新型“蠕虫”式勒索病毒爆发，国家网络与信息安全中心紧急通报

5月13日下午，国家网络与信息安全信息通报中心紧急通报：12日20时左右，新型“蠕虫”式勒索病毒爆发，目前已有100多个国家和地区的数万台电脑遭该勒索病毒感染，我国部分Windows系列操作系统用户已经遭到感染。这起大规模信息安全攻击也波及国内多所高校，攻击者利用系统默认开放的445端口（文件共享端口）在高校校园网内进行传播，不需要用户进行任何操作即可进行感染。感染后设备上的所有文件都将会被加密，攻击者声称用户需要支付约价值5万元比特币才可以解锁。

中大华师：未遭病毒攻击

国内高校是这次攻击的重灾区，不少大学生的毕业论文、毕业设计等重要资料已经宣告“沦陷”。部分高校已发布预警信息。

据报道，杭州下沙高教园区校园网被黑。杭州师范大学、浙江工商大学、宁波大学、浙江中医药大学、浙江理工大学等都有学生反映遭遇病毒攻击。据专业人士分析，由于以前国内多次爆发利用445端口传播的蠕虫，运营商对个人用户已封掉445端口，但是教育网并没有此限制，仍然存在大量暴露445端口的机器。据有关机构统计，目前国内平均每天有5000多台机器遭到NSA“永恒之蓝”黑客武器的远程攻击，教育网是受攻击的重灾区。

13日，中山大学、华南师范大学等广东高校迅速对校内师生发出技术警告和指引，降低勒索病毒对校园网用户的影响。中山大学官方微博称，中国高等教育学会教育信息化分会网络安全工作组12日已接到多所学校报告，反映大量学校电脑感染勒索病毒。中大网络与信息技术中心表示，他们原有的安全策略已禁止外网访问部分共享端口，其中包括此次遭袭的主要路径445端口。为降低安全风险，中大禁止了校园网络汇聚交换路由设备445端口的连接。

华师表示，目前尚无校内师生电脑遭到病毒攻击，同时建议师生检测系统漏洞，关闭受到漏洞影响的端口，网络中心也将统一做技术缓解防范措施，以降低该勒索软件对校园网用户的影响。

快打补丁：微软已有相关发布

据360安全中心分析，此次勒索病毒是由NSA泄漏的“永恒之蓝”黑客武器传播的。监测数据显示，国内首先出现的是ONION病毒，平均每小时攻击约200次，夜间高峰期达到每小时1000多次；WNCRY勒索病毒则是5月12日下午新出现的全球性攻击，并在中国的校园网迅速扩散，夜间高峰期每小时攻击约4000次。

安全专家发现，ONION勒索病毒还会与挖矿机（运算生成虚拟货币）、远控木马组团传播，形成一个集合挖矿、远控、勒索多种恶意行为的木马病毒“大礼包”，专门选择高性能服务器挖矿牟利，对普通电脑则会加密文件敲诈钱财，最大化地压榨受害机器的经济价值。

针对NSA黑客武器利用的Windows系统漏洞，微软在今年3月已发布补丁修复。此前360安全中心也已推出“NSA武器库免疫工具”，能够一键检测修复NSA黑客武器攻击的漏洞；对XP、2003等已经停止更新的系统，免疫工具可以关闭漏洞利用的端口，防止电脑被NSA黑客武器植入勒索病毒等恶意程序。

“放毒”目的：索要“赎金”获利

目前尚不清楚黑客发起攻击的目的，但勒索病毒能够让袭击者迅速通过攻击获利，是网络窃贼最喜欢的攻击方式之一。360安全专家表示，这种病毒对电脑文件的破坏是可逆的，黑客可以还原，但需要“赎金”。

遭到攻击的电脑上都会出现一个比特币的“赎金”对话框。这种虚拟货币在网络犯罪分子当中很受欢迎，因为它是分散的、不受管制的，而且几乎难以追踪。就算索要一个比特币，看起来数量少，可是攻击范围一旦遍布全球，金额将非常巨大。另一方面，比特币自诞生以来价格不断上涨，现在的价格相比几年前已翻数倍，本周甚至一度超过1800美元，国内一个比特币也炒到了一万多元人民币。

针对该病毒，猎豹移动安全专家李铁军表示，这个病毒是勒索病毒，它结合了蠕虫病毒的攻击方式，在全球范围内造成了巨大破坏：“病毒加密的文件除了攻击者，其他人没办法解密，能防不可治。”

如何防范： 关闭高危端口

计算机安全专家建议：立即关闭Windows系统的445端口：打开控制面板——网络和共享中心——更改适配器设置——右键点击正在使用的网卡然后点击属性——取消勾选Microsoft网络文件和打印机共享——确定——重启系统。同时，尽快升级系统安装补丁，Windows 2003和XP没有官方补丁，用户可打开并启用Windows防火墙，进入“高级设置”，禁用“文件和打印机共享”设置；或启用个人防火墙关闭445以及135、137、138、139等高风险端口。已感染病毒机器请立即断网，避免进一步传播感染。此外，应尽快备份电脑里的重要资料。

本文转自d1net（转载）