更新丨勒索病毒出現變種 傳播速度可能會更快

美國國家安全局 資料圖

【最新消息】

國家網絡與信息安全信息通報中心緊急通報：監測發現，在全球範圍內爆發的WannaCry 勒索病毒出現了變種：WannaCry 2.0， 與之前版本的不同是，這個變種取消了Kill Switch，不能通過註冊某個域名來關閉變種勒索病毒的傳播，該變種傳播速度可能會更快。

請廣大網民儘快升級安裝Windows作業系統相關補丁，已感染病毒機器請立即斷網，避免進一步傳播感染。

【早先消息】

國內近3萬機構感染勒索病毒

受影響地區蘇浙粵贛滬排前五

5月12日開始突然在全球爆發的勒索蠕蟲攻擊仍在蔓延，5月14日，360威脅情報中心發布了WannaCrypt（永恆之藍）勒索蠕蟲最新態勢，截至5月13日20點，國內有29372家機構組織的數十萬台機器感染，其中有教育科研機構4341家中招，是此次事件的重災區。

在受影響的地區中，江蘇、浙江、廣東、江西、上海、山東、北京和廣西排名前八位。

根據360威脅情報中心的統計，在短短一天多的時間，WannaCrypt（永恆之藍）勒索蠕蟲已經攻擊了近百個國家的超過10萬家企業和公共組織，其中包括1600家美國組織，11200家俄羅斯組織。

國內被感染的組織和機構已經覆蓋了幾乎所有地區，影響範圍遍布高校、火車站、自助終端、郵政、加油站、醫院、政府辦事終端等多個領域，被感染的電腦數字還在不斷增長中。

被勒索蠕蟲病毒感染的組織和機構已經覆蓋了國內幾乎所有地區。

從行業分布來看，教育科研機構成為最大的重災區。

共有4316個教育機構IP被發現感染永恆之藍勒索蠕蟲，占比為14.7%；其次是生活服務類機構，3302個，占比11.2%；商業中心（辦公樓、寫字樓、購物中心等）3014個，占比10.3%，交通運輸2686個，占比9.1%。

另有1053個政府、事業單位及社會團體，706個醫療衛生機構、422個企業，以及85個宗教設施的IP都被發現感染了永恆之藍勒索蠕蟲。

WannaCrypt（永恆之藍）勒索蠕蟲是從5月12日開始突然在全球爆發的勒索蠕蟲攻擊，包括英國醫療系統、快遞公司FedEx、俄羅斯內政部、俄羅斯電信公司Megafon、西班牙電信都被攻陷。

WannaCrypt（永恆之藍）勒索蠕蟲利用的是泄露的NSA網絡軍火庫中的永恆之藍攻擊程序，這是NSA網絡軍火民用化的全球第一例。

一個月前，第四批NSA相關網絡攻擊工具及文檔被Shadow Brokers組織公布，包含了涉及多個Windows系統服務（SMB、RDP、IIS）的遠程命令執行工具，其中就包括「永恆之藍」攻擊程序。

【早前報導】

據《紐約時報》報導，造成全球近百國逾14萬電腦癱瘓的勒索病毒，是由美國國家安全局（NSA）設計的間諜軟體「永恆之藍」傳播的。

據悉，「永恆之藍」主要用於對付聖戰恐怖組織「伊斯蘭國」（IS），阻斷其國際金流。

不料遭黑客團體竊取、在近8個月期間持續改版並於網路上廣泛散播，導致此次全球範圍的大規模網絡黑客攻擊。

中招的電腦被要求支付黑客所要求贖金——「比特幣」，支付贖金方能解密恢復，不然無法「挽救」。

比特幣

美媒稱此次黑客攻擊事件與美國國家安全局有關

《紐約時報》報導稱，這次有紀錄以來最嚴重的黑客攻擊事件與美國國家安全局有關。

報導指出，黑客組織「Shadow Brokers」去年夏季在網上公開由美國國家安全局研發的黑客攻擊武器，該組織更於上月公開一個名為「永恆的藍」（Eternal Blue）的黑客軟體。

有美國前情報官員透露，該軟體似乎是由美國國家安全局的「特定入侵行動辦公室」（Tailored Access Operations）研發，主要用以滲透外國電腦網絡。

美國國家安全局是美國政府機關中最大的情報部門，隸屬美國國防部，專門搜集國內外通訊資料。

美國國家安全局也跟黑客合作，專門研究入侵各種電腦系統。

據悉，「永恆的藍」可讓情報機關的黑客入侵數以百萬計以Windows為作業系統的電腦，軟體上月公開後，微軟已急忙安撫用戶，表示公司於3月已修補安全漏洞。

報導質疑美國國家安全局早知微軟的作業系統有漏洞，卻未有告知微軟，反而利用該漏洞研發黑客軟體。

外界更懷疑微軟3月時突然察覺安全漏洞並作出修補，是因為美國國家安全局發現「永恆的藍」外泄，所以才決定通知微軟。

斯諾登13日在其個人twitter上發文斥責「如果NSA在發現相關漏洞時便私下披露破綻，而不是留待NSA的黑客軟體外洩時才作通報，這次事件或許不會發生」。

他又指出，美國國家安全局無視警告，發展或會以西方軟體為目標的網絡攻擊工具，他認為美國國會應就事件質詢NSA，是否留意到其他可同樣被利用作黑客攻擊的電腦程式漏洞。

勒索病毒全球暴發 英國醫院呼籲病人如不十分緊急不要去醫院

5月12日，幾家英國醫院表示，由於他們正在遭受網絡攻擊，醫院表示，如果病情不是十分緊急，不要去醫院。

據法新社報導，周五，倫敦、英格蘭西北部和該國其他地區的醫院正在報告計算機系統的問題。

在英國西北部經營幾家醫院的默西塞德郡醫療服務中心推特上寫道：「國家有可能被網絡攻擊，我們正在採取一切預防措施，保護我們當地的NHS（英國國家醫療服務體系）系統和服務。

另據央視新聞報導，目前在英國的英格蘭和蘇格蘭共有39家公立醫療機構受到此次網絡攻擊的影響，一些遭到網絡攻擊的醫院不得不將需要緊急治療的患者轉移到其他醫院。

NHS表示，針對此次事件的調查仍在初級階段，但是正在採取措施保護全民醫療系統的安全和服務。

同一天，俄羅斯內政發言人對媒體表示，俄羅斯內政部約1000台電腦受到網絡攻擊，但是內政部電腦中的信息並未遭到泄漏。

目前約有70多個國家和地區遭受網絡攻擊，其中大部分是歐洲國家，截至目前，尚未有機構和個人聲稱對此次事件負責。

英國小伙花費8.5英鎊

「意外」阻止勒索病毒全球蔓延

不過，這個勒索軟體並非沒有弱點，英國一名年輕網絡工程師「無意中」阻攔了勒索軟體的瘋狂傳播。

英國媒體13日報導，這名22歲的英國網絡工程師12日晚注意到，這一勒索軟體正不斷嘗試進入一個極其特殊、尚不存在的網址，於是他順手花8.5英鎊（約合75元人民幣）註冊了這個域名，試圖藉此網址獲取勒索軟體的相關數據，了解傳播範圍。

令人不可思議的是，此後勒索軟體在全球的進一步蔓延竟然得到了阻攔。

他和同事分析，這個奇怪的網址很可能是勒索軟體開發者為避免被網絡安全人員捕獲所設定的「檢查站」，而註冊網址的行為無意觸發了程序自帶的「自殺開關」。

也就是說，勒索軟體在每次發作前都要訪問這個不存在的網址，如果網址繼續不存在，說明勒索軟體尚未引起安全人員注意，可以繼續在網絡上暢行無阻；而一旦網址存在，意味著軟體有被攔截並分析的可能。

在這種情況下，為避免被網絡安全人員獲得更多數據甚至反過來加以控制，勒索軟體會停止傳播。

這位年輕的工程師在推特發帖說：「我坦白，在我註冊這個域名之前，完全不知道它能停止這次惡意軟體的傳播。

事情的開始完全是個意外！」

不過，這名英國網絡工程師和一些網絡安全專家都表示，這種方法目前只是暫時阻止了勒索軟體的進一步發作和傳播，但幫不了那些勒索軟體已經發作的用戶，也並非徹底破解這種勒索軟體，新版本的勒索軟體很可能不帶這種「自殺開關」而捲土重來，用戶應當儘快更新電腦系統的安全補丁。

中國多所高校受影響

下沙多所大學校園網大面積被黑

中國多所高校也受到影響，正值畢業論文季，一種新型勒索病毒爆發，為高校學生們帶來了挑戰。

浙江經濟職業技術學院大二學生小張和女朋友小程從一家電腦維修店出來，小程背著電腦包，拍了拍，「喏，我們剛剛重裝系統，好了。

」

電腦是小張的，前天中的毒，螢幕上出現勒索信。

勒索信

「總不能真的去交錢吧！還是修修看算了，這幾天呢我也避避風頭，不上網了。

」

電腦維修店老闆小鄧說，這兩天一些學生來這裡重裝系統，也是因為這個病毒。

「沒啥規律，隨機的，我感覺這就是看運氣。

中了病毒就沒辦法了，只能格式化所有硬碟再重裝系統。

」

正說著，浙江經貿職業技術學院王同學背著電腦來店裡，「老闆，能修電腦嗎？那個病毒我也碰到了。

」王同學今年大三，上個月剛把畢業論文交給老師，還算運氣。

山東大學對校園網用戶發布通知稱，近期國內多所院校（包括我校部分單位）出現ONION勒索軟體感染情況，磁碟文件會被病毒加密為.onion後綴，該勒索軟體是此前活躍的勒索軟體Wallet的一類變種，運用了高強度的加密算法難以破解，被攻擊者除了支付高額贖金外，往往沒有其他辦法解密文件，只有支付高額贖金才能解密恢復文件，對學習資料和個人數據造成嚴重損失。

根據網絡安全機構通報，這是不法分子利用NSA黑客武器庫泄漏的「永恆之藍」發起的病毒攻擊事件。

從我校被感染機器的情況來看，一是作業系統、Office軟體等沒有採用正版軟體，且漏洞、補丁更新不及時；二是不常用埠沒有封閉；三是個人網絡安全意識淡漠，沒有定期備份文檔的習慣。

微軟緊急發特別補丁

國家網際網路應急中心再發預警

據360安全中心分析，此次校園網勒索病毒是由NSA泄漏的「永恆之藍」黑客武器傳播的。

「目前，『永恆之藍』傳播的勒索病毒以ONION和WNCRY兩個家族為主，受害機器的磁碟文件會被篡改為相應的後綴，圖片、文檔、視頻、壓縮包等各類資料都無法正常打開，只有支付贖金才能解密恢復。

這兩類勒索病毒，勒索金額分別是5個比特幣和300美元，摺合人民幣分別為5萬多元和2000多元。

」

2017年3月，微軟發布了針對「永恆之藍」的漏洞補丁：MS17-010。

微軟發言人的聲明稱：微軟已發布了Win32.WannaCrypt，對抗惡意勒索軟體，但相當一部分用戶因為使用XP系統或更老的系統，或者關閉了微軟升級推送，導致PC在高風險狀況下運行。

勒索軟體在全球多國的猖獗行為「惹毛」了微軟，據該公司官網消息，微軟專門為已經不受支持的Windows XP，Windows 8和Windows Server 2003版本推出了特別版補丁。

其實，早在2017年4月16日，國家網際網路應急中心就對有可能產生的大規模「勒索軟體」攻擊進行了預警。

5月13日，國家網際網路應急中心再次發布通告稱，目前，安全業界暫未能有效破除該勒索軟體的惡意加密行為，用戶主機一旦被勒索軟體滲透，只能通過重裝作業系統的方式來解除勒索行為，但用戶重要數據文件不能直接恢復。

「建議廣大用戶及時更新Windows已發布的安全補丁，做好信息系統業務和個人數據的備份。

」

（綜合海外網、國際在線、都市快報）