电脑勒索病毒让99个国家中招 究竟是谁干的？

rizhaook

（安全人员展示名为WannaCry的电脑勒索病毒）
网易科技讯 5月13日消息 据BBC报道，一款被认为是美国国家安全局开发的软件被不法分子利用，实施大规模的网络攻击，全球多地组织中招。
病毒将全球数千处的电脑锁定，勒索价值300美元（约合230英镑）的比特币才能解锁。
这些工具据称出自美国国家安全局之手。今年四月份，名为“影子经纪人”的黑客组织盗取了这些工具并在网上公布。虽然微软在3月份就通过更新修补了黑客软件所利用的漏洞，但显然全球仍有很多电脑未能及时更新。
攻击规模有多大？
此次攻击规模涉及全球99个国家和地区，英国、美国、中国、俄罗斯、西班牙、意大利和台湾均有感染报告。
网络安全公司Avast称在全世界检测到7.5万WannaCry劫持。规模之大让Avast软件研究员Jakub Kroustek为之震惊。
许多研究人员称突然爆发的攻击可能彼此互有关联，但不认为是针对特定目标的有组织攻击行为。
哪些组织受到影响？
英国国家卫生服务系统（NHS）受到勒索。NHS员工展示了受攻击电脑的截屏。医院业务和医生手术无法正常进行。一位NHS工作人员对BBC称，医院停运的后果将是病人遭受病痛折磨乃至死亡。
有报道称俄罗斯受到的攻击数量高过任何其他国家。俄罗斯内政部称已得知勒索病毒肆虐国内电脑，并表示该国的防病毒软件正在运作以摧毁病毒，强调只有不到1%的电脑受到影响。
不少德国和意大利网民在推特上发布电脑受攻击的图片，有图片显示一处火车票售票机也受到攻击。
西班牙电信巨头Telefonica、电力公司Iberdrola和天然气公司Gas Natural均遭到攻击。报道称这些公司通知员工关闭电脑。
葡萄牙电信公司、联邦快递FedEx、俄罗斯第二大电信运营商Megafon也在被攻击之列。
幕后黑手？
一些专家称，攻击可能利用了名为“EternalBlue”的漏洞。NSA此前便一直使用该漏洞进行间谍行为，后来“影子经纪人”黑客组织盗取NSA的文件，黑客曾尝试在网上拍卖盗窃所得，拍卖未果后索性直接将这些工具公之于众，在4月8日公布了文件加密密码。
黑客们称，公布NSA作案工具是为了表达对特朗普总统的抗议。
当时一些网络专家表示，一些恶意软件仍然可用，但有些是已经无效的。微软早在3月份就发布了漏洞补丁，但许多电脑并未及时安装更新。
微软公司在本周五称其工程师已经加强了对WannaCry病毒的监测和防御，并向受影响客户提供帮助。
恶意软件如何工作？
一些安全人员指出，感染似乎是通过在计算机之间传播的蠕虫完成。与其他许多恶意程序不同，这一程序本身就有在网络内自主移动的能力。普通恶意软件依赖人类操作传播，比如代码伪装在附件里欺骗用户进行电击。相比之下，一旦某个组织内的一台电脑被WannaCry感染，它将悄无声息地不断感染组织内其他易受攻击的电脑。这也解释了为何WannaCry感染多发生在大规模组织中。（孙文文）
(原标题：Massive ransomware infection hits computers in 99 countries)
(责任编辑：王凤枝_NT2541)

小心，黑客为索要比特币来势汹汹，微软全球警报也已拉响，校园网用户要特别注意。

这可能是继熊猫烧香之后，又一范围的电脑中毒事件。截至钛媒体上午发稿，反病毒软件厂商Avast的报告称，至少7.5万台计算机被感染。勒索病毒“WanaCrypt0r 2.0”也已在99个国家被发现。

国内昨晚20点左右，国内部分高校学生反映电脑被病毒攻击，文档被加密。攻击者称需支付比特币解锁。不过有报道称，用户付钱后，仍然无法解密数据。

据了解此次病毒的重灾区是校园网，目前受影响的有贺州学院、桂林电子科技大学、桂林航天工业学院以及广西等地区的大学。另外有网友反映，大连海事大学、山东大学等也受到了病毒攻击。

知乎网友@Mikaleong发现电子阅览室已基本沦陷，连通告电子屏幕都没有幸免。估计这两天学校的图书馆应该都会闭馆。


在同一时间像英国，俄罗斯，西班牙，台湾都有类似的入侵现象。



此外，英国多家公立医院也疑似遭到相同病毒的攻击。据英国媒体报道，5月12日英国国家医疗服务体系遭遇了大规模网络攻击，多家公立医院的电脑系统几乎同时瘫痪，电话线路也被切断，导致很多急诊病人被迫转移。

《每日邮报》称，至少19家位于英格兰和苏格兰的NHS所属医疗机构遭到网络攻击，这些机构包括医院和全科医生诊所。

医院员工说，他们的电脑屏幕上弹出窗口。黑客们发送的消息说，医院的电脑已经被控制，必须缴纳赎金才能阻止所有的文件被删除。


网络上流传的一条消息说，黑客向每台被操控的电脑索要300美元的赎金，以网络虚拟货币比特币的形式支付。弹窗页面还有一个倒计时钟表，显示的截至日期是下周五。

报道称，已经至少有10笔每笔额度300美元左右的赎金被打到黑客提供的比特币账户。

据英国金融时报和纽约时报披露，病毒发行者正是利用了去年被盗的美国国家安全局（NSA）自主设计的Windows系统黑客工具Eternal Blue，把今年2月的一款勒索病毒升级。被感染的Windows用户必须在7天内交纳比特币作为赎金，否则电脑数据将被全部删除且无法修复。

由于以前国内多次爆发利用445端口传播的蠕虫，运营商对个人用户已封掉445端口，但是教育网并没有此限制，仍然存在大量暴露445端口的机器。据有关机构统计，目前国内平均每天有5000多台机器遭到NSA“永恒之蓝”黑客武器的远程攻击，教育网就是受攻击的重灾区！

知乎网友@不是假棋表示，如果确实是由于nsa的eternalblue引起的，情况不会扩散太严重。但已感染的用户会很闹心。

个人宽带/家庭用户方面，运营商应该已经主动屏蔽了445端口;即使未屏蔽，一般家庭都在使用无线路由器，默认情况下不对公网开放/转发任何端口，也可以避免被攻击。

校园网方面，教育网虽然未主动屏蔽445。但很多高校对师生个人计算机的ip地址的公网访问采用白名单方式，也可以避免。

学校历来是病毒的重灾区，主客观原因都有;想要解决起来问题也不少而且也不容易解决。

win10用户被微软强制开启自动更新了，应该已经更新ms17-010补丁了;但是校园网中存在了大量关闭了自动更新的win7(或其他低版本windows)用户，可能会成为重灾区。

如果中招了，请做好丢失那些文件的准备。根据以往经验，交钱并不能消灾。文件应该是被aes128加密(后续版本有没有用aes256不知道)，在当前技术条件下，全球绝大多数人并没有足够的计算能力来对其进行暴力破解。想通过暴力破解来救回文件的可以死心了。

现在判断该病毒仅通过主机主动扫描发动的攻击，对于很多不开放公网权限的学校及单位还相对威胁不大。如果进一步的变种具备了蠕虫特性，受感染的主机进一步扫描其局域网内设备并进行攻击，可能受灾面会进一步扩大。希望在这一天到来之前，大家都把补丁补齐了。

请(希望)所以看到这个回答的人尽快着手备份自己的重要文件，并养成异地多活备份的习惯。不要等数据丢了才意识到备份的重要性。

微软公司声明表示，这款勒索病毒的文件名是Ransom:Win32.WannaCrypt。微软已于3月14日提供了系统安全升级补丁，目的就是用来防范这一款病毒袭击。现已运行微软免费杀毒软件和更新了安全包的用户都没有危险。

不过微软的声明也从侧面印证了本次袭击真得跟美国国家安全局的黑客工具有关，或者最起码本次袭击借鉴了被泄露的NSA工具。去年起，一个自称为影子黑客（Shadow Brokers）的组织在网上公布了NSA针对Windows文件与打印机共享系统漏洞的黑客编程代码，但NSA从没有正面承认过。

腾讯科技讯 （韩依民） 5月13日，席卷全球的勒索病毒WannaCry（也被称作WanaCrypt或WCry），在今日晚间被互联网安全人员找到阻止其传播的方法。
据北京云纵信息技术有限公司首席科学家&研发副总裁郑昀透露的信息，5月12日席卷全球的WannaCrypt（永恒之蓝）勒索蠕虫攻击已经停下攻击的脚步。原因是安全人员分析了其行为，发现病毒会尝试对一个 iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com 的域名执行HTTP GET操作，如果DNS解析失败，它会继续进行感染操作，然而，如果解析成功（意味着某个人注册了该域名，按下了战争停止按钮），该程序将会结束。
“所以一位安全小哥注册了该域名。这个事件从头到尾都像是一部电影，开始的离奇，结束的诡异。”
这一消息得到猎豹移动安全专家李铁军的证实，李铁军介绍，根据猎豹研发人员目前掌握的信息，他们猜测之所以出现这种情况，可能源于病毒作者担心病毒无何止传播，因此设定了一个停止条件。该域名注册的最大意义在于，随着安全人员注册了该域名后，局域网管理者对网络进行主动设置，可以阻止病毒在局域网内进行传播。
据安天实验室介绍，这个域名相当于一个停止开关，中招的机器软件在发作前如果能访问到这个域名，会不发作；但是发作后的已经受到影响，内网机器由于访问不到会继续发作，因为其他原因访问不到的这个域名的也会继续发作。
但目前病毒作者为何设置了这一停止条件依然未知，另外注册了域名阻止病毒传播的安全人员来自国外。
据腾讯安全反病毒实验室的分析，此次勒索事件与以往相比最大的特点在于，勒索病毒结合了蠕虫的方式进行传播，传播方式采用了前不久NSA被泄漏出来的MS17-010漏洞。在NSA泄漏的文件中，WannaCry传播方式的漏洞利用代码被称为“EternalBlue”，所以也有的报道称此次攻击为“永恒之蓝”。
MS17-010漏洞指的是，攻击者利用该漏洞，向用户机器的445端口发送精心设计的网络数据包文，实现远程代码执行。如果用户电脑开启防火墙，也会阻止电脑接收445端口的数据。但是在中国高校内，同学之间为了打局域网游戏，有时需要关闭防火墙，这也是此次事件在中国高校内大肆传播的原因。
对于如何防范的问题，腾讯安全反病毒实验室介绍，利用Windows系统远程漏洞进行传播，是此次勒索软件的一大特点，也是在高校爆发的根本原因，所以开启防火墙是简单直接的方法。

一款Windows敲诈勒索病毒大规模爆发，在全国大范围蔓延，感染用户主要集中在企业、高校等内网环境。

中招系统文档、图片资料等常见文件都会被病毒加密，然后向用户勒索高额比特币赎金，并且病毒使用RSA非对称算法，没有私钥就无法解密文件。



此外，该病毒大肆感染传播的最重要原因在于其利用了前段时间泄漏的NSA黑客工具包中的“永恒之蓝”0day漏洞(微软漏洞编号:MS17-101)，蠕虫主要通过445端口进行利用传播。

中招现象主要有两点：

1、最直接的。中招用户系统弹出比特币敲诈对话框；



2、用户文件被加密，后缀为“wncry”。



防御措施 ：

1.开启防火墙，关闭用户共享以及135、139、445端口

启用并打开”Windows防火墙“，进入”高级设置“，在入站规则里禁用”文件和打印机共享“以及相关端口的规则。

2.升级系统补丁，微软已经针对NSA泄漏的漏洞发布补丁（MS17-010补丁）。

3.谨慎打开不明邮件文档，禁用office宏，钓鱼邮件是勒索病毒传播的一个重要渠道。

4.重要资料及时备份、备份、再备份！

5.安装相关查杀毒防御软件

服务器用户请检查是否存在账号弱口令，并进行相关安全加固，以免遭受损失！

最后说明一点：对于已经中招的电脑，目前没有什么好的解决方案，只能重装系统以及进行硬盘格式化。至于被加密的文件，呵呵呵呵。。。

最后再说明一点：中招了，不要给他们任何形式的钱！给了也没用！

转载请注明：技术屋-博客.记录工作、生活点滴 » Windows勒索病毒来袭！请关闭相关端口，做好防范！