中新網(wǎng)北京5月14日電近日，包括中國在內(nèi)的全球近100個(gè)國家和地區(qū)的部分電腦遭到了同類軟件的攻擊。記者了解到，目前安全機(jī)構(gòu)還未能有效破解ransomware的惡意加密行為，用戶只能采取防范措施。用戶中毒后，可以通過重新安裝操作系統(tǒng)移除ransomware，但用戶的重要數(shù)據(jù)文件無法直接恢復(fù)。

全世界近100個(gè)國家和地區(qū)遭到了勒索軟件的攻擊

據(jù)外媒報(bào)道，日前，全球近100個(gè)國家和地區(qū)的計(jì)算機(jī)系統(tǒng)遭到一種名為WannaCry的病毒攻擊，攻擊者被要求支付比特幣解鎖。12日，安全軟件制造商Avast表示，已在99個(gè)國家觀察到超過57000例感染病例。

根據(jù)用戶在社交媒體上發(fā)布的照片，贖金軟件在鎖定電腦后索要價(jià)值300美元的比特幣，并顯示“嘿，你的文件加密了！”對話框等字樣。

13日，中國國家互聯(lián)網(wǎng)應(yīng)急中心發(fā)文稱，互聯(lián)網(wǎng)上存在針對Windows操作系統(tǒng)的勒索軟件攻擊案件。該ransomware利用之前披露的Windows SMB服務(wù)漏洞向終端用戶滲透擴(kuò)散，勒索用戶比特幣或其他有價(jià)值的東西。

電腦被ransomware攻擊后的彈出窗口。照片由騰訊殺毒實(shí)驗(yàn)室提供

騰訊防病毒實(shí)驗(yàn)室也在接受中新采訪時(shí)說。這是近年來非常流行的一種依靠強(qiáng)加密算法進(jìn)行勒索的攻擊方法。與以往的攻擊不同，這種ransomware結(jié)合蠕蟲傳播，采用了不久前國家安全局泄露的MS17-010漏洞，受害者無需下載、查看或打開任何文件就可以發(fā)起攻擊。

中國很多大學(xué)的電腦都被病毒入侵了

中國國家互聯(lián)網(wǎng)應(yīng)急中心還表示，此次勒索軟件攻擊涉及國內(nèi)用戶，已構(gòu)成嚴(yán)重的攻擊威脅。

從5月12日晚開始，國內(nèi)很多大學(xué)的師生發(fā)現(xiàn)自己電腦里的文件和程序打不開，卻彈出一個(gè)對話框，要求支付比特幣等贖金后再恢復(fù)。

記者注意到，山東大學(xué)、南昌大學(xué)、廣西師范大學(xué)、東北財(cái)經(jīng)大學(xué)、電子科技大學(xué)中山學(xué)院等十幾所高校發(fā)布病毒攻擊通知，提醒師生注意防范。

南昌大學(xué)官方微博發(fā)布的ransomware病毒攻擊通知截圖。

有高校通報(bào)，最近國內(nèi)很多高校感染了Orion ransomware，磁盤文件會被加密為。獵戶座后綴被病毒。只有支付高額贖金才能解密和恢復(fù)文件，對學(xué)習(xí)資料和個(gè)人資料造成嚴(yán)重?fù)p失。據(jù)網(wǎng)絡(luò)安全局稱，這是犯罪分子利用從NSA黑客武庫中泄露的“永恒之藍(lán)”發(fā)起的病毒攻擊。

國內(nèi)外被攻擊的電腦都是同一種病毒

騰訊反病毒實(shí)驗(yàn)室表示，在NSA泄露的文件中，WannaCry傳輸模式的漏洞代碼被稱為“永恒藍(lán)”，因此有媒體報(bào)道稱攻擊是“永恒藍(lán)”。

根據(jù)騰訊殺毒實(shí)驗(yàn)室的分析，這個(gè)WanaCry2.0系列攻擊其實(shí)是蠕蟲攻擊，威力和conficker相當(dāng)。一旦蠕蟲攻擊到一臺可以連接到公共網(wǎng)絡(luò)的用戶機(jī)器上，它將使用EnternalBlue中內(nèi)置的攻擊代碼自動在內(nèi)部網(wǎng)中搜索一臺端口為445的機(jī)器進(jìn)行滲透。

據(jù)中國國家互聯(lián)網(wǎng)應(yīng)急中心稱，當(dāng)用戶主機(jī)系統(tǒng)被勒索軟件入侵時(shí)，用戶主機(jī)上的重要數(shù)據(jù)文件，如照片、圖片、文檔、壓縮包、音頻、視頻、可執(zhí)行程序等各類文件被惡意加密，后綴名稱統(tǒng)一改為”。WNCRY”。

為什么病毒襲擊了國內(nèi)高校的“重災(zāi)區(qū)”？

騰訊防病毒實(shí)驗(yàn)室認(rèn)為，高校普遍接入的網(wǎng)絡(luò)是一個(gè)服務(wù)于教育、科研和國際學(xué)術(shù)交流的教育研究網(wǎng)絡(luò)。出于學(xué)術(shù)目的，大部分骨干網(wǎng)并沒有對445端口采取防范措施，這也是導(dǎo)致大學(xué)這次成為重災(zāi)區(qū)的原因之一。

此外，如果用戶的計(jì)算機(jī)打開防火墻，也將阻止計(jì)算機(jī)從端口445接收數(shù)據(jù)。但是在中國的大學(xué)里，有些學(xué)生為了玩局域網(wǎng)游戲，有時(shí)需要關(guān)閉防火墻，這也是這一事件在中國大學(xué)廣泛傳播的另一個(gè)原因。

騰訊安全殺毒實(shí)驗(yàn)室發(fā)布的WanaCrypt0r 2.0攻擊流程圖。

騰訊防病毒實(shí)驗(yàn)室還表示，相關(guān)網(wǎng)絡(luò)運(yùn)營商在骨干ISP策略中發(fā)揮了重要作用，習(xí)慣性禁止445端口數(shù)據(jù)傳輸，防止蠕蟲等病毒傳播。在此漏洞事件中，間接降低了此漏洞帶來的風(fēng)險(xiǎn)。

你的電腦中毒了怎么辦？

根據(jù)中國國家信息安全漏洞共享平臺秘書處的普查結(jié)果，互聯(lián)網(wǎng)上有900多萬臺IP主機(jī)暴露在445個(gè)端口上，而中國大陸有300多萬臺IP主機(jī)。

據(jù)外媒報(bào)道，一名網(wǎng)絡(luò)安全研究員稱，他找到了阻止病毒傳播的方法，但警告說這只是暫時(shí)的。

據(jù)中國國家互聯(lián)網(wǎng)應(yīng)急中心介紹，目前，安全行業(yè)還未能有效破解ransomware的惡意加密行為。一旦用戶主機(jī)被ransomware滲透，只能通過重新安裝操作系統(tǒng)來解除ransomware行為，而不能直接恢復(fù)用戶的重要數(shù)據(jù)文件。

中國國家互聯(lián)網(wǎng)應(yīng)急中心發(fā)布的漏洞攻擊工具，可能通過445端口發(fā)動攻擊。

騰訊殺毒實(shí)驗(yàn)室表示，這種病毒和之前的勒索攻擊一樣，采用了高強(qiáng)度的加密算法，所以事后恢復(fù)文件非常困難，關(guān)鍵是要事前防范。

如何才能防止電腦被勒索軟件綁架？

在防范方面，國內(nèi)很多安全機(jī)構(gòu)都建議，第一，及時(shí)更新Windows發(fā)布的安全補(bǔ)丁。當(dāng)MS17-010漏洞3月份剛剛爆發(fā)時(shí)，微軟已經(jīng)為Win7、Win10等系統(tǒng)提供了安全更新；這一事件爆發(fā)后，微軟迅速發(fā)布了針對Windows XP等此前未提供官方支持的系統(tǒng)的特殊補(bǔ)丁。

二是在電腦上安裝騰訊電腦管家、360安全衛(wèi)士等安全軟件，并保持實(shí)時(shí)監(jiān)控功能開啟，可以攔截木馬病毒的入侵。

Windows 7系統(tǒng)用戶可以打開控制面板，點(diǎn)擊防火墻-高級設(shè)置-入站規(guī)則-新規(guī)則-勾選“端口”-點(diǎn)擊“協(xié)議和端口”，勾選“特定本地端口”，填寫445，點(diǎn)擊下一步，繼續(xù)點(diǎn)擊“阻止鏈接”，繼續(xù)下一步，命名規(guī)則，然后關(guān)閉445端口。

國家互聯(lián)網(wǎng)應(yīng)急中心還建議關(guān)閉445等端口的外網(wǎng)訪問權(quán)限，關(guān)閉服務(wù)器上不必要的上述服務(wù)端口；加強(qiáng)445等端口的內(nèi)網(wǎng)區(qū)域訪問審計(jì)，及時(shí)發(fā)現(xiàn)未授權(quán)行為或潛在攻擊行為；由于微軟已停止部分操作系統(tǒng)的安全更新，建議排查Window XP和Windows server 2003主機(jī)，使用替代操作系統(tǒng)；完成信息系統(tǒng)業(yè)務(wù)和個(gè)人數(shù)據(jù)的備份。