1. 首页>新闻 > 国内新闻

紧急!全球爆发勒索病毒 这几招可帮你防范

作者:陈俊一 2017年05月14日 国内新闻
x点击按住视频可拖动

全球爆发电脑“勒索病毒” 我国高校大范围中招

5月12日,一次迄今为止最大规模的“勒索”病毒网络攻击席卷全球。中国高校成为这次攻击的重灾区,这种病毒致使许多高校毕业生的毕业论文(设计)被锁,支付赎金后才能解密。全球许多国家的医院及科研机构等也都遭受了攻击。>>全球爆发勒索病毒攻击,360提醒移动端或成未来黑客新目标。

国内高校成为这次攻击的重灾区

近日这种病毒在国内一些高校的教育网、校园网已经造成了影响,致使许多实验室数据和毕业设计被锁。包括山东大学、南昌大学、广西师范大学、东北财经大学在内十几家高校发布通知,提醒师生注意防范。

5月12日23时,山东大学对校园网用户发布通知称,近期国内多所院校(包括我校部分单位)出现ONION勒索软件感染情况,磁盘文件会被病毒加密为.onion后缀,该勒索软件是此前活跃的勒索软件Wallet的一类变种,运用了高强度的加密算法难以破解,被攻击者除了支付高额赎金外,往往没有其他办法解密文件,只有支付高额赎金才能解密恢复文件,对学习资料和个人数据造成严重损失。

根据网络安全机构通报,这是不法分子利用NSA黑客武器库泄漏的“永恒之蓝”发起的病毒攻击事件。从我校被感染机器的情况来看,一是操作系统、Office软件等没有采用正版软件,且漏洞、补丁更新不及时;二是不常用端口没有封闭;三是个人网络安全意识淡漠,没有定期备份文档的习惯。>>全球遭勒索软件攻击,360预测数十亿手机或成未来目标。

勒索300美元的比特币作为赎金

使用Windows系统的用户要小心了:这款勒索病毒会引诱你点击看似正常的邮件、附件或文件,并完成病毒的下载和安装,称为“钓鱼式攻击”(phishing)。安装后的病毒会将用户电脑锁死,把所有文件都改成加密格式,并修改用户桌面背景,弹出提示框告知交纳“赎金”的方式。

被感染的Windows用户必须在7天内交纳比特币作为赎金,否则电脑数据将被全部删除且无法修复。

下图是本次病毒袭击的截屏,内含“我的电脑发生了什么”、“如何修复我的文件”、“如何支付赎金”等信息。用户可以尝试修复极小一部分数据,作为证明病毒及“解药”有效的证据。

病毒要求用户在被感染后的三天内交纳相当于300美元的比特币,三天后“赎金”将翻倍。七天内不缴纳赎金的电脑数据将被全部删除,对无力支付300美元的人还设有为期六个月的“人性化”特别还款通道。提示框左边是计时器,右边则标有付款及检验付款生效的方法。

100多个国家受“勒索”病毒攻击

五个小时内,包括美国、俄罗斯以及整个欧洲在内的100多个国家,及国内的高校内网、大型企业内网和政府机构专网中招,被勒索支付高额赎金才能解密恢复文件,对重要数据造成严重损失。

英国多家医院的网络当天也受到攻击,有医院因此取消手术,用救护车将病人紧急转往其他地方。英方称罪魁祸首是恶意软件“想解密”(又称“想哭”)。英国首相特雷莎·梅就此表示,这次袭击不是专门针对英国,而是一场波及整个世界的网络袭击的一部分。

西班牙国家情报中心12日证实,西班牙多家公司遭受了"大规模"的网络黑客攻击。该国电信业巨头西班牙电信总部的多台电脑陷入瘫痪。

俄罗斯网络安全企业卡巴斯基实验室12日发布一份报告说,当时已发现全球74个国家和地区遭受了此次攻击,实际范围可能更广。该机构说,在受攻击最多的20个国家和地区中,俄罗斯所受攻击远远超过其他受害者,中国大陆排在第五。

病毒源头:美国网络武器库泄漏

据了解,这种勒索软件是不法分子利用了美国国家安全局网络武器库中泄漏出的黑客工具

“勒索”软件利用的是微软操作系统的一个漏洞,而这个漏洞最早是美国国家安全局(NSA)发现的,美国国安局将其命名为“永恒之蓝”(EternalBlue)。

后来,一个名叫“影子经纪人”的黑客组织从美国国安局的黑客武器库那里窃取了密码,然后在网上公开售卖牟利。

4月8日,这个黑客组织免费公开了密码,理由竟是“抗议特朗普”。他们列举了五条“罪状”:1,(内阁亲近)高盛和军工利益集团;2,撤销奥巴马医改;3,攻击“自由党团”(共和党保守派);4,解除了班农的国安委职务;5,升级美国对外战争(攻打叙利亚)。

这次的“永恒之蓝”勒索蠕虫,是NSA网络军火民用化的全球第一例。一个月前,第四批NSA相关网络攻击工具及文档被Shadow Brokers组织公布,包含了涉及多个Windows系统服务(SMB、RDP、IIS)的远程命令执行工具,其中就包括“永恒之蓝”攻击程序。

如何看待全球爆发的勒索病毒?周鸿祎这么说

如何看待5月12号爆发在各高校电脑勒索比特币的病毒?周鸿祎(奇虎360董事长)回答:

据360安全中心分析,此次校园网勒索病毒是由NSA泄漏的“永恒之蓝”黑客武器传播的。“永恒之蓝”可远程攻击Windows的445端口(文件共享),如果系统没有安装今年3月的微软补丁,无需用户任何操作,只要开机上网,“永恒之蓝”就能在电脑里执行任意代码,植入勒索病毒等恶意程序。

由于国内曾多次出现利用445端口传播的蠕虫病毒,部分运营商对个人用户封掉了445端口。但是教育网并无此限制,存在大量暴露着445端口的机器,因此成为不法分子使用NSA黑客武器攻击的重灾区。正值高校毕业季,勒索病毒已造成一些应届毕业生的论文被加密篡改,直接影响到毕业答辩。

目前,“永恒之蓝”传播的勒索病毒以ONION和WNCRY两个家族为主,受害机器的磁盘文件会被篡改为相应的后缀,图片、文档、视频、压缩包等各类资料都无法正常打开,只有支付赎金才能解密恢复。这两类勒索病毒,勒索金额分别是5个比特币和300美元,折合人民币分别为5万多元和2000多元。

360针对校园网勒索病毒事件的监测数据显示,国内首先出现的是ONION病毒,平均每小时攻击约200次,夜间高峰期达到每小时1000多次;WNCRY勒索病毒则是5月12日下午新出现的全球性攻击,并在中国的校园网迅速扩散,夜间高峰期每小时攻击约4000次。

安全专家发现,ONION勒索病毒还会与挖矿机(运算生成虚拟货币)、远控木马组团传播,形成一个集合挖矿、远控、勒索多种恶意行为的木马病毒“大礼包”,专门选择高性能服务器挖矿牟利,对普通电脑则会加密文件敲诈钱财,最大化地压榨受害机器的经济价值。

针对NSA黑客武器利用的Windows系统漏洞,微软在今年3月已发布补丁修复。此前360安全中心也已推出“NSA武器库免疫工具”(下载连接: http://dl.360safe.com/nsa/nsatool.exe),能够一键检测修复NSA黑客武器攻击的漏洞;对XP、2003等已经停止更新的系统,免疫工具可以关闭漏洞利用的端口,防止电脑被NSA黑客武器植入勒索病毒等恶意程序。

给大家几点提示:

1. 重要文件提前备份。

2. 开启360安全卫士防勒索服务。

3. 加强安全意识,不明链接不要点,不明文件不要下载,不明邮件不要点开。

下载NSA武器库免疫工具: http://dl.360safe.com/nsa/nsatool.exe

如何防范:这几招你要牢记于心

“永恒之蓝”会扫描开放445文件共享端口的Windows机器,无需用户任何操作,只要开机上网,不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序。

由于以前国内多次爆发利用445端口传播的蠕虫,运营商对个人用户已封掉445端口,但是教育网并没有此限制,仍然存在大量暴露445端口的机器。据有关机构统计,目前国内平均每天有5000多台机器遭到NSA“永恒之蓝”黑客武器的远程攻击,教育网是受攻击的重灾区。

微软今年3月已发布补丁MS17-010修复了“永恒之蓝”攻击的系统漏洞,请尽快为电脑安装此补丁!(下载地址:https://technet.microsoft.com/zh-cn/library/security/MS17-010)

此外,还要牢记以下几点:

一、做好个人重要数据备份。个人的科研数据、工作文档、照片等,根据其重要程度,定期备份到移动存储介质、知名网盘或其他计算机中。

二、养成良好的网络浏览习惯。不要轻易下载和运行未知网页上的软件,减少计算机被入侵的可能。

三、注意个人计算机安全维护。自动定期更新系统补丁,安装常用杀毒软件和安全软件,升级到最新病毒库,并打开其实时监控功能。

四、停止使用微软官方已经明确声明不会进行安全漏洞修补的操作系统和办公软件。Office文档中的宏是默认禁止的,在无法确认文档是安全的情况下,切勿盲目打开宏功能。

五、不要打开来历不明或可疑的电子邮件和附件。

六、注意个人手机安全,安装手机杀毒软件,从可靠安全的手机市场下载手机应用程序。

(参考资料来源:每日经济新闻、人民日报、中新网、新华网等)

>>相关报道:

多国遭大规模网络攻击 黑客被指用美国安局代码

研究人普遍相信,这次大规模网络攻击采用了美国国家安全局(NSA)开发的黑客工具。几个私立网络安全公司的研究人员表示,黑客通过利用名为"Eternal Blue"的NSA代码,导致软件能够自我传播。[详细]