“你的電腦已被鎖，文件已全部被加密，除非你支付等額價(jià)值300美元的比特幣，否則你的文件將會(huì)被永久刪除！”這種名為“永恒之藍(lán)”的電腦勒索病毒從12日在全球蔓延，襲擊了包括英國(guó)、美國(guó)、俄羅斯、中國(guó)在內(nèi)的99個(gè)國(guó)家和地區(qū)的超過10萬(wàn)臺(tái)電腦。5月13日下午，360發(fā)布“永恒之藍(lán)”勒索蠕蟲態(tài)勢(shì)，截至當(dāng)天19:00，國(guó)內(nèi)有28388個(gè)機(jī)構(gòu)被“永恒之藍(lán)”勒索蠕蟲感染。

　　揚(yáng)子晚報(bào)多媒體記者 徐曉風(fēng) 楊甜子

　　於蘇云 顧秋萍

　　事件起因

　　攻擊

　　北京時(shí)間12日晚上10點(diǎn)，英國(guó)16家醫(yī)院首先被報(bào)道同時(shí)遭到網(wǎng)絡(luò)攻擊，這些醫(yī)院的網(wǎng)絡(luò)被攻陷，電腦被鎖定……黑客要求每臺(tái)電腦支付等額價(jià)值300美元的比特幣，否則將刪除電腦所有資料……事情發(fā)生時(shí)英國(guó)上下一片慌亂。—瞬間，醫(yī)院里的電腦一臺(tái)接一臺(tái)地被感染,醫(yī)院的IT部門也馬上響應(yīng)，要求關(guān)停所有沒被感染的電腦。

　　沒有了電腦的內(nèi)部病例溝通系統(tǒng)，醫(yī)生不能給病人做X光、CT等檢查，因?yàn)檫@些系統(tǒng)已經(jīng)全部數(shù)字化，本應(yīng)直接在電腦上把圖像傳給醫(yī)生。

　　一個(gè)病人在NHS醫(yī)院排了10個(gè)月的隊(duì)等待做一臺(tái)心臟手術(shù)，卻在手術(shù)即將開始的最后關(guān)頭遇上網(wǎng)絡(luò)攻擊，手術(shù)被緊急取消。

　　約克郡的一名藥劑師表示，沒有了電子處方，他只能重新開始使用紙筆，找不到病人的歷史記錄，感覺回到了石器時(shí)代。

　　很快，全英國(guó)上下越來越多的醫(yī)院匯報(bào)自己的電腦收到攻擊，而所有被攻擊的電腦，顯示的都是一個(gè)電腦被鎖定的紅框。

　　蔓延

　　正當(dāng)所有人都覺得這是一場(chǎng)針對(duì)英國(guó)醫(yī)院的網(wǎng)絡(luò)襲擊時(shí)，更多消息傳來，不只是英國(guó)，這一場(chǎng)網(wǎng)絡(luò)攻擊幾乎席卷全球！

　　●西班牙：電話公司(Telefonica)、天然氣公司(Gas Natural)等都已受到病毒影響。

　　●意大利：大學(xué)機(jī)房中招……

　　●德國(guó)：火車站系統(tǒng)中招……

　　●俄羅斯：政府內(nèi)政部超過1000臺(tái)電腦受到攻擊癱瘓，俄羅斯內(nèi)政部稱，病毒通過Windows操作系統(tǒng)感染該國(guó)的電腦后，已經(jīng)實(shí)現(xiàn)“本土化”。

　　●美國(guó)：聯(lián)邦快遞公司受這款病毒侵襲。

　　據(jù)安全專家統(tǒng)計(jì)，整個(gè)攻擊遍布全世界超過99個(gè)國(guó)家和地區(qū)，那些幸免的國(guó)家里，要么幾乎沒有電腦，要么幾乎沒有網(wǎng)絡(luò)。

　　為何英國(guó)醫(yī)院首當(dāng)其沖？

　　早在去年12月就有媒體曝光，英國(guó)醫(yī)院IT系統(tǒng)極其危險(xiǎn)，依舊使用Windows XP系統(tǒng)。而微軟早在2014年4月就已停止支持Windows XP系統(tǒng)，不會(huì)發(fā)布更新的安全補(bǔ)丁，然而時(shí)至今日，英國(guó)醫(yī)院依舊沒有升級(jí)系統(tǒng)。

　　此外，醫(yī)院電腦系統(tǒng)特別容易成為勒索軟件綁架的目標(biāo)，是因?yàn)獒t(yī)院肩負(fù)攸關(guān)人命的重要醫(yī)療服務(wù)，而且都是通過電腦對(duì)患者的病歷資料進(jìn)行更新，如果無(wú)法迅速取得患者的用藥紀(jì)錄、開刀指示與其他醫(yī)療訊息，將導(dǎo)致醫(yī)療程序嚴(yán)重延誤，甚至中斷。

　　在這種情況下，國(guó)外一些醫(yī)院通常寧可選擇繳納贖金，也不愿意承擔(dān)由于醫(yī)療耽誤而導(dǎo)致患者死亡賠償?shù)娘L(fēng)險(xiǎn)。 宗 合

　　國(guó)內(nèi)情況追蹤

　　針對(duì)國(guó)內(nèi)感染狀況，5月13日下午360威脅情報(bào)中心率先發(fā)布了“永恒之藍(lán)”勒索蠕蟲態(tài)勢(shì)，截至當(dāng)天19:00，國(guó)內(nèi)有28388個(gè)機(jī)構(gòu)被“永恒之藍(lán)”勒索蠕蟲感染，覆蓋了國(guó)內(nèi)幾乎所有地區(qū)。在受影響的地區(qū)中，江蘇、浙江、廣東、江西、上海、山東、北京、四川、湖北和廣西排在前十位。

　　不少高校從12日晚已發(fā)布緊急通知

　　5月12日夜晚、13 日凌晨，國(guó)內(nèi)高校成為此次病毒攻擊的重災(zāi)區(qū)，學(xué)生電腦上的資料文檔會(huì)被鎖，需要付費(fèi)才能解鎖。很多學(xué)生在連上校園網(wǎng)后，電腦中的磁盤文件會(huì)被加密為.onion后綴，并出現(xiàn)中文的勒索頁(yè)面。而恢復(fù)的方法就是：支付等價(jià)于300美元的比特幣。

　　據(jù)悉，受影響的有賀州學(xué)院、桂林電子科技大學(xué)、桂林航天工業(yè)學(xué)院以及廣西等地區(qū)的大學(xué)。大連海事大學(xué)、山東大學(xué)等也受到了病毒攻擊。

　　從12日晚開始，陸續(xù)有高校在其官方微博發(fā)布緊急通知，告知學(xué)生“這是不法分子利用 ‘永恒之藍(lán)’發(fā)起的病毒攻擊事件。‘永恒之藍(lán)’會(huì)掃描開放 445 文件共享端口的 Windows 機(jī)器。由于以前國(guó)內(nèi)多次暴發(fā)利用 445 端口傳播的蠕蟲病毒，運(yùn)營(yíng)商對(duì)個(gè)人用戶已封掉 445 端口，但是教育網(wǎng)并沒有此限制，仍然存在大量暴露 445 端口的機(jī)器。

　　各高校已提醒師生及時(shí)安裝補(bǔ)丁

　　揚(yáng)子晚報(bào)記者從南京多所高校了解到，目前，尚無(wú)高校受到攻擊。南京大學(xué)、東南大學(xué)、南京航空航天大學(xué)等學(xué)校已經(jīng)對(duì)學(xué)校校園網(wǎng)采取了相關(guān)技術(shù)處理及隔離，同時(shí)發(fā)布防范病毒攻擊的緊急通知，提醒師生及時(shí)下載微軟發(fā)布的補(bǔ)丁和升級(jí)系統(tǒng)，注意防范。

　　12日晚的病毒攻擊大規(guī)模發(fā)生后，13日凌晨，南京大學(xué)網(wǎng)絡(luò)信息中心對(duì)校園網(wǎng)出口及網(wǎng)絡(luò)信息中心服務(wù)器區(qū)域進(jìn)行了相關(guān)技術(shù)處理及隔離。網(wǎng)絡(luò)信息中心網(wǎng)絡(luò)部向全校師生發(fā)布了緊急通知，建議校園網(wǎng)用戶盡快升級(jí)相關(guān)系統(tǒng)補(bǔ)丁，或自行在本地防火墻中增加相關(guān)的禁止訪問tcp、udp的135、137、139、445 端口的安全策略，還附上了相關(guān)補(bǔ)丁的下載鏈接。

　　南京航空航天大學(xué)信息化處何安元老師介紹，學(xué)校已經(jīng)對(duì)相關(guān)網(wǎng)絡(luò)端口進(jìn)行了封禁，學(xué)生們同樣需要對(duì)自己的電腦加以防范，及時(shí)檢測(cè)電腦是否存在漏洞，并下載安裝補(bǔ)丁。微軟已發(fā)布補(bǔ)丁MS17-010，修復(fù)了“永恒之藍(lán)”攻擊的系統(tǒng)漏洞；對(duì)于Windows XP、2003等微軟已不再提供安全更新的機(jī)器，可使用360“NSA武器庫(kù)免疫工具”檢測(cè)系統(tǒng)是否存在漏洞，并關(guān)閉受到漏洞影響的端口，可以避免遭到勒索軟件等病毒的侵害。同時(shí)，學(xué)生們應(yīng)該強(qiáng)化網(wǎng)絡(luò)安全意識(shí)：不明鏈接不要點(diǎn)擊，不明文件不要下載，不明郵件不要打開。盡快備份自己電腦中的重要文件資料到移動(dòng)硬盤、U盤，備份完后脫機(jī)保存該磁盤。建議仍在使用Windows XP，Windows 2003操作系統(tǒng)的用戶盡快升級(jí)到Window 7/Windows 10，或Windows 2008/2012/2016操作系統(tǒng)。

　　此外，常熟理工學(xué)院和蘇州大學(xué)都表示沒遭到病毒襲擊且已發(fā)布升級(jí)辦法。

　　相關(guān)信息

　　蘇州車管所

　　也受到攻擊

　　13日下午，蘇州地區(qū)已無(wú)法辦理車輛檢測(cè)、上牌照等業(yè)務(wù)。蘇州市公安局交警支隊(duì)官方微博“蘇州交警”發(fā)布消息稱：“因受電腦病毒感染，致車輛檢測(cè)監(jiān)管服務(wù)器無(wú)法正常運(yùn)作，造成用車檢驗(yàn)、車輛上牌等業(yè)務(wù)無(wú)法辦理。目前，技術(shù)人員正在全力搶修。” 截至記者發(fā)稿，設(shè)備仍未恢復(fù)正常。

　　多地加油站

　　無(wú)法用網(wǎng)絡(luò)支付

　　13日，全國(guó)多地的中石油加油站加油無(wú)法進(jìn)行網(wǎng)絡(luò)支付，只能進(jìn)行現(xiàn)金支付。包括北京、上海、重慶、成都等多城的部分中石油旗下加油站在13日0點(diǎn)左右突然斷網(wǎng)，只能使用現(xiàn)金支付。中石油有關(guān)負(fù)責(zé)人表示，懷疑受到病毒攻擊，具體情況還在核查處置中。

　　黑客如何攻擊電腦

　　受害人收到感染病毒的電子郵件，往往打著工作邀請(qǐng)、發(fā)貨清單、安全警告等“幌子”，一旦打開，惡意軟件就會(huì)進(jìn)入電腦

　　密鑰鎖定全部數(shù)據(jù)，沒有密鑰，電腦上的數(shù)據(jù)會(huì)全部被鎖

　　數(shù)分鐘之內(nèi)，電腦上的數(shù)據(jù)將全部無(wú)法訪問。受害人試圖打開電腦上的文件時(shí)，會(huì)看到一條信息，要求支付贖金后才能解鎖

　　如果支付贖金，贖金要付給潛藏在“暗網(wǎng)”中的匿名接收者。正常情況下，會(huì)在1小時(shí)左右獲得解鎖密鑰

　　如果不付贖金加密文件將丟失

　　4大疑問

　　1 勒索病毒為何要用比特幣支付？

　　勒索病毒其實(shí)在很多年以前就有了，這個(gè)病毒程序只要將其運(yùn)行，它就會(huì)鎖定你的各種重要文件，只有交贖金才能解密，而贖金通常都以比特幣的形式支付。

　　比特帀是網(wǎng)絡(luò)虛擬貨帀，它的最大特點(diǎn)就是散布在整個(gè)網(wǎng)絡(luò)上，完全匿名，完全不受各種金融限制，幾乎很難從比特幣賬戶追查到個(gè)人。于是，比特幣成了黑客索要贖金的最佳支付手段。

　　這些年出現(xiàn)的勒索病毒有很多，被這種病毒勒索過的個(gè)人、公司和機(jī)構(gòu)的公司其實(shí)每年都有，但是大多數(shù)都是一些零星案件，很少有這次的大規(guī)模爆發(fā)。

　　首先要中這種病毒，有一個(gè)前提條件：你必須先運(yùn)行這樣的程序，它才能鎖定你的電腦。為了誘使人運(yùn)行，黑客經(jīng)常采用鉤魚郵件的方式，在郵件中掛上病毒，一打開就中招。還有通過U盤的形式，插上電腦就自動(dòng)運(yùn)行?？傊?，這類傳統(tǒng)方法大都靠騙你上鉤。

　　2 此次網(wǎng)絡(luò)攻擊誰(shuí)是幕后黑手?

　　此次在全球大規(guī)模爆發(fā)，是因?yàn)橛腥税褌鹘y(tǒng)的勒索病毒綁上一顆核彈——一個(gè)美國(guó)國(guó)家安全局的核彈級(jí)的網(wǎng)絡(luò)攻擊工具：永恒之藍(lán)！

　　美國(guó)國(guó)家安全局(NSA)是美國(guó)最大的情報(bào)部門，專門收集和分析外國(guó)及本國(guó)通訊資料。而NSA跟各種機(jī)構(gòu)合作，專門研究入侵各類電腦系統(tǒng)。最近，這個(gè)幫NSA開發(fā)網(wǎng)絡(luò)武器的黑客部門，被另一個(gè)黑客組織給黑了。

　　一個(gè)叫影子經(jīng)紀(jì)的黑客組織，聲稱攻破了為NSA開發(fā)網(wǎng)絡(luò)武器的美圍黑客團(tuán)隊(duì)“方程式組織”的計(jì)算機(jī)系統(tǒng)，并下載了他們開發(fā)出來的大量攻擊工具。這些工具里包含了各種入侵工具和惡意軟件，其中就包括了可以攻破全球70%的Windows系統(tǒng)的工具永恒之藍(lán)。

　　為了表示對(duì)特朗普總統(tǒng)的不滿，本來影子經(jīng)紀(jì)想放在網(wǎng)上拍賣，后來他們干脆把各種工具傳到網(wǎng)上，提供給人隨便下載。—夜之間，各種沒有打補(bǔ)丁的Windows電腦幾乎全線暴露在危險(xiǎn)中，當(dāng)時(shí)甚至有業(yè)內(nèi)人士表示，這些工具剛開始幾乎“指哪打哪”。

　　3 此次為何大規(guī)模爆發(fā)？

　　總的來說，它可以不經(jīng)你的同意，直接讓你的電腦執(zhí)行勒索程序，鎖定你的電腦，并開始攻擊與你在同一個(gè)網(wǎng)絡(luò)里的任何電腦。

　　一個(gè)學(xué)?；蚬纠锟赡苡谐砂偕锨_(tái)電腦，99%的用戶也許不會(huì)點(diǎn)擊陌生的郵件附件或惡意網(wǎng)頁(yè)，不過只要有一個(gè)人點(diǎn)擊并激活勒索病毒，那么這個(gè)病毒就會(huì)感染他的電腦，啟動(dòng)NSA的大殺器永恒之藍(lán)，入侵與這臺(tái)電腦有聯(lián)接的所有電腦。而且永恒之藍(lán)非常強(qiáng)悍，除了Windows 10，其它沒有及時(shí)打上補(bǔ)丁的windows系統(tǒng)電腦都難以幸免。

　　4 國(guó)內(nèi)高校為何是重災(zāi)區(qū)？

　　由于國(guó)內(nèi)曾多次出現(xiàn)利用445端口傳播的蠕蟲病毒，部分運(yùn)營(yíng)商對(duì)個(gè)人用戶封掉了該端口。但是教育網(wǎng)并無(wú)此限制，因此成為黑客攻擊的重災(zāi)區(qū)。

　　一些安全人員指出，感染似乎是通過在計(jì)算機(jī)之間傳播的蠕蟲完成。與其他許多惡意程序不同，這一程序本身就有在網(wǎng)絡(luò)內(nèi)自主移動(dòng)的能力。普通惡意軟件依賴人類操作傳播，比如代碼偽裝在附件里欺騙用戶進(jìn)行點(diǎn)擊。相比之下，一旦某個(gè)組織內(nèi)的一臺(tái)電腦被永恒之藍(lán)感染，它將悄無(wú)聲息地不斷感染組織內(nèi)其他易受攻擊的電腦。這也解釋了為何永恒之藍(lán)感染多發(fā)生在大規(guī)模組織中。 宗合

　　如果想挽回?cái)?shù)據(jù) 要付什么代價(jià)？

　　本次比特幣病毒攻擊影響范圍包括：Windows XP、Windows 7、Windows 8、Windows Server 2008、Windows Server 2003、Windows Vista、win10。以下設(shè)備不受影響：安卓手機(jī)、iOS設(shè)備、MacOS設(shè)備、Linux設(shè)備。

　　花錢解鎖可能需要數(shù)百到數(shù)千美元

　　一家洛杉磯的醫(yī)院2月份為了恢復(fù)電腦數(shù)據(jù)，支付了1.7萬(wàn)美元

　　補(bǔ)救措施

　　應(yīng)急處置方法

　　360強(qiáng)烈建議網(wǎng)絡(luò)管理員在網(wǎng)絡(luò)邊界的防火墻上阻斷445端口的訪問，如果邊界上有IPS和360天堤智慧防火墻之類設(shè)備，請(qǐng)升級(jí)設(shè)備的檢測(cè)規(guī)則到最新版本并設(shè)置相應(yīng)漏洞攻擊的阻斷，直到確認(rèn)網(wǎng)內(nèi)的電腦已經(jīng)安裝了MS17-010補(bǔ)丁或關(guān)閉了Server服務(wù)。對(duì)于已經(jīng)感染勒索蠕蟲的機(jī)器建議隔離處置。

　　個(gè)人電腦應(yīng)急處置

　　針對(duì)NSA黑客武器利用的Windows系統(tǒng)漏洞，微軟在今年3月已發(fā)布補(bǔ)丁修復(fù)。此前360安全中心也已推出“NSA武器庫(kù)免疫工具”，能夠一鍵檢測(cè)修復(fù)NSA黑客武器攻擊的漏洞；對(duì)XP、2003等已經(jīng)停止更新的系統(tǒng)，免疫工具可以關(guān)閉漏洞利用的端口。

　　電腦已中招怎么辦？

　　專家表示還沒有很好的解決辦法，而在知乎上有網(wǎng)友表示，交贖金也不一定能解鎖，因?yàn)槿蚴芨腥窘悔H金的人太多。

　　防范勒索病毒小貼士：

　　一是重要文件一定要提前備份；二是要加強(qiáng)安全意識(shí)，不明鏈接不要點(diǎn)，不明文件不要下載，不明郵件不要點(diǎn)開。

原標(biāo)題：國(guó)內(nèi)近3萬(wàn)機(jī)構(gòu)被勒索病毒攻陷 江蘇等十省市受害最嚴(yán)重

原鏈接：http://www.chinanews.com/gn/2017/05-14/8223408.shtml