勒索病毒大爆發！留學生求職注意保護好簡歷和論文！

在過去48小時，英國、義大利、俄羅斯等全球多個國家爆發勒索病毒攻擊，中國大批高校也出現感染情況，眾多師生的電腦文件被病毒加密，只有支付贖金才能恢復。

不法分子使用NSA泄漏的黑客武器攻擊Windows漏洞，把ONION、WNCRY等病毒在校園網快速傳播感染，建議電腦用戶儘快修補。

英國方面， 5月12日英國國家醫療服務體系遭遇了大規模網絡攻擊，多家公立醫院的電腦系統幾乎同時癱瘓，電話線路也被切斷，導致很多急診病人被迫轉移。

《每日郵報》稱，至少19家位於英格蘭和蘇格蘭的NHS所屬醫療機構遭到網絡攻擊，這些機構包括醫院和全科醫生診所。

黑客武器搭載的勒索病毒感染介面，需要支付等額的300美金比特幣才能解鎖。

具體從矽谷著名的移動安全廠商 Trustlook 提供的數據看，本次病毒爆發涉及到全球，幾乎沒有任何的遺漏，下面是檢測到的爆發點：

下圖為某高校機房中毒現場圖：

下圖為中石油加油機中毒圖：

下圖為國外某機場中毒圖：

下圖為國外某機場中毒圖：

比特幣價格已因中毒事件產生了價格波動,如下圖：

各地爆發爆發大爆發：

由於國內曾多次出現利用445埠傳播的"蠕蟲病毒"，部分運營商對個人用戶封掉了445埠。

但是教育網並無此限制，存在大量暴露著445埠的機器，因此成為不法分子使用NSA黑客武器攻擊的重災區。

正值高校畢業季，勒索病毒已造成一些應屆畢業生的論文被加密篡改，直接影響到畢業答辯。

病毒發行者利用了去年被盜的美國國家安全局(NSA)自主設計的Windows系統黑客工具Eternal Blue「永恆之藍」，將2017年2月的一款病毒升級。

被感染的Windows用戶必須在7天內交納比特幣作為贖金，否則電腦數據將被全部刪除且無法修復。

病毒要求用戶在被感染後的三天內交納相當於300美元的比特幣，三天後「贖金」將翻倍。

「永恆之藍」可遠程攻擊Windows的445埠(文件共享)，如果系統沒有安裝今年3月的微軟補丁(MS17-010)，無需用戶任何操作，只要開機上網，就能在電腦里執行任意代碼，植入勒索病毒等惡意程序。

這是一個利用永恆之藍漏洞的勒索蠕蟲，挺會PR的，外媒取了個名字叫 wannacry(想哭蠕蟲)，估計很多中病毒的人都想哭吧。

windows用戶請務必安裝微軟MS17-010安全補丁信息：

https://technet.microsoft.com/zh-cn/library/security/MS17-010

針對NSA黑客武器利用的Windows系統漏洞，微軟在今年3月已發布補丁修復。

此前360安全中心也已推出「NSA武器庫免疫工具」( http://dl.360safe.com/nsa/nsatool.exe )，能夠一鍵檢測修復NSA黑客武器攻擊的漏洞；對XP、2003等已經停止更新的系統，免疫工具可以關閉漏洞利用的埠，防止電腦被NSA黑客武器植入勒索病毒等惡意程序。

如何防範病毒？

如您使用的是伺服器,可用這段代碼進行技術檢測：

alert smb any any -> $HOME_NET any (msg:"ET EXPLOIT Possible ETERNALBLUE MS17-010 Heap Spray"; flow:to_server,established; content:"|ff|SMB|33 00 00 00 00 18 07 c0 00 00 00 00 00 00 00 00 00 00 00 00 00|"; offset:4; depth:25; content:"|08 ff fe 00 08 41 00 09 00 00 00 10|"; within:12; fast_pattern; content:"|00 00 00 00 00 00 00 10|"; within:8; content:"|00 00 00 10|"; distance:4; within:4; pcre:"/^[a-zA-Z0-9+/]{1000,}/R"; threshold: type threshold, track by_src, count 12, seconds 1; classtype:trojan-activity; sid:2024217; rev:1;)

alert smb any any -> $HOME_NET any (msg:"ET EXPLOIT Possible ETERNALBLUE MS17-010 Echo Request (set)"; flow:to_server,established; content:"|00 00 00 31 ff|SMB|2b 00 00 00 00 18 07 c0|"; depth:16; fast_pattern; content:"|4a 6c 4a 6d 49 68 43 6c 42 73 72 00|"; distance:0; flowbits:set,ETPRO.ETERNALBLUE; flowbits:noalert; classtype:trojan-activity; sid:2024220; rev:1;)

alert smb $HOME_NET any -> any any (msg:"ET EXPLOIT Possible ETERNALBLUE MS17-010 Echo Response"; flow:from_server,established; content:"|00 00 00 31 ff|SMB|2b 00 00 00 00 98 07 c0|"; depth:16; fast_pattern; content:"|4a 6c 4a 6d 49 68 43 6c 42 73 72 00|"; distance:0; flowbits:isset,ETPRO.ETERNALBLUE; classtype:trojan-activity; sid:2024218; rev:1;)

如您使用的是Windows,請使用下面步驟進行檢測：

1. 查看445埠是否開放並決定是否關停server服務

點擊「開始」->「運行」->輸入「cmd」->輸入「netstat -an 」->回車->查看445埠狀態

如果處於「listening」->暫時關停server服務：

點擊「開始」->搜索框輸入「cmd」->右鍵菜單選擇「以管理員身份運營」->執行「net stop server」命令

2. 個人用戶臨時解決方案

開啟系統防火牆->利用系統防火牆高級設置阻止向445埠進行連接->安裝相應系統安全更新

win7/win8/win10：

控制面板->系統與安全->啟用Windows防火牆->點擊"高級設置"->點擊「入站規則」->選擇"新建規則"->規則類型選擇「埠」->應用於「TCP」協議 特定本地埠並輸入「445」->「操作」選擇「阻止連接」->「配置文件」中「規則應用」全部勾選->罪責名稱任意輸入並點擊完成

winxp：

控制面板->安全中心->啟用「Windows防火牆」->點擊「開始」->「運行」->輸入「cmd」->依次執行「net stop rdr」、「net stop srv」和「net stop netbt」三條命令->升級作業系統版本並進行安全更新

三、騰訊雲用戶修復建議：

當前已受影響的用戶，建議對未被加密的重要數據進行備份，並開展重裝工作；

四、對於採用非騰訊雲官方 Windows 鏡像的用戶，建議採取如下措施進行緩解：

1>在安全組策略中，檢查您名下所有 Windows 雲主機是否已關閉 137、 139、 445 服務埠的對外訪問，建議禁止外部訪問此類高危埠，詳細修復可參考如下連結：

【安全預警】關於方程式組織黑客工具包再曝光通知-騰訊雲官方論壇；

2>目前微軟官網發布的補丁已經修復了可導致該蠕蟲病毒被傳染的漏洞，建議用戶及時安裝 Windows 最新版本補丁（包含此次受影響的 MS07-010 補丁），避免成為勒索蠕蟲的受害者；

3> 目前騰訊雲官網提供的 Windows 鏡像已經在4月20日全網更新完成，默認已安裝最新補丁，並不受此次「比特幣勒索蠕蟲病毒」影響，請您放心使用。

五、普通電腦用戶修復建議：

1>開啟系統防火牆，利用系統防火牆的「高級設置」阻止外部對 445 埠進的訪問（存在一定影響，該操作會影響使用 445 埠的服務）；

2>打開系統自動更新，檢測更新並進行安裝；

3>安裝騰訊電腦管家，目前騰訊電腦管家已具備實時防禦與主動攔截的能力。

最後，提醒大家：

備份! 備份!! 以最快速度買硬碟! 買硬碟!! 備份——

開啟自動還原、各種雲備份，安裝殺毒軟體並定期更新安全補丁，頻繁建立備份文件，否則一旦中毒，就不是"想哭"那麼簡單了，將有各種血淚教訓啊……