5 月 15 日消息，WannaCry 勒索病毒于上周五起在全球范圍傳播擴散，已經(jīng)影響了超過(guò) 150 個(gè)國家的至少 20 萬(wàn)臺計算機。

此次勒索病毒是由NSA泄漏的「永恒之藍」黑客武器傳播的。該勒索病毒利用 Windows 操作系統 445 端口存在的漏洞進(jìn)行傳播，并具有自我復制、主動(dòng)傳播的特性。勒索病毒感染用戶(hù)計算機后，將對計算機中的文檔、圖片等實(shí)施高強度加密，并向用戶(hù)勒索贖金。

一名 22 歲的英國網(wǎng)絡(luò )工程師注意到，這一勒索病毒會(huì )不斷嘗試訪(fǎng)問(wèn)當時(shí)沒(méi)有被注冊的域名「www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com」，如果 DNS 解析失敗，它會(huì )繼續進(jìn)行感染操作，如果解析成功，該程序將會(huì )結束。研究人員推測是勒索病毒作者想要阻止病毒代碼被分析，當病毒成功查詢(xún)該域名后，它會(huì )認為自己在沙盒環(huán)境內，因此會(huì )退出防止被進(jìn)一步分析。

該域名可以充當阻止傳播的關(guān)閉開(kāi)關(guān)，研究人員通過(guò)搶注和上線(xiàn)該域名設法阻止了勒索軟件的進(jìn)一步擴散。

13 號國家網(wǎng)絡(luò )與信息安全信息通報中心緊急通報：監測發(fā)現，在全球范圍內爆發(fā)的 WannaCry 勒索病毒出現了變種：WannaCry 2.0， 與之前版本的不同是，這個(gè)變種不能通過(guò)注冊某個(gè)域名來(lái)關(guān)閉變種勒索病毒的傳播，該變種傳播速度可能會(huì )更快。

北京市委網(wǎng)信辦、北京市公安局、北京市經(jīng)信委也聯(lián)合發(fā)出《關(guān)于WannaCry勒索蠕蟲(chóng)出現變種及處置工作建議的通知》。

該通知要求各單位立即組織內網(wǎng)檢測，一旦發(fā)現中毒機器，立即斷網(wǎng)處置，嚴格禁止使用U盤(pán)、移動(dòng)硬盤(pán)等可執行擺渡攻擊的設備?！锻ㄖ贩Q(chēng)，目前看來(lái)對硬盤(pán)格式化可清除病毒。

5月15日受害人數可能還將持續上升

自5月12日開(kāi)始散播勒索蠕蟲(chóng)病毒，從發(fā)現到大面積傳播，僅僅用了幾個(gè)小時(shí)，其中高校成為了重災區。

美國著(zhù)名軟件公司賽門(mén)鐵克公司研究人員13號預計，此次網(wǎng)絡(luò )攻擊事件，全球損失不可估量。該研究人員表示，修復漏洞中最昂貴的部分是清空每臺受攻擊的電腦或服務(wù)器的惡意軟件，并將數據重新加密。單單此項內容就將花費高達數千萬(wàn)美元。

據路透社報道，軟件公司關(guān)于修復漏洞的高額損失并沒(méi)有包含受影響的企業(yè)所遭受的損失。

歐盟刑警組織負責人羅布·溫賴(lài)特14日表示，12日開(kāi)始的勒索軟件網(wǎng)絡(luò )襲擊目前已經(jīng)波及150多個(gè)國家的10萬(wàn)多家機構，至少20萬(wàn)人受害，未來(lái)還可能進(jìn)一步升級。他呼吁所有機構必須認真對待網(wǎng)絡(luò )安全威脅，及時(shí)更新升級電腦系統。

溫賴(lài)特當天在接受英國獨立電視臺采訪(fǎng)時(shí)表示，本次網(wǎng)絡(luò )襲擊在全球范圍內達到了“史無(wú)前例的級別”，目前已經(jīng)造成150多個(gè)國家的至少20萬(wàn)人受害，其中不乏大型企業(yè)用戶(hù)。最令人擔憂(yōu)的是，當人們15日上班打開(kāi)電腦時(shí)，受害者人數可能還將持續上升。

今年3月微軟已發(fā)布補丁

這款勒索蠕蟲(chóng)病毒是針對微軟的永恒之藍的漏洞進(jìn)行傳播和攻擊的。一旦電腦感染該病毒，被感染電腦會(huì )主動(dòng)對局域網(wǎng)內的其他電腦進(jìn)行隨機攻擊，局域網(wǎng)內沒(méi)有修補漏洞的電腦理論上將無(wú)一幸免的感染該病毒。而該漏洞微軟在今年3月份已經(jīng)發(fā)布補丁，對漏洞進(jìn)行了修復，補丁地址：https://technet.microsoft.com/zh-cn/library/security/MS17-010.aspx

微軟公司5月12號宣布針對攻擊所利用的“視窗”操作系統漏洞，為一些它已停止服務(wù)的“視窗”平臺提供補丁。

全球緊急防范應對

在本輪網(wǎng)絡(luò )攻擊中，英國NHS，也就是全民醫療體系旗下多家醫療機構的電腦系統癱瘓。目前，除了其中6家外，其余約97%已經(jīng)恢復正常。英國首相特雷莎·梅13號發(fā)表講話(huà)，稱(chēng)英國國家網(wǎng)絡(luò )安全中心正在與所有受攻擊的機構合作調查。

事實(shí)上，這次大規模的網(wǎng)絡(luò )攻擊并不僅限于英國。當地時(shí)間12號，俄羅斯內政部表示，內政部約1000臺電腦遭黑客攻擊，但電腦系統中的信息并未遭到泄露。同樣遭到攻擊的美國聯(lián)邦快遞集團表示，部分使用Windows操作系統的電腦遭到了攻擊，目前正在盡快補救。西班牙國家情報中心也證實(shí)，西班牙多家公司遭受了大規模的網(wǎng)絡(luò )黑客攻擊。電信業(yè)巨頭西班牙電信總部的多臺電腦陷入癱瘓。

在中國，目前已知遭受攻擊的行業(yè)包括教育、石油、交通、公安等，針對這個(gè)情況，公安部網(wǎng)安局正在協(xié)調我國各家網(wǎng)絡(luò )信息安全企業(yè)對這個(gè)勒索蠕蟲(chóng)病毒進(jìn)行預防和查殺。

公安部網(wǎng)絡(luò )安全保衛局總工程師郭啟全表示，因為它是在互聯(lián)網(wǎng)上傳播，互聯(lián)網(wǎng)是連通的，所以它是全球性的。有些部門(mén)的內網(wǎng)本來(lái)是和外網(wǎng)是邏輯隔離或者是物理隔離的，但是現在有些行業(yè)有些非法外聯(lián)，或者是有些人不注意用U盤(pán)又插內網(wǎng)又插外網(wǎng)，因此很容易把病毒帶到內網(wǎng)當中。

“現在我們及時(shí)監測病毒的傳播、變種情況，然后還是要及時(shí)監測發(fā)現，及時(shí)通報預警，及時(shí)處置。這幾天，全國公安機關(guān)和其他部門(mén)和專(zhuān)家密切配合，特別是一些信息安全企業(yè)的專(zhuān)家，盡快支持我們重要行業(yè)部門(mén)，去快速處置，快速升級，打補丁，另外公安機關(guān)還在開(kāi)展偵查和調查。”

萬(wàn)一被感染，不建議支付贖金取得解鎖

根據網(wǎng)絡(luò )安全公司數據統計，截止5月13日晚8點(diǎn)，我國共有39730家機構被感染，其中教育科研機構有4341家，高校成為了這次蠕蟲(chóng)病毒的重災區。

被感染蠕蟲(chóng)病毒后，不到十秒，電腦里的所有用戶(hù)文件全部被加密無(wú)法打開(kāi)。網(wǎng)絡(luò )安全專(zhuān)家介紹，用戶(hù)電腦一旦被感染這種勒索病毒，被加密的文件目前還沒(méi)有找到有效的辦法可以解鎖。而專(zhuān)家并不建議用戶(hù)支付贖金取得解鎖。

網(wǎng)絡(luò )安全專(zhuān)家孫曉駿認為：加密的文件會(huì )根據病毒指引去付贖金獲得密鑰，但是根據目前的研究看成功的幾率非常低，整個(gè)互聯(lián)網(wǎng)安全界在積極的探索有沒(méi)有辦法解開(kāi)這個(gè)密鑰。因為它用的是高強度非對稱(chēng)加密的算法，這個(gè)密鑰空間非常大，就算用暴力破解也需要非常長(cháng)的時(shí)間，目前來(lái)看是不可接受的。

針對已經(jīng)被感染病毒的用戶(hù)，專(zhuān)家建議首先使用安全軟件查殺蠕蟲(chóng)病毒，并保留被加密的文件，待日后網(wǎng)絡(luò )安全公司找到有效方法后再進(jìn)行解鎖。

防范：如何避免電腦中毒？

中國國家互聯(lián)網(wǎng)應急中心表示，目前，安全業(yè)界暫未能有效破除該勒索軟的惡意加密行為，用戶(hù)主機一旦被勒索軟件滲透，只能通過(guò)重裝操作系統的方式來(lái)解除勒索行為，但用戶(hù)重要數據文件不能直接恢復。

在防范上，騰訊安全聯(lián)合實(shí)驗室反病毒實(shí)驗室負責人、騰訊電腦管家安全技術(shù)專(zhuān)家馬勁松指出，一是，臨時(shí)關(guān)閉端口。Windows用戶(hù)可以使用防火墻過(guò)濾個(gè)人電腦，并且臨時(shí)關(guān)閉135、137、445端口3389遠程登錄（如果不想關(guān)閉3389遠程登錄，至少也是關(guān)閉智能卡登錄功能），并注意更新安全產(chǎn)品進(jìn)行防御，盡量降低電腦受攻擊的風(fēng)險。

突發(fā)，全球爆發(fā)勒索病毒 多家安全廠(chǎng)商推防御方案

（Windows用戶(hù)可以使用防火墻過(guò)濾個(gè)人電腦，并且臨時(shí)關(guān)閉135、137、445端口3389遠程登錄）

二是，及時(shí)更新 Windows已發(fā)布的安全補丁。在3月MS17-010漏洞剛被爆出的時(shí)候，微軟已經(jīng)針對Win7、Win10等系統在內提供了安全更新；此次事件爆發(fā)后，微軟也迅速對此前尚未提供官方支持的Windows XP等系統發(fā)布了特別補丁。

三是，利用“勒索病毒免疫工具”進(jìn)行修復。用戶(hù)通過(guò)其他電腦下載騰訊電腦管家“勒索病毒免疫工具”離線(xiàn)版，并將文件拷貝至安全、無(wú)毒的U盤(pán)；再將指定電腦在關(guān)閉Wi-Fi，拔掉網(wǎng)線(xiàn)，斷網(wǎng)狀態(tài)下開(kāi)機，并盡快備份重要文件；然后通過(guò)U盤(pán)使用“勒索病毒免疫工具”離線(xiàn)版，進(jìn)行一鍵修復漏洞；聯(lián)網(wǎng)即可正常使用電腦。

突發(fā)，全球爆發(fā)勒索病毒 多家安全廠(chǎng)商推防御方案

（騰訊電腦管家針對于勒索病毒推出“勒索病毒免疫工具”）

四是，備份。重要的資料一定要備份，謹防資料丟失。

解析：高校為何成勒索病毒重災區

馬勁松指出，各大高校通常接入的網(wǎng)絡(luò )是為教育、科研和國際學(xué)術(shù)交流服務(wù)的教育科研網(wǎng)，此骨干網(wǎng)出于學(xué)術(shù)目的，大多沒(méi)有對445端口做防范處理，這是導致這次高校成為重災區的原因之一。

此外，如果用戶(hù)電腦開(kāi)啟防火墻，也會(huì )阻止電腦接收445端口的數據。但中國高校內，一些同學(xué)為了打局域網(wǎng)游戲，有時(shí)需要關(guān)閉防火墻，也是此次事件在中國高校內大肆傳播的另一原因。

突發(fā)，全球爆發(fā)勒索病毒 多家安全廠(chǎng)商推防御方案

同時(shí)由于該木馬加密使用AES加密文件，并使用非對稱(chēng)加密算法RSA 2048加密隨機密鑰，每個(gè)文件使用一個(gè)隨機密鑰，理論上不可破解。針對目前網(wǎng)上有傳該木馬病毒的作者放出密鑰，已證實(shí)為謠言。實(shí)則是在公網(wǎng)環(huán)境中，由于病毒的開(kāi)關(guān)機制被設置為關(guān)閉模式暫時(shí)停止了傳播，但不排除作者制作新變種的可能。提醒廣大用切勿輕信謠言，以免造成更嚴重的損失。

最后，提醒廣大用戶(hù)，務(wù)必強化網(wǎng)絡(luò )安全意識，陌生鏈接不點(diǎn)擊，陌生文件不要下載，陌生郵件不要打開(kāi)！