12日起,我國多所高校遭遇網路勒索病毒攻擊。被攻擊電腦上文檔資料被鎖定,彈出界面提示,須支付價值300美元(約合人民幣2000元)的“比特幣”才能解鎖。
勒索病毒不局限于我國及高校。國家網路與資訊安全資訊通報中心稱,100多個國家和地區數萬台電腦遭勒索病毒感染。
國家網際網路應急中心發佈應急公告,勒索病毒向終端用戶進行滲透傳播,並勒索比特幣或其他價值物,構成較為嚴重的攻擊威脅。已著手對勒索軟體及相關網路攻擊活動進行監測,建議用戶及時更新Windows已發佈的安全補丁,同時在網路邊界、內部網路區域、主機資産、數據備份方面做好相關工作。
公安部網安局一位工作人員也表示,已關注此事,並著手調查。目前尚未接到關於此次病毒事件的報告,建議網友使用一些網路安全工具檢查個人電腦,同時加強防範,防止中毒遭受損失。
學生電腦收到“勒索信”
12日下午6點多,南昌大學大三學生李敏(化名)打開電腦,接收室友論文幫忙改格式時,發現網很卡,保存也很慢,甚至白屏了半分鐘。
“隨後,電腦螢幕突然顯示一封勒索信,能選擇中文、韓文、日文、英文等,大致內容是,想要解鎖文件,需支付300美金等價的比特幣”。李敏説,大部分文件都打不開了,包括雙學位畢業論文、答辯PPT及一些有記錄資訊的圖片等。班上有三位同學遇到類似情況。
該校新傳院大三學生張宏莉回憶,自己12日晚10時登錄學校的移動網下載論文,發現電腦中毒。
“當時C盤文件拓展名都被改了,我第一反應是用硬碟拷下來還完好的文件,沒想到備份硬碟也中毒了。”她表示,安裝了微軟補丁也無濟於事,“希望儘快找到解決方案,實在沒辦法只能重裝系統。”
新京報記者了解到,山東大學、浙江大學、南昌大學、寧波大學等多所高校電腦“中招”。學生電腦中文檔被鎖定,有駭客留下聯繫方式,表示要恢復文檔必須支付比特幣。
淮陰工學院一名同學表示,自己正在寫畢業論文時,電腦突然出現彈窗,後來論文、知網下載的文檔都變成不可讀。其嘗試去淘寶購買修復服務,最終因修復價格太高,選擇重寫論文。
上百國家遭“感染”
多名網友表示,全國多地的加油站在加油時,無法進行網路支付,只能使用現金。
昨日下午,多位中石油工作人員稱,集團出現網路故障,正在搶修,只能使用現金和加油卡消費,且加油卡無法使用圈存功能。
中石油遼陽石化分公司一位工作人員透露,接到集團通報,12日晚開始,陸續出現針對Windows作業系統的敲詐者病毒,文件被加密,並索要贖金。目前公司網路與系統暫停服務,如發現電腦感染病毒,立即關閉該電腦,拔掉網線。公司網路恢復時間另行通知。
病毒攻擊並不局限在我國。國家網路與資訊安全資訊通報中心發佈通報:12日20時許,新型“蠕蟲”式勒索病毒爆發,目前已有100多個國家和地區的數萬台電腦遭感染。
昨日淩晨,微網志“英國那些事兒”發文,一個多小時前,英國16家醫院遭到大範圍網路攻擊,醫院內網被攻陷,電腦被鎖定,電話打不通。駭客索要每家醫院300比特幣的贖金,否則將刪除所有資料。16家機構對外聯繫基本中斷,內部恢復使用紙筆進行緊急預案。英國國家網路安全部門正在調查。
騰訊公司安全部門向新京報提供的數據顯示,初步統計,該“蠕蟲”已影響了約上百個國家的學校、醫院、機場、銀行、加油站等設備,使得這些設備上的文檔資料全部被加密,損失慘重。
據IT之家消息,目前受感染地區主要集中在中國中部和東南沿海地區,歐洲大陸、美國五大湖地區。中國、歐洲大陸地區受到的感染情況最為嚴重。
揭秘1
罪魁禍首是“永恒之藍”病毒
昨日上午,360公司董事長周鴻祎發微網志稱,此次勒索病毒是由NSA洩露的“永恒之藍”駭客武器傳播的。“永恒之藍”可遠端攻擊Windows的445端口(文件共用),如果系統未安裝3月的微軟補丁,用戶只要開機上網,“永恒之藍”就能在電腦裏執行任意代碼,植入勒索病毒等惡意程式。
國家網際網路應急中心介紹,已著手對勒索軟體及相關網路攻擊活動進行監測,13日9時30分至12時,境內境外約101.1萬個IP地址遭受“永恒之藍”攻擊,發起攻擊嘗試的IP地址數量9300余個。
應急中心發佈通報稱,勒索軟體利用此前披露的Windows SMB服務漏洞攻擊手段,向終端用戶進行滲透傳播,並勒索比特幣或其他價值物。包括高校、能源等重要資訊系統在內的多個國內用戶受到攻擊,對我國網際網路絡構成較為嚴重的安全威脅。
據新華社報道,尚未有駭客組織認領這次襲擊。但業界共識是,病毒源於美國國安局的病毒武器庫。上個月,美國國安局遭遇泄密,其研發的病毒武器庫被曝光。美國國安局尚未作出回應,美國國土安全部電腦緊急應對小組稱,正密切關注這起波及全球的駭客攻擊事件。
揭秘2
加密電腦文件勒索高額“贖金”
騰訊公司的安全專家指出,該事件實際上是一次蠕蟲攻擊。蠕蟲一旦攻擊進入能連結公網的用戶機器,就會利用內置了“永恒之藍”的攻擊代碼,自動尋找開啟445端口的機器進行滲透。一旦發現存在漏洞的機器,不僅繼續傳播蠕蟲病毒,還會傳播敲詐者病毒,導致用戶機器上所有文檔被加密。
360安全衛士的專家指出,“永恒之藍”勒索病毒以ONION和WNCRY兩個家族為主,受害機器的磁片文件會被篡改為相應的尾碼,圖片、文檔、視頻、壓縮包等都無法正常打開,只有支付贖金才能解密恢復。兩類病毒勒索金額分別是5個比特幣(約合人民幣5萬多元)和300美元。
360公司提供的數據顯示,國內首先出現的是ONION病毒,平均每小時攻擊約200次,夜間高峰期達每小時1000多次;WNCRY勒索病毒是12日新出現的全球性攻擊,並在中國校園網迅速擴散,夜間高峰期每小時攻擊約4000次。
國內某知名比特幣公司高管提醒,尚不清楚支付比特幣後,被攻擊的電腦能否解封。目前國內很多比特幣交易所是不能提取比特幣的,若想購買比特幣解封電腦,需選擇能提幣的交易所,不然會遭受二次損失。
揭秘3
相關端口暴露高校成“重災區”
國家網際網路應急中心通告,此次攻擊主要基於445端口,網際網路上共900余萬台主機IP暴露該端口(端口開放),中國大陸地區有300余萬台。
中國高等教育學會教育資訊化分會網路資訊安全工作組發佈聲明,經初步調查,此類勒索病毒利用了基於445端口傳播擴散的SMB漏洞,部分學校感染臺數較多,大量重要資訊被加密。
中國資訊安全研究院副院長左曉棟稱,國內曾多次出現利用445端口傳播的蠕蟲病毒,因此部分運營商對個人用戶封掉該端口。但教育網並無此限制,存在大量暴露該端口的機器,成為被攻擊的重災區。
杭州安恒資訊技術有限公司創始人、總裁范淵表示,某些特定行業網未限制445端口,因此攻擊變得“有效”,很多學校及一小部分醫療機構受到影響。“可以通過更新微軟髮布的補丁進行防範,但對已受到攻擊的用戶,解決仍是難題。”其介紹,前段時間已檢測到零星的勒索病毒,多數單位可能沒足夠重視。
清華大學則因採取封禁措施而“避難”。4月15日,學校為防止校園網內部主機受攻擊,封禁TCP端口139、445、3389。昨日,該校發佈通知稱,最近兩次全球大規模網路安全疫情,均未大面積危害校園網路和用戶。
■ 小貼士
6步驟抵禦“勒索病毒”
安全工作組提出兩條預防措施:未升級作業系統的處理方式(不推薦,臨時緩解):啟用並打開“Windows防火牆”,進入“高級設置”,在入站規則裏禁用“文件和印表機共用”相關規則;升級作業系統的處理方式(推薦):建議師生使用自動更新升級到Windows的最新版本。
對於學校等單位,建議在邊界出口交換路由設備禁止外網對校園網135/137/139/445端口的連接,同時,在校園網路核心主幹交換路由設備禁止上述端口的連接。
騰訊公司的安全專家指出,微軟已支援所有主流系統的補丁,建議用戶使用電腦管家修補補丁,開啟管家進行防禦。
國家網際網路應急中心建議,用戶及時更新Windows已發佈的安全補丁更新,同時做好如下工作:
1.關閉445等端口(其他關聯端口如135、137、139)的外部網路訪問許可權,在伺服器上關閉不必要的上述服務端口;
2.加強對445等端口的內部網路區域訪問審計,及時發現非授權行為或潛在的攻擊行為;
3.及時更新作業系統補丁;
4.安裝並及時更新殺毒軟體;
5.不要輕易打開來源不明的電子郵件;
6.定期在不同的存儲介質上備份資訊系統業務和個人數據。
新京報記者 王婧祎 沙璐 趙蕾 曾金秋 實習生 劉經宇
