中安在線手機版|安徽發布|省政府發布|中安在線微信|中安在線微博

設為首頁

英文|簡體|繁體

當前位置: 您當前的位置 : 新聞中心國內國內新聞

勒索病毒凶猛:上百國家遭"感染" 高校成重災區

時間:2017-05-14 07:40:52

  ▲遭勒索病毒『感染』的電腦會收到一封『勒索信』,內容為想要解鎖文檔需支付300美金等價的比特幣。

  5月12日起,我國多所高校遭遇網絡勒索病毒攻擊。被攻擊的電腦上文檔資料被黑客鎖定,彈出界面提示,須支付價值300美元(約合人民幣2000元)的『比特幣』纔能解鎖。

  記者了解到,包括山東大學、浙江大學、南昌大學、淮陰工學院、寧波大學、杭州師范大學等多所高校電腦『中招』。而清華大學、復旦大學等高校陸續發布防范信息,提醒學生不要點開來路不明的鏈接,並安裝殺毒軟件。

▲復旦大學發布防范信息。

  病毒攻擊並不僅局限在我國及高校內。國家網絡與信息安全信息通報中心稱:5月12日20時許,新型『蠕蟲』式勒索病毒爆發,目前已有100多個國家和地區的數萬臺電腦遭該勒索病毒感染。

  今日下午,公安部網安局一位工作人員表示,已關注到此事,並已開始著手調查。目前尚未接到關於此次病毒事件的報告,建議網友使用一些網絡安全工具檢查個人電腦,同時加強防范,防止中毒遭受損失。

  大學寢室電腦收到『勒索信』

  昨天下午6點多,南昌大學大三學生李敏(化名)打開電腦接收室友論文幫忙改格式時,發現網很卡,保存也很慢,甚至白屏了半分鍾。

  『隨後,電腦屏幕突然顯示一封勒索信,能選擇中文、韓文、日文、英文等,大致內容是,想要解鎖文檔,需支付300美金等價的比特幣』。李敏說,現在自己大部分文件都打不開,包括雙學位畢業論文、答辯ppt及一些有記錄信息的圖片等。

  此外,自己班上有三位同學都遇到這種情況。

  該校新傳院大三學生張宏莉回憶,她登錄學校的移動網下載論文,昨晚10時發現電腦中毒。

  『當時C盤文件拓展名都被改了,我第一反應是用硬盤拷下來還完好的文件,沒想到備份硬盤也中毒了。』她表示,之後安裝了微軟補丁也無濟於事,『電腦和備份硬盤的照片都被綁架了,希望盡快找到解決方案,實在沒辦法只能重裝系統。』

  新京報(ID:bjnews_xjb)記者了解到,昨日下午起,清華、復旦、浙大、山東大學等多所高校的校園網,均遭到病毒入侵。學生在鏈接校園網後,電腦中部分文檔被鎖定,有黑客留下聯系方式,表示要恢復文檔必須支付比特幣。

▲山東大學發布防范信息。

  『昨晚,病毒入侵了校區和附近小區的電子閱覽室,當時一些學生正鏈接校園網查詢論文資料,電腦和U盤中的文件忽然被鎖定』。山東大學的同學介紹,界面出現一個紅色對話框,黑客留下聯系方式,要求支付比特幣纔提供解密服務,超過三天未支付還會漲價。

  淮陰工學院一名同學表示,自己正在寫畢業論文時,電腦突然出現彈窗,後來論文、知網下載的文檔都變成不可讀。其嘗試去淘寶購買修復服務,被告知『最近勒索病毒猖獗,本店諮詢暴增』,因修復價格太高,最終選擇重寫論文。

  清華大學早在4月15日就發布通知,為防止校園網內部主機受到外部攻擊,校園網出口封禁TCP端口139、445、3389。今日再次發布緊急通知稱,多所高校疫情嚴重,由於此前已采取封禁措施,最近兩次全球大規模網絡安全疫情均未大面積危害校園網絡和用戶。

  加油站無法網絡支付

  除了高校外,多名網友還表示,今日全國多地的加油站在加油時,無法進行網絡支付,只能使用現金。

  今日下午,中國石油(華威南路加油站)一名工作人員表示,由於中國石油的網絡出現問題,現在只能使用現金和加油卡進行消費,而且加油卡無法使用圈存功能。

  中石油北京左安路加油站也遭遇相同的情況,工作人員稱,凌晨一點多發現網絡出了問題。上午接到通知稱,集團公司出現網絡故障,正在搶修中,但具體原因對方表示並不知情。

  中石油遼陽石化分公司一位不願透露姓名的工作人員向記者透露,接到集團公司信息安全中心通報稱,12日晚開始,陸續出現針對Windows操作系統的敲詐者病毒,中毒計算機/服務器的文件被加密,並出現索要贖金的畫面。目前公司網絡與系統暫停服務,如發現電腦感染病毒,應立即關閉該電腦,拔掉網線,並上報情況。而公司網絡恢復時間將另行通知。

  據媒體報道,中石油有關負責人表示,目前公司加油站的加油業務和現金支付業務正常運行,但是第三方支付無法使用,懷疑受到病毒攻擊,具體情況還在核查處置中。

  上百國家和地區遭『感染』

  病毒攻擊並不僅局限在我國。今日,國家網絡與信息安全信息通報中心緊急通報:5月12日20時許,新型『蠕蟲』式勒索病毒爆發,目前已有100多個國家和地區的數萬臺電腦遭該勒索病毒感染。

  今日凌晨,微博『英國那些事兒』發文,一個多小時前,英國16家醫院遭到大范圍網絡攻擊,醫院內網被攻陷,電腦被鎖定,電話打不通。黑客索要每家醫院300比特幣的贖金,否則將刪除所有資料。這16家機構對外聯系基本中斷,內部恢復使用紙筆進行緊急預案。英國國家網絡安全部門正在調查。

  騰訊公司安全部門向新京報提供的數據顯示,初步統計,該『蠕蟲』已影響了約上百個國家的學校、醫院、機場、銀行、加油站等設備,使得這些設備上的文檔資料全部被加密,損失慘重。

  據IT之家消息,目前受感染地區主要集中在中國中部和東南沿海地區,歐洲大陸、美國五大湖地區。中國、歐洲大陸地區受到的感染情況最為嚴重。

▲浙江大學發布防范信息。

  揭秘1罪魁禍首是『永恆之藍』病毒

  今日上午,360公司董事長周鴻禕發微博稱,此次校園網勒索病毒是由NSA泄露的『永恆之藍』黑客武器傳播的。『永恆之藍』可遠程攻擊Windows的445端口(文件共享),如果系統沒有安裝今年3月的微軟補丁,無需用戶任何操作,只要開機上網,『永恆之藍』就能在電腦裡執行任意代碼,植入勒索病毒等惡意程序。

  國家互聯網應急中心介紹,已著手對勒索軟件及相關網絡攻擊活動進行監測,13日9時30分至12時,境內境外約101.1萬個IP地址遭受『永恆之藍』SMB漏洞攻擊工具的攻擊嘗試,發起攻擊嘗試的IP地址(包括進行攻擊嘗試的主機地址及可能已感染蠕蟲的主機地址)數量9300餘個。

  中心連發兩條通報稱,勒索軟件利用此前披露的Windows SMB服務漏洞攻擊手段,向終端用戶進行滲透傳播,並勒索比特幣或其他價值物。包括高校、能源等重要信息系統在內的多個國內用戶受到攻擊,對我國互聯網絡構成較為嚴重的安全威脅。

  綜合樣本情況和分析結果,勒索軟件在傳播時基於445端口並利用SMB服務漏洞,總體可以判斷是由於此前『Shadow Brokers』披露漏洞攻擊工具而導致的後續黑產攻擊威脅。

  當用戶主機系統被該勒索軟件入侵後,彈出勒索對話框,提示勒索目的並索要比特幣。而對於用戶主機上的重要文件,如:照片、圖片、文檔、壓縮包、音頻、視頻、可執行程序等幾乎所有類型的文件,都被加密的文件後綴名統一修改為『。WNCRY』。

  另據《紐約時報》報道,周五開始,黑客利用從美國國家安全局竊取的惡意軟件,執行破壞性的網絡攻擊。本次攻擊似乎是迄今為止范圍最廣的一次勒索軟件襲擊,損失暫時還無法估量。

  該軟件被認為是美國國家安全局網絡武器庫的一部分。

  去年夏天起,名為『影子經紀人』的團體開始公開美國政府的黑客武器。目前美國政府尚未承認『影子經紀人』的武器屬於美國國安局,但有前情報官員稱,這些武器來自國安局『量身定做行動』部門,該部門滲透了外國計算機網絡。

▲遭勒索病毒『感染』的電腦桌面。

  揭秘2『勒索病毒』有何特點?

  騰訊公司的安全專家指出,這次病毒爆發事件,實際上是一次蠕蟲攻擊,威力等同於當年的conficker。該蠕蟲一旦攻擊進入能鏈接公網的用戶機器,就會利用內置了EnternalBlue的攻擊代碼,自動在內網裡尋找開啟了445端口的機器進行滲透。一旦發現內網中存在漏洞的機器,不僅繼續傳播內置漏洞掃描的蠕蟲病毒,還會傳播敲詐者病毒,從而導致用戶機器上的所有文檔被加密。

  360公司提供的數據顯示,國內首先出現的是ONION病毒,平均每小時攻擊約200次,夜間高峰期達到每小時1000多次;WNCRY勒索病毒則是5月12日下午新出現的全球性攻擊,並在中國的校園網迅速擴散,夜間高峰期每小時攻擊約4000次。

  360安全衛士的專家指出,『永恆之藍』勒索病毒以ONION和WNCRY兩個家族為主,受害機器的磁盤文件會被篡改為相應的後綴,圖片、文檔、視頻、壓縮包等各類資料都無法正常打開,只有支付贖金纔能解密恢復。這兩類勒索病毒,勒索金額分別是5個比特幣和300美元,折合人民幣分別為5萬多元和2000多元。

  揭秘3為何高校成『重災區』?

  國家互聯網應急中心發布公告稱,此次攻擊主要基於445端口,互聯網上共900餘萬臺主機IP暴露445端口(端口開放),而中國大陸地區主機IP有300餘萬臺。

  中國高等教育學會教育信息化分會網絡信息安全工作組(簡稱安全工作組)也發布聲明稱,經過初步調查,此類勒索病毒利用了基於445端口傳播擴散的SMB漏洞,部分學校感染臺數較多,大量重要信息被加密,只有支付高額的比特幣贖金纔能解密恢復文件,損失嚴重。

  中國信息安全研究院副院長左曉棟表示,由於國內曾多次出現利用445端口傳播的蠕蟲病毒,部分運營商對個人用戶封掉了445端口。但是教育網並無此限制,存在大量暴露著445端口的機器,因此成為不法分子使用NSA黑客武器攻擊的重災區。

  杭州安恆信息技術有限公司創始人、總裁范淵表示,某些特定行業網成為『重災區』,是因為沒有限制445端口,因此攻擊變成有效的攻擊,影響了很多學校,還有一小部分醫療機構。

  『可以通過更新微軟發布的補丁進行防范,但對已受到攻擊的用戶,解決仍是難題,還在想對策。』范淵介紹,前段時間已檢測到零星的勒索病毒,多數單位可能對這個問題沒有足夠重視。

  受到攻擊後,今天一早該公司已配合相關單位進行快速處置,把端口關閉。其表示,今後要提前做好相關預防工作,網絡安全意識要不斷提高,同時,主動性的預判研判還要不斷加強,要引起足夠的警覺。

  防范對策!6個步驟抵御勒索病毒

  安全工作組提出兩條個人預防措施:未昇級操作系統的處理方式(不推薦,臨時緩解):啟用並打開『Windows防火牆』,進入『高級設置』,在入站規則裡禁用『文件和打印機共享』相關規則;昇級操作系統的處理方式(推薦):建議廣大師生使用自動更新昇級到Windows的最新版本。

  對於學校等單位,安全工作組建議,在邊界出口交換路由設備禁止外網對校園網135/137/139/445端口的連接,同時,在校園網絡核心主乾交換路由設備禁止135/137/139/445端口的連接。

  騰訊公司的安全專家指出,目前微軟已經緊急發布了之前未支持的XP、win8、Windows server2003等系統的補丁,加上之前的補丁,微軟已支持所有主流系統的補丁,建議用戶使用電腦管家修補補丁,以及開啟管家進行防御。

  國家互聯網應急中心建議,用戶及時更新Windows已發布的安全補丁更新,同時在網絡邊界、內部網絡區域、主機資產、數據備份方面做好如下工作:

  1。關閉445等端口(其他關聯端口如: 135、137、139)的外部網絡訪問權限,在服務器上關閉不必要的上述服務端口;

  2。加強對445等端口的內部網絡區域訪問審計,及時發現非授權行為或潛在的攻擊行為;

  3。及時更新操作系統補丁;

  4。安裝並及時更新殺毒軟件;

  5。不要輕易打開來源不明的電子郵件;

  6。定期在不同的存儲介質上備份信息系統業務和個人數據。

  注意了!比特幣『躺槍』,交易需謹慎

  由於此次病毒爆發需要受害者支付比特幣來解封電腦,因此該病毒又被一些媒體稱為『比特幣病毒』。

  對此,微博名為『超級比特幣』的國內某知名比特幣公司高管認為,比特幣並非病毒,這次電腦病毒名為『永恆之藍』,比特幣純屬『躺槍』。

  該高管告訴新京報(ID:bjnews_xjb)記者,比特幣不是病毒,更不是病毒的溫床,不管是從字面意義還是實際意義,電腦病毒的溫床是有安全漏洞的windows系統。他期待這次事件背後的黑客能盡早被抓歸案,比特幣『不應該被利用,也不應該被指責』。

  他提醒網友,由於自己沒有親測,因此不知道支付了比特幣後,被病毒攻擊的電腦是否能解封。目前國內很多比特幣交易所是不能提取比特幣的,若網友想購買比特幣去支付贖金解封電腦,需要選擇能夠提幣的交易所,不然會遭受第二次損失。

  但並非所有人都認為比特幣『無辜』。一位從事金融工作的知乎網友說,『我一直對比特幣很抵觸』。他認為,這個貨幣沒有信用依托,『還衍生出了一大幫騙子』,對洗錢和本次事件中索要『贖金』的人來說,比特幣『還真就好用』,希望政府能夠加強對比特幣的監管。

原標題:上百國家遭『感染』,這波勒索病毒為何如此凶猛?
來源:新京報  作者:  編輯:葉廣冬
  • 徽文化
  • 娛樂
  • 財經
  • 體育
  • 健康
阜陽潁上第十二屆管子文化·旅游節開幕

新安游子情 畫中觀清景:汪觀清新安藝術館開館

海清跋涉40小時現身力挺黃磊 送神秘...

《摔跤吧爸爸》:上座率高 觀眾選片回歸內容

中央財經領導小組會議釋放三點重磅信號

建行合肥城西蜀山開發區支行積極推廣『掃碼付』業務

選手天津備戰鋼管舞中錦賽

郎平頻指導執行教練靠邊站 網友:總教練是『假』

燕窩雖好並非人人可食

一半心梗與高血壓相關 防控高血壓事關生死

24小時新聞排行

網站介紹 | 聯系我們 | 版權聲明 

中國安徽在線網站(中安在線)版權所有 未經允許 請勿復制或鏡像

增值電信業務經營許可證:皖B2-20080023 信息網絡傳播視聽節目許可證:1208228 2009-2010年度全省廣告發布誠信單位