“你的电脑已被锁,文件已全部被加密,除非你支付等额价值300美元的比特币,否则你的文件将会被永久删除!”这种名为“永恒之蓝”的电脑勒索病毒从12日在全球蔓延,袭击了包括英国、美国、俄罗斯、中国在内的99个国家和地区的超过10万台电脑。5月13日下午,360发布“永恒之蓝”勒索蠕虫态势,截至当天19:00,国内有28388个机构被“永恒之蓝”勒索蠕虫感染。
扬子晚报多媒体记者 徐晓风 杨甜子
於苏云 顾秋萍
事件起因
攻击
北京时间12日晚上10点,英国16家医院首先被报道同时遭到网络攻击,这些医院的网络被攻陷,电脑被锁定……黑客要求每台电脑支付等额价值300美元的比特币,否则将删除电脑所有资料……事情发生时英国上下一片慌乱。―瞬间,医院里的电脑一台接一台地被感染,医院的IT部门也马上响应,要求关停所有没被感染的电脑。
没有了电脑的内部病例沟通系统,医生不能给病人做X光、CT等检查,因为这些系统已经全部数字化,本应直接在电脑上把图像传给医生。
一个病人在NHS医院排了10个月的队等待做一台心脏手术,却在手术即将开始的最后关头遇上网络攻击,手术被紧急取消。
约克郡的一名药剂师表示,没有了电子处方,他只能重新开始使用纸笔,找不到病人的历史记录,感觉回到了石器时代。
很快,全英国上下越来越多的医院汇报自己的电脑收到攻击,而所有被攻击的电脑,显示的都是一个电脑被锁定的红框。
蔓延
正当所有人都觉得这是一场针对英国医院的网络袭击时,更多消息传来,不只是英国,这一场网络攻击几乎席卷全球!
●西班牙:电话公司(Telefonica)、天然气公司(Gas Natural)等都已受到病毒影响。
●意大利:大学机房中招……
●德国:火车站系统中招……
●俄罗斯:政府内政部超过1000台电脑受到攻击瘫痪,俄罗斯内政部称,病毒通过Windows操作系统感染该国的电脑后,已经实现“本土化”。
●美国:联邦快递公司受这款病毒侵袭。
据安全专家统计,整个攻击遍布全世界超过99个国家和地区,那些幸免的国家里,要么几乎没有电脑,要么几乎没有网络。
为何英国医院首当其冲?
早在去年12月就有媒体曝光,英国医院IT系统极其危险,依旧使用Windows XP系统。而微软早在2014年4月就已停止支持Windows XP系统,不会发布更新的安全补丁,然而时至今日,英国医院依旧没有升级系统。
此外,医院电脑系统特别容易成为勒索软件绑架的目标,是因为医院肩负攸关人命的重要医疗服务,而且都是通过电脑对患者的病历资料进行更新,如果无法迅速取得患者的用药纪录、开刀指示与其他医疗讯息,将导致医疗程序严重延误,甚至中断。
在这种情 下,国外一些医院通常宁可选择缴纳赎金,也不愿意承担由于医疗耽误而导致患者死亡赔偿的风险。 宗 合
国内情况追踪
针对国内感染状况,5月13日下午360威胁情报中心率先发布了“永恒之蓝”勒索蠕虫态势,截至当天19:00,国内有28388个机构被“永恒之蓝”勒索蠕虫感染,覆盖了国内几乎所有地区。在受影响的地区中,江苏、浙江、广东、江西、上海、山东、北京、四川、湖北和广西排在前十位。
不少高校从12日晚已发布紧急通知
5月12日夜晚、13 日凌晨,国内高校成为此次病毒攻击的重灾区,学生电脑上的资料文档会被锁,需要付费才能解锁。很多学生在连上校园网后,电脑中的磁盘文件会被加密为.onion后缀,并出现中文的勒索页面。而恢复的方法就是:支付等价于300美元的比特币。
据悉,受影响的有贺州学院、桂林电子科技大学、桂林航天工业学院以及广西等地区的大学。大连海事大学、山东大学等也受到了病毒攻击。
从12日晚开始,陆续有高校在其官方微博发布紧急通知,告知学生“这是不法分子利用 ‘永恒之蓝’发起的病毒攻击事件。‘永恒之蓝’会扫描开放 445 文件共享端口的 Windows 机器。由于以前国内多次暴发利用 445 端口传播的蠕虫病毒,运营商对个人用户已封掉 445 端口,但是教育网并没有此限制,仍然存在大量暴露 445 端口的机器。
各高校已提醒师生及时安装补丁
扬子晚报记者从南京多所高校了解到,目前,尚无高校受到攻击。南京大学、东南大学、南京航空航天大学等学校已经对学校校园网采取了相关技术处理及隔离,同时发布防范病毒攻击的紧急通知,提醒师生及时下载微软发布的补丁和升级系统,注意防范。
12日晚的病毒攻击大规模发生后,13日凌晨,南京大学网络信息中心对校园网出口及网络信息中心服务器区域进行了相关技术处理及隔离。网络信息中心网络部向全校师生发布了紧急通知,建议校园网用户尽快升级相关系统补丁,或自行在本地防火墙中增加相关的禁止访问tcp、udp的135、137、139、445 端口的安全策略,还附上了相关补丁的下载链接。
南京航空航天大学信息化处何安元老师介绍,学校已经对相关网络端口进行了封禁,学生们同样需要对自己的电脑加以防范,及时检测电脑是否存在漏洞,并下载安装补丁。微软已发布补丁MS17-010,修复了“永恒之蓝”攻击的系统漏洞;对于Windows XP、2003等微软已不再提供安全更新的机器,可使用360“NSA武器库免疫工具”检测系统是否存在漏洞,并关闭受到漏洞影响的端口,可以避免遭到勒索软件等病毒的侵害。同时,学生们应该强化网络安全意识:不明链接不要点击,不明文件不要下载,不明邮件不要打开。尽快备份自己电脑中的重要文件资料到移动硬盘、U盘,备份完后脱机保存该磁盘。建议仍在使用Windows XP,Windows 2003操作系统的用户尽快升级到Window 7/Windows 10,或Windows 2008/2012/2016操作系统。
此外,常熟理工学院和苏州大学都表示没遭到病毒袭击且已发布升级办法。
相关信息
苏州车管所
也受到攻击
13日下午,苏州地区已无法办理车辆检测、上牌照等业务。苏州市公安局交警支队官方微博“苏州交警”发布消息称:“因受电脑病毒感染,致车辆检测监管服务器无法正常运作,造成用车检验、车辆上牌等业务无法办理。目前,技术人员正在全力抢修。” 截至记者发稿,设备仍未恢复正常。
多地加油站
无法用网络支付
13日,全国多地的中石油加油站加油无法进行网络支付,只能进行现金支付。包括北京、上海、重庆、成都等多城的部分中石油旗下加油站在13日0点左右突然断网,只能使用现金支付。中石油有关负责人表示,怀疑受到病毒攻击,具体情况还在核查处置中。
黑客如何攻击电脑
受害人收到感染病毒的电子邮件,往往打着工作邀请、发货清单、安全警告等“幌子”,一旦打开,恶意软件就会进入电脑
密钥锁定全部数据,没有密钥,电脑上的数据会全部被锁
数分钟之内,电脑上的数据将全部无法访问。受害人试图打开电脑上的文件时,会看到一条信息,要求支付赎金后才能解锁
如果支付赎金,赎金要付给潜藏在“暗网”中的匿名接收者。正常情况下,会在1小时左右获得解锁密钥
如果不付赎金加密文件将丢失
4大疑问
1 勒索病毒为何要用比特币支付?
勒索病毒其实在很多年以前就有了,这个病毒程序只要将其运行,它就会锁定你的各种重要文件,只有交赎金才能解密,而赎金通常都以比特币的形式支付。
比特 是网络虚拟货 ,它的最大特点就是散布在整个网络上,完全匿名,完全不受各种金融限制,几乎很难从比特币账户追查到个人。于是,比特币成了黑客索要赎金的最佳支付手段。
这些年出现的勒索病毒有很多,被这种病毒勒索过的个人、公司和机构的公司其实每年都有,但是大多数都是一些零星案件,很少有这次的大规模爆发。
首先要中这种病毒,有一个前提条件:你必须先运行这样的程序,它才能锁定你的电脑。为了诱使人运行,黑客经常采用钩鱼邮件的方式,在邮件中挂上病毒,一打开就中招。还有通过U盘的形式,插上电脑就自动运行。总之,这类传统方法大都靠骗你上钩。
2 此次网络攻击谁是幕后黑手?
此次在全球大规模爆发,是因为有人把传统的勒索病毒绑上一颗核弹――一个美国国家安全局的核弹级的网络攻击工具:永恒之蓝!
美国国家安全局(NSA)是美国最大的情报部门,专门收集和分析外国及本国通讯资料。而NSA跟各种机构合作,专门研究入侵各类电脑系统。最近,这个帮NSA开发网络武器的黑客部门,被另一个黑客组织给黑了。
一个叫影子经纪的黑客组织,声称攻破了为NSA开发网络武器的美围黑客团队“方程式组织”的计算机系统,并下载了他们开发出来的大量攻击工具。这些工具里包含了各种入侵工具和恶意软件,其中就包括了可以攻破全球70%的Windows系统的工具永恒之蓝。
为了表示对特朗普总统的不满,本来影子经纪想放在网上拍卖,后来他们干脆把各种工具传到网上,提供给人随便下载。―夜之间,各种没有打补丁的Windows电脑几乎全线暴露在危险中,当时甚至有业内人士表示,这些工具刚开始几乎“指哪打哪”。
3 此次为何大规模爆发?
总的来说,它可以不经你的同意,直接让你的电脑执行勒索程序,锁定你的电脑,并开始攻击与你在同一个网络里的任何电脑。
一个学校或公司里可能有成百上千台电脑,99%的用户也许不会点击陌生的邮件附件或恶意网页,不过只要有一个人点击并激活勒索病毒,那么这个病毒就会感染他的电脑,启动NSA的大杀器永恒之蓝,入侵与这台电脑有联接的所有电脑。而且永恒之蓝非常强悍,除了Windows 10,其它没有及时打上补丁的windows系统电脑都难以幸免。
4 国内高校为何是重灾区?
由于国内曾多次出现利用445端口传播的蠕虫病毒,部分运营商对个人用户封掉了该端口。但是教育网并无此限制,因此成为黑客攻击的重灾区。
一些安全人员指出,感染似乎是通过在计算机之间传播的蠕虫完成。与其他许多恶意程序不同,这一程序本身就有在网络内自主移动的能力。普通恶意软件依赖人类操作传播,比如代码伪装在附件里欺骗用户进行点击。相比之下,一旦某个组织内的一台电脑被永恒之蓝感染,它将悄无声息地不断感染组织内其他易受攻击的电脑。这也解释了为何永恒之蓝感染多发生在大规模组织中。 宗合
如果想挽回数据 要付什么代价?
本次比特币病毒攻击影响范围包括:Windows XP、Windows 7、Windows 8、Windows Server 2008、Windows Server 2003、Windows Vista、win10。以下设备不受影响:安卓手机、iOS设备、MacOS设备、Linux设备。
花钱解锁可能需要数百到数千美元
一家洛杉矶的医院2月份为了恢复电脑数据,支付了1.7万美元
补救措施
应急处置方法
360强烈建议网络管理员在网络边界的防火墙上阻断445端口的访问,如果边界上有IPS和360天堤智慧防火墙之类设备,请升级设备的检测规则到最新版本并设置相应漏洞攻击的阻断,直到确认网内的电脑已经安装了MS17-010补丁或关闭了Server服务。对于已经感染勒索蠕虫的机器建议隔离处置。
个人电脑应急处置
针对NSA黑客武器利用的Windows系统漏洞,微软在今年3月已发布补丁修复。此前360安全中心也已推出“NSA武器库免疫工具”,能够一键检测修复NSA黑客武器攻击的漏洞;对XP、2003等已经停止更新的系统,免疫工具可以关闭漏洞利用的端口。
电脑已中招怎么办?
专家表示还没有很好的解决办法,而在知乎上有网友表示,交赎金也不一定能解锁,因为全球受感染交赎金的人太多。
防范勒索病毒小贴士:
一是重要文件一定要提前备份;二是要加强安全意识,不明链接不要点,不明文件不要下载,不明邮件不要点开。