5 月 15 日消息，WannaCry 勒索病毒于上周五起在全球范圍傳播擴(kuò)散，已經(jīng)影響了超過 150 個(gè)國(guó)家的至少 20 萬臺(tái)計(jì)算機(jī)。

此次勒索病毒是由NSA泄漏的「永恒之藍(lán)」黑客武器傳播的。該勒索病毒利用 Windows 操作系統(tǒng) 445 端口存在的漏洞進(jìn)行傳播，并具有自我復(fù)制、主動(dòng)傳播的特性。勒索病毒感染用戶計(jì)算機(jī)后，將對(duì)計(jì)算機(jī)中的文檔、圖片等實(shí)施高強(qiáng)度加密，并向用戶勒索贖金。

一名 22 歲的英國(guó)網(wǎng)絡(luò)工程師注意到，這一勒索病毒會(huì)不斷嘗試訪問當(dāng)時(shí)沒有被注冊(cè)的域名「www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com」，如果 DNS 解析失敗，它會(huì)繼續(xù)進(jìn)行感染操作，如果解析成功，該程序?qū)?huì)結(jié)束。研究人員推測(cè)是勒索病毒作者想要阻止病毒代碼被分析，當(dāng)病毒成功查詢?cè)撚蛎?，它?huì)認(rèn)為自己在沙盒環(huán)境內(nèi)，因此會(huì)退出防止被進(jìn)一步分析。

該域名可以充當(dāng)阻止傳播的關(guān)閉開關(guān)，研究人員通過搶注和上線該域名設(shè)法阻止了勒索軟件的進(jìn)一步擴(kuò)散。

13 號(hào)國(guó)家網(wǎng)絡(luò)與信息安全信息通報(bào)中心緊急通報(bào)：監(jiān)測(cè)發(fā)現(xiàn)，在全球范圍內(nèi)爆發(fā)的 WannaCry 勒索病毒出現(xiàn)了變種：WannaCry 2.0， 與之前版本的不同是，這個(gè)變種不能通過注冊(cè)某個(gè)域名來關(guān)閉變種勒索病毒的傳播，該變種傳播速度可能會(huì)更快。

北京市委網(wǎng)信辦、北京市公安局、北京市經(jīng)信委也聯(lián)合發(fā)出《關(guān)于WannaCry勒索蠕蟲出現(xiàn)變種及處置工作建議的通知》。

該通知要求各單位立即組織內(nèi)網(wǎng)檢測(cè)，一旦發(fā)現(xiàn)中毒機(jī)器，立即斷網(wǎng)處置，嚴(yán)格禁止使用U盤、移動(dòng)硬盤等可執(zhí)行擺渡攻擊的設(shè)備?！锻ㄖ贩Q，目前看來對(duì)硬盤格式化可清除病毒。

5月15日受害人數(shù)可能還將持續(xù)上升

自5月12日開始散播勒索蠕蟲病毒，從發(fā)現(xiàn)到大面積傳播，僅僅用了幾個(gè)小時(shí)，其中高校成為了重災(zāi)區(qū)。

美國(guó)著名軟件公司賽門鐵克公司研究人員13號(hào)預(yù)計(jì)，此次網(wǎng)絡(luò)攻擊事件，全球損失不可估量。該研究人員表示，修復(fù)漏洞中最昂貴的部分是清空每臺(tái)受攻擊的電腦或服務(wù)器的惡意軟件，并將數(shù)據(jù)重新加密。單單此項(xiàng)內(nèi)容就將花費(fèi)高達(dá)數(shù)千萬美元。

據(jù)路透社報(bào)道，軟件公司關(guān)于修復(fù)漏洞的高額損失并沒有包含受影響的企業(yè)所遭受的損失。

歐盟刑警組織負(fù)責(zé)人羅布·溫賴特14日表示，12日開始的勒索軟件網(wǎng)絡(luò)襲擊目前已經(jīng)波及150多個(gè)國(guó)家的10萬多家機(jī)構(gòu)，至少20萬人受害，未來還可能進(jìn)一步升級(jí)。他呼吁所有機(jī)構(gòu)必須認(rèn)真對(duì)待網(wǎng)絡(luò)安全威脅，及時(shí)更新升級(jí)電腦系統(tǒng)。

溫賴特當(dāng)天在接受英國(guó)獨(dú)立電視臺(tái)采訪時(shí)表示，本次網(wǎng)絡(luò)襲擊在全球范圍內(nèi)達(dá)到了“史無前例的級(jí)別”，目前已經(jīng)造成150多個(gè)國(guó)家的至少20萬人受害，其中不乏大型企業(yè)用戶。最令人擔(dān)憂的是，當(dāng)人們15日上班打開電腦時(shí)，受害者人數(shù)可能還將持續(xù)上升。

今年3月微軟已發(fā)布補(bǔ)丁

這款勒索蠕蟲病毒是針對(duì)微軟的永恒之藍(lán)的漏洞進(jìn)行傳播和攻擊的。一旦電腦感染該病毒，被感染電腦會(huì)主動(dòng)對(duì)局域網(wǎng)內(nèi)的其他電腦進(jìn)行隨機(jī)攻擊，局域網(wǎng)內(nèi)沒有修補(bǔ)漏洞的電腦理論上將無一幸免的感染該病毒。而該漏洞微軟在今年3月份已經(jīng)發(fā)布補(bǔ)丁，對(duì)漏洞進(jìn)行了修復(fù)，補(bǔ)丁地址：https://technet.microsoft.com/zh-cn/library/security/MS17-010.aspx

微軟公司5月12號(hào)宣布針對(duì)攻擊所利用的“視窗”操作系統(tǒng)漏洞，為一些它已停止服務(wù)的“視窗”平臺(tái)提供補(bǔ)丁。

全球緊急防范應(yīng)對(duì)

在本輪網(wǎng)絡(luò)攻擊中，英國(guó)NHS，也就是全民醫(yī)療體系旗下多家醫(yī)療機(jī)構(gòu)的電腦系統(tǒng)癱瘓。目前，除了其中6家外，其余約97%已經(jīng)恢復(fù)正常。英國(guó)首相特雷莎·梅13號(hào)發(fā)表講話，稱英國(guó)國(guó)家網(wǎng)絡(luò)安全中心正在與所有受攻擊的機(jī)構(gòu)合作調(diào)查。

事實(shí)上，這次大規(guī)模的網(wǎng)絡(luò)攻擊并不僅限于英國(guó)。當(dāng)?shù)貢r(shí)間12號(hào)，俄羅斯內(nèi)政部表示，內(nèi)政部約1000臺(tái)電腦遭黑客攻擊，但電腦系統(tǒng)中的信息并未遭到泄露。同樣遭到攻擊的美國(guó)聯(lián)邦快遞集團(tuán)表示，部分使用Windows操作系統(tǒng)的電腦遭到了攻擊，目前正在盡快補(bǔ)救。西班牙國(guó)家情報(bào)中心也證實(shí)，西班牙多家公司遭受了大規(guī)模的網(wǎng)絡(luò)黑客攻擊。電信業(yè)巨頭西班牙電信總部的多臺(tái)電腦陷入癱瘓。

在中國(guó)，目前已知遭受攻擊的行業(yè)包括教育、石油、交通、公安等，針對(duì)這個(gè)情況，公安部網(wǎng)安局正在協(xié)調(diào)我國(guó)各家網(wǎng)絡(luò)信息安全企業(yè)對(duì)這個(gè)勒索蠕蟲病毒進(jìn)行預(yù)防和查殺。

公安部網(wǎng)絡(luò)安全保衛(wèi)局總工程師郭啟全表示，因?yàn)樗窃诨ヂ?lián)網(wǎng)上傳播，互聯(lián)網(wǎng)是連通的，所以它是全球性的。有些部門的內(nèi)網(wǎng)本來是和外網(wǎng)是邏輯隔離或者是物理隔離的，但是現(xiàn)在有些行業(yè)有些非法外聯(lián)，或者是有些人不注意用U盤又插內(nèi)網(wǎng)又插外網(wǎng)，因此很容易把病毒帶到內(nèi)網(wǎng)當(dāng)中。

“現(xiàn)在我們及時(shí)監(jiān)測(cè)病毒的傳播、變種情況，然后還是要及時(shí)監(jiān)測(cè)發(fā)現(xiàn)，及時(shí)通報(bào)預(yù)警，及時(shí)處置。這幾天，全國(guó)公安機(jī)關(guān)和其他部門和專家密切配合，特別是一些信息安全企業(yè)的專家，盡快支持我們重要行業(yè)部門，去快速處置，快速升級(jí)，打補(bǔ)丁，另外公安機(jī)關(guān)還在開展偵查和調(diào)查。”

萬一被感染，不建議支付贖金取得解鎖

根據(jù)網(wǎng)絡(luò)安全公司數(shù)據(jù)統(tǒng)計(jì)，截止5月13日晚8點(diǎn)，我國(guó)共有39730家機(jī)構(gòu)被感染，其中教育科研機(jī)構(gòu)有4341家，高校成為了這次蠕蟲病毒的重災(zāi)區(qū)。

被感染蠕蟲病毒后，不到十秒，電腦里的所有用戶文件全部被加密無法打開。網(wǎng)絡(luò)安全專家介紹，用戶電腦一旦被感染這種勒索病毒，被加密的文件目前還沒有找到有效的辦法可以解鎖。而專家并不建議用戶支付贖金取得解鎖。

網(wǎng)絡(luò)安全專家孫曉駿認(rèn)為：加密的文件會(huì)根據(jù)病毒指引去付贖金獲得密鑰，但是根據(jù)目前的研究看成功的幾率非常低，整個(gè)互聯(lián)網(wǎng)安全界在積極的探索有沒有辦法解開這個(gè)密鑰。因?yàn)樗玫氖歉邚?qiáng)度非對(duì)稱加密的算法，這個(gè)密鑰空間非常大，就算用暴力破解也需要非常長(zhǎng)的時(shí)間，目前來看是不可接受的。

針對(duì)已經(jīng)被感染病毒的用戶，專家建議首先使用安全軟件查殺蠕蟲病毒，并保留被加密的文件，待日后網(wǎng)絡(luò)安全公司找到有效方法后再進(jìn)行解鎖。

防范：如何避免電腦中毒？

中國(guó)國(guó)家互聯(lián)網(wǎng)應(yīng)急中心表示，目前，安全業(yè)界暫未能有效破除該勒索軟的惡意加密行為，用戶主機(jī)一旦被勒索軟件滲透，只能通過重裝操作系統(tǒng)的方式來解除勒索行為，但用戶重要數(shù)據(jù)文件不能直接恢復(fù)。

在防范上，騰訊安全聯(lián)合實(shí)驗(yàn)室反病毒實(shí)驗(yàn)室負(fù)責(zé)人、騰訊電腦管家安全技術(shù)專家馬勁松指出，一是，臨時(shí)關(guān)閉端口。Windows用戶可以使用防火墻過濾個(gè)人電腦，并且臨時(shí)關(guān)閉135、137、445端口3389遠(yuǎn)程登錄（如果不想關(guān)閉3389遠(yuǎn)程登錄，至少也是關(guān)閉智能卡登錄功能），并注意更新安全產(chǎn)品進(jìn)行防御，盡量降低電腦受攻擊的風(fēng)險(xiǎn)。

突發(fā)，全球爆發(fā)勒索病毒 多家安全廠商推防御方案

（Windows用戶可以使用防火墻過濾個(gè)人電腦，并且臨時(shí)關(guān)閉135、137、445端口3389遠(yuǎn)程登錄）

二是，及時(shí)更新 Windows已發(fā)布的安全補(bǔ)丁。在3月MS17-010漏洞剛被爆出的時(shí)候，微軟已經(jīng)針對(duì)Win7、Win10等系統(tǒng)在內(nèi)提供了安全更新；此次事件爆發(fā)后，微軟也迅速對(duì)此前尚未提供官方支持的Windows XP等系統(tǒng)發(fā)布了特別補(bǔ)丁。

三是，利用“勒索病毒免疫工具”進(jìn)行修復(fù)。用戶通過其他電腦下載騰訊電腦管家“勒索病毒免疫工具”離線版，并將文件拷貝至安全、無毒的U盤；再將指定電腦在關(guān)閉Wi-Fi，拔掉網(wǎng)線，斷網(wǎng)狀態(tài)下開機(jī)，并盡快備份重要文件；然后通過U盤使用“勒索病毒免疫工具”離線版，進(jìn)行一鍵修復(fù)漏洞；聯(lián)網(wǎng)即可正常使用電腦。

突發(fā)，全球爆發(fā)勒索病毒 多家安全廠商推防御方案

（騰訊電腦管家針對(duì)于勒索病毒推出“勒索病毒免疫工具”）

四是，備份。重要的資料一定要備份，謹(jǐn)防資料丟失。

解析：高校為何成勒索病毒重災(zāi)區(qū)

馬勁松指出，各大高校通常接入的網(wǎng)絡(luò)是為教育、科研和國(guó)際學(xué)術(shù)交流服務(wù)的教育科研網(wǎng)，此骨干網(wǎng)出于學(xué)術(shù)目的，大多沒有對(duì)445端口做防范處理，這是導(dǎo)致這次高校成為重災(zāi)區(qū)的原因之一。

此外，如果用戶電腦開啟防火墻，也會(huì)阻止電腦接收445端口的數(shù)據(jù)。但中國(guó)高校內(nèi)，一些同學(xué)為了打局域網(wǎng)游戲，有時(shí)需要關(guān)閉防火墻，也是此次事件在中國(guó)高校內(nèi)大肆傳播的另一原因。

突發(fā)，全球爆發(fā)勒索病毒 多家安全廠商推防御方案

同時(shí)由于該木馬加密使用AES加密文件，并使用非對(duì)稱加密算法RSA 2048加密隨機(jī)密鑰，每個(gè)文件使用一個(gè)隨機(jī)密鑰，理論上不可破解。針對(duì)目前網(wǎng)上有傳該木馬病毒的作者放出密鑰，已證實(shí)為謠言。實(shí)則是在公網(wǎng)環(huán)境中，由于病毒的開關(guān)機(jī)制被設(shè)置為關(guān)閉模式暫時(shí)停止了傳播，但不排除作者制作新變種的可能。提醒廣大用切勿輕信謠言，以免造成更嚴(yán)重的損失。

最后，提醒廣大用戶，務(wù)必強(qiáng)化網(wǎng)絡(luò)安全意識(shí)，陌生鏈接不點(diǎn)擊，陌生文件不要下載，陌生郵件不要打開！