新京報(bào)快訊(記者劉素宏)5月(yuè)12日晚，比特币勒索病毒在全球爆發，在無需用戶任何操作的情況下(xià)，“永恒之藍病毒”即可掃描開(kāi)放(fàng)445文件(jiàn)共享端口的Windows機(jī)器(qì)，從(cóng)而植入惡意程序。目前，病毒已經擴散至全球上(shàng)百個(gè)國(guó)家，中國(guó)衆多(duō)高(gāo)校也紛紛中招。黑(hēi)客則通(tōng)過鎖定電(diàn)腦(nǎo)文件(jiàn)來勒索用戶交贖金，而且隻收比特币。360首席安全工(gōng)程師(shī)鄭文彬提醒用戶，改病毒很有可能(néng)還(hái)會(huì)持續，用戶要及時安裝補丁，才能(néng)讓危害進一(yī)步控制。阿裡(lǐ)雲專家也認為(wèi)，病毒可能(néng)蔓延，隻要不修複就(jiù)會(huì)蔓延。

　　什麽是“永恒之藍”病毒

    據360安全中心分析，此次校園網勒索病毒是由NSA洩露的“永恒之藍”黑(hēi)客武器(qì)傳播的。“永恒之藍”可遠(yuǎn)程攻擊Windows的445端口(文件(jiàn)共享)，如果系統沒有安裝今年(nián)3月(yuè)的微軟補丁，無需用戶任何操作，隻要開(kāi)機(jī)上(shàng)網，“永恒之藍”就(jiù)能(néng)在電(diàn)腦(nǎo)裡(lǐ)執行任意代碼，植入勒索病毒等惡意程序。360針對校園網勒索病毒事(shì)件(jiàn)的監測數據顯示，國(guó)内首先出現的是ONION病毒，平均每小(xiǎo)時攻擊約200次，夜間高(gāo)峰期達到(dào)每小(xiǎo)時1000多(duō)次;WNCRY勒索病毒則是5月(yuè)12日下(xià)午新出現的全球性攻擊，并在中國(guó)的校園網迅速擴散，夜間高(gāo)峰期每小(xiǎo)時攻擊約4000次。

    目前，“永恒之藍”傳播的勒索病毒以ONION和WNCRY兩個(gè)家族為(wèi)主，受害機(jī)器(qì)的磁盤文件(jiàn)會(huì)被篡改為(wèi)相(xiàng)應的後綴，圖片、文檔、視頻、壓縮包等各類資料都無法正常打開(kāi)，隻有支付贖金才能(néng)解密恢複。這兩類勒索病毒，勒索金額分别是5個(gè)比特币和300美元，折合人民(mín)币分别為(wèi)5萬多(duō)元和2000多(duō)元。

    由于國(guó)内曾多(duō)次出現利用445端口傳播的蠕蟲病毒，部分運營商對個(gè)人用戶封掉了445端口。但是教育網并無此限制，存在大量暴露著(zhe)445端口的機(jī)器(qì)，因此成為(wèi)不法分子使用NSA黑(hēi)客武器(qì)攻擊的重災區。正值高(gāo)校畢業(yè)季，勒索病毒已造成一(yī)些應屆畢業(yè)生(shēng)的論文被加密篡改，直接影響到(dào)畢業(yè)答辯。安全專家發現，ONION勒索病毒還(hái)會(huì)與挖礦機(jī)(運算(suàn)生(shēng)成虛拟貨币)、遠(yuǎn)控木(mù)馬組團傳播，形成一(yī)個(gè)集合挖礦、遠(yuǎn)控、勒索多(duō)種惡意行為(wèi)的木(mù)馬病毒“大禮包”，專門(mén)選擇高(gāo)性能(néng)服務器(qì)挖礦牟利，對普通(tōng)電(diàn)腦(nǎo)則會(huì)加密文件(jiàn)敲詐錢(qián)财，最大化地壓榨受害機(jī)器(qì)的經濟價值。

　　專家稱因NSA洩露的系統漏洞引起

    這次全球比特币勒索病毒，有别于過往透過釣魚郵件(jiàn)感染的方式，不少受害者在網上(shàng)回複指在正常使用電(diàn)腦(nǎo)的情況下(xià)突然彈出相(xiàng)關勒索界面。

    阿裡(lǐ)雲安全專家分析，此次全球比特币勒索病毒是由NSA洩露的Windows系統SMB/RDP遠(yuǎn)程命令執行漏洞引起。利用該漏洞，黑(hēi)客可遠(yuǎn)程實現攻擊Windows的445端口(文件(jiàn)共享)。如果系統沒有安裝今年(nián)3月(yuè)的微軟補丁，無需用戶任何操作，隻要開(kāi)機(jī)上(shàng)網，黑(hēi)客即可在電(diàn)腦(nǎo)裡(lǐ)執行任意代碼，植入勒索病毒等惡意程序.

    考慮到(dào)Windows系統SMB/RDP遠(yuǎn)程命令執行漏洞的危險性，國(guó)内外不少雲服務廠商都在4月(yuè)封掉了445端口。但全球不少個(gè)人電(diàn)腦(nǎo)、IDC物(wù)理機(jī)房仍存在大量暴露著(zhe)445端口的機(jī)器(qì)，這給了黑(hēi)客可乘之機(jī)。

　　内網未劃分安全區域加速病毒傳播

    阿裡(lǐ)雲安全專家分析，此次勒索事(shì)件(jiàn)在校園網傳播速度之快，影響面之大主要原因是當前大部分學校基本是一(yī)個(gè)大的内網互通(tōng)的局域網，不同的業(yè)務未劃分安全區域。例如：學生(shēng)管理系統、教務系統等都可以通(tōng)過任何一(yī)台連入的設備訪問，同時，實驗室、多(duō)媒體教室、機(jī)器(qì)IP分配多(duō)為(wèi)公網IP，如果學校未做相(xiàng)關的權限限制，所有機(jī)器(qì)直接暴露在外面。事(shì)實上(shàng)，被攻擊的并不止中國(guó)的校園網。BBC發布消息稱,目前全球範圍内有大量的機(jī)構報(bào)告，受到(dào)了“勒索”軟件(jiàn)的攻擊，這些機(jī)構分别在美國(guó)、英國(guó)、中國(guó)、俄羅斯、西(xī)班牙、意大利、越南(nán)等地。

    據CNN報(bào)道，英國(guó)25家醫(yī)院周五也因“大規模”的黑(hēi)客攻擊而癱瘓。手術(shù)被取消，救護車被迫轉向其他醫(yī)院。

　　安全公司呼籲用戶加強安全防護

    針對NSA黑(hēi)客武器(qì)利用的Windows系統漏洞，微軟在今年(nián)3月(yuè)已發布補丁修複。此前，阿裡(lǐ)雲第一(yī)時間發布預警，并推出一(yī)鍵檢測修複NSA黑(hēi)客武器(qì)攻擊漏洞的工(gōng)具。目前，阿裡(lǐ)雲默認為(wèi)ECS(雲服務器(qì) ，Elastic Compute Service, 簡稱ECS))用戶關閉455端口，且默認安裝Windows官方補丁。阿裡(lǐ)雲建議，所有在IDC(互聯網内容提供商)托管或自(zì)建機(jī)房有服務器(qì)的企業(yè)，如果采用了Windows操作系統，立即安裝微軟補丁。

    安全補丁對個(gè)人用戶來說相(xiàng)對簡單。隻需自(zì)學裝載，就(jiù)能(néng)完成止血。但是對大型企業(yè)或者組織機(jī)構而言，面對成百上(shàng)千台機(jī)器(qì)，最好還(hái)是能(néng)使用客戶端進行集中管理。比如，阿裡(lǐ)雲的安騎士就(jiù)提供實時預警、防禦、一(yī)鍵修複等功能(néng)。

可靠的數據備份可以将勒索軟件(jiàn)帶來的損失最小(xiǎo)化。建議啓用阿裡(lǐ)雲快照(zhào)功能(néng)對數據鏡像備份，并同時做好安全防護，避免被感染和損壞。