彬強調。

由於時區關係，中國將是較早面臨這個風險的國家。

李柏松同樣判斷：「勒索軟體網絡攻擊大規模爆發於北京時間12日晚8點左右，當時國內有大量機構和企業的網絡節點已關機，因此15日開機將面臨安全考驗。

」他還說，許多重要的計算機系統處於內網環境，無法訪問前述域名，並且也可能無法及時更新安全補丁，因此仍可能面臨較大風險。

網絡安全專家建議，用戶要斷網開機，即先拔掉網線再開機，這樣基本可以避免被勒索軟體感染。

開機後應儘快想辦法打上安全補丁，或安裝各家網絡安全公司針對此事推出的防禦工具，才可以聯網。

「針對勒索軟體威脅，用戶必須提前做好防禦工作，」李柏松強調，「因為這個勒索軟體採用了RSA、AES等加密算法，沒有密鑰無法解密。

」也就是說，對已被感染且發作的電腦，其中被鎖定的文件暫時沒有辦法打開。

他表示，網上有傳聞說勒索軟體作者已經公開了密鑰，但已經證實這是假消息。

李柏松指出，不建議文件已被鎖定的受害者按黑客要求支付贖金，「妥協就是對犯罪的縱容，而且目前無法確定傳播者的真實意圖，支付了贖金也不一定會收到解鎖所需的密鑰，我們不建議受害用戶支付贖金。

」

鄭文彬說，文件被鎖定的用戶可以嘗試使用一些恢復工具，根據被鎖定文件的性質，有一定機率可以恢複數據。

「勒索」未來可能持續

網絡安全專家都在嚴陣以待15日這個關口。

那麼，假如過了這個關口，今後又會怎麼樣？鄭文彬認為：「這個勒索軟體的攻擊未來應該還會持續一段時間。

」

「一些不法黑客還可能受到此次勒索軟體攻擊的啟發，將更多技術手段與勒索軟體相結合，」李柏松說，「勒索模式帶動蠕蟲病毒的回潮不可避免，黑客可能利用殭屍網絡分發病毒，還可能針對物聯網設備的漏洞製造和傳播病毒軟體，這些問題都會出現。

」

比特幣的興起也為勒索軟體提供了幫助。

比特幣是一種虛擬貨幣，在網上交易難以追蹤，成為許多黑客愛用的交易媒介。

在此次事件中，就有用戶因一台電腦被感染而被勒索5個比特幣，目前約合人民幣5萬元。

此次勒索軟體威脅的不僅是個人用戶，還有眾多機構和企業。

專家因此提醒，所有網絡用戶今後都應加強安全意識，注意更新安全補丁和使用各種殺毒工具。

「勒索病毒」還將威脅數十億手機

此次爆發的病毒攻擊事件讓人想起了10年前的「熊貓燒香」事件，然而此次病毒攻擊更為惡劣，影響更為廣泛，而且是勒索病毒事件。

「勒索軟體是這兩年最流行的惡意軟體。

」獵豹安全移動專家李鐵軍表示。

勒索軟體的攻擊行為也正以驚人的速度飆升，據亞信安全統計顯示在2016年大約有6.38億次攻擊嘗試，比2015年的400萬次增加上百倍。

而據美國FBI的一份報告顯示，2016年，勒索軟體的非法收入可能達到10億美元。

「對於勒索軟體，安全專家給的首個建議就是不要給贖金。

」李鐵軍提到。

但2016年勒索軟體數10億美元的收入中，很大一部分都是由企業繳納的贖金組成。

統計顯示，有48％的受勒索軟體威脅的企業表示他們最終會同意支付，其心情是複雜的。

這使得，勒索軟體的攻擊成功率大大增加。

思科表示，未來可以看到，攻擊者將會不斷嘗試找到合理的價位，以確保能夠收到贖金的同時最大利潤。

亞信安全技術支持中心總經理蔡昇欽談到：「曾經90%的勒索軟體都是通過網站或者郵件滲透實現攻擊。

這一次引發的風暴，是因為傳播的行為和手段有所升級，也是全球首款通過系統漏洞實現傳播的勒索蠕蟲。

讓傳統的安全防護手段幾乎全部淪陷，甚至因此造成了更為嚴重的內網蔓延。

」

對於勒索軟體威脅，李鐵軍給的建議很簡單：事先預防，重要文檔、數據要備份。

「這個反覆說了很多遍，但是用戶自身防禦意識太低。

」李鐵軍表示，「這次對公安部工信部中國網軍都是一次實戰考驗，實力與勒索病毒其實損失不大，總比輸給真正的網絡戰損失小多了。

這次只是交了一點點學費。

」

針對勒索軟體，360安全專家表示，首先重要文件提前備份；其次，PC端開啟安全衛士防勒索服務，手機端則安裝手機衛士並開啟相關權限功能；最重要的是，要加強安全意識，不明簡訊連結不要點，不明文件不要下載，不明郵件不要點開，同時強烈建議到正規的應用市場下載軟體。

與勒索蠕蟲的戰鬥不會結束，亞信安全專家預判，黑客的下一個目標很可能是全球的數十億部手機。

對此，360也持有相同的觀點，其表示未來移動端也有可能大規模爆發勒索軟體攻擊事件。

擴展閱讀

注意了！上班別中招

上班的朋友請注意，打開電腦前最好先聯繫單位網絡管理員。

為避免周一上班後剛開機就被病毒感染，導致硬碟所有文件被惡意加密，成都市委網信辦建議公眾在周一開機前先斷網，並按序開展以下病毒防護操作：

1、斷網。

拔下網線！

2、諮詢本單位網絡安全管理員，索取Windows補丁安裝光碟。

3、開機。

4、使用光碟安裝windows補丁。

5、用其他介質（光碟、U盤等）備份電腦里的重要文件。

6、確認445埠關閉。

本機cmd窗口執行命令"netstat -ano | findstr "445""，回車後無任何返回。

7、確認光碟補丁已經安裝完畢後，再聯網檢查更新打補丁。

這幾天微軟補丁更新伺服器訪問流量太大，連接速度很慢，請大家多試幾次。

個人電腦處理建議

一、目前微軟已發布補丁MS17-010修復了「永恆之藍」攻擊的系統漏洞，請儘快為電腦安裝此補丁，網址為https://technet.microsoft.com/zh-cn/library/security/MS17-010；對於XP、2003等微軟已不再提供安全更新的機器，建議升級作業系統版本，或關閉受到漏洞影響的埠，可以避免遭到勒索軟體等病毒的侵害。

在 Windows 電腦上運行系統自帶的免費殺毒軟體並啟用 Windows Updates 的用戶可以免受這次病毒的攻擊。

Windows 10 的用戶可以通過設置-Windows 更新啟用 Windows Updates 安裝最新的更新，同時可以通過設置-Windows Defender，打開安全中心。

二、關閉 135、137、138、139、445埠，關閉網絡共享也可以避免中招。

（一）方法

1、運行 輸入「dcomcnfg」；

2、在「計算機」選項右邊，右鍵單擊「我的電腦」，選擇「屬性」；

3、在出現的「我的電腦屬性」對話框「默認屬性」選項卡中，去掉「在此計算機上啟用分布式 COM」前的勾；

4、選擇「默認協議」選項卡，選中「面向連接的TCP/IP」，單擊「刪除」按鈕，最後「確認」。

（二）關閉 135、137、138 埠

在網絡鄰居上點右鍵選屬性，在新建好的連接上點右鍵選屬性再選擇網絡選項卡，去掉 Microsoft 網絡的文件和印表機共享，以及 Microsoft 網絡客戶端的複選框。

這樣就關閉了共享端 135 、137、138埠。

（三）關閉 139 埠

139 埠是 NetBIOSSession 埠，用來文件和列印共享。

關閉 139 的方法是：在「網絡和撥號連接」中的「本地連接」中，選取「Internet協議 (TCP/IP)」屬性，進入「高級 TCP/IP 設置」「WINS設置」裡面，有一項「禁用TCP/IP的 NETBIOS 」，打勾就可關閉 139 埠。

（四）關閉 445 埠

開始-運行輸入 regedit. 確定後定位到 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters，新建名為「SMBDeviceEnabled」的DWORD值，並將其設置為 0，則可關閉 445 埠。

三、開啟系統防火牆。

利用系統防火牆高級設置阻止向445埠進行連接（該操作會影響使用445埠的服務）

Win7、Win8、Win10的處理流程

1、打開控制面板-系統與安全-Windows防火牆，點擊左側啟動或關閉Windows防火牆

2、選擇啟動防火牆，並點擊確定

3、點擊高級設置

4、點擊入站規則，新建規則

5、選擇埠，下一步

6、特定本地埠，輸入445，下一步

7、選擇阻止連接，下一步

8、配置文件，全選，下一步

9、名稱，可以任意輸入，完成即可。

XP系統的處理流程

1、依次打開控制面板，安全中心，Windows防火牆，選擇啟用

2、點擊開始，運行，輸入cmd，確定執行下面三條命令

net stop rdr

net stop srv

net stop netbt

3、由於微軟已經不再為XP系統提供系統更新，建議用戶儘快升級到高版本系統。

敲詐者木馬正處於傳播期，被病毒感染上鎖的電腦還無法解鎖。

建議儘快備份電腦中的重要文件資料到移動硬碟、U 盤，備份完後脫機保存該磁碟。

同時，對於不明連結、文件和郵件要提高警惕，加強防範。

---

來源：網易科技、新華社、南方都市報、21世紀經濟報導、人民網等