比特币勒索病毒大规模爆发变种！ 勒索病毒带来的影响及防范方法

　　一场规模空前的病毒攻击事件在刚过去的这个周末突然出现，全球150多个国家沦陷。中国也有近3万家机构有计算机遭受影响，国内众多高校也纷纷中招。黑客则通过锁定电脑文件来勒索用户交赎金，而且只收比特币。

　　什么是“勒索”病毒？

　　据360安全中心分析，此次校园网勒索病毒是由NSA泄漏的“永恒之蓝”黑客武器传播的。“永恒之蓝”可远程攻击Windows的445端口（文件共享），如果系统没有安装今年3月的微软补丁，无需用户任何操作，只要开机上网，“永恒之蓝”就能在电脑里执行任意代码，植入勒索病毒等恶意程序。

　　目前，“永恒之蓝”传播的勒索病毒以ONION和WNCRY两个家族为主，受害机器的磁盘文件会被篡改为相应的后缀，图片、文档、视频、压缩包等各类资料都无法正常打开，只有支付赎金才能解密恢复。这两类勒索病毒，勒索金额分别是5个比特币和300美元，折合人民币分别为5万多元和2000多元。

　　

　　勒索病毒已经出现新变种

　　14日，国家网络与信息安全通报中心紧急通报：监测发现，在全球范围内爆发的WannaCry勒索病毒出现了变种：WannaCry 2.0， 与之前版本的不同是，这个变种不能通过注册某个域名来关闭变种勒索病毒的传播，该变种传播速度可能会更快。

　　对于变种病毒的防范方法，专家说，“变种之前和变种之后的防护方法其实大同小异，最重要的是针对用户的电脑打补丁，把漏洞修补。政府和企业用户，不仅仅要解决单台电脑的问题，还要通过网络策略的配置，来解决病毒的快速传播问题。一旦一台电脑中毒，要把病毒控制在一台电脑当中做隔离，这时候就需要通过网络的手段来控制病毒的快速传播。”

　　突发全球爆发勒索病毒，对主机破坏严重

　　据国家互联网应急中心介绍，“WannaCry”病毒属于蠕虫式勒索软件，通过利用编号为MS17-010的Windows漏洞（被称为“永恒之蓝”）主动传播感染受害者。截至14日10时30分，国家互联网应急中心已监测到约242.3万个IP地址遭受“永恒之蓝”漏洞攻击；被该勒索软件感染的IP地址数量近3.5万个，其中中国境内IP约1.8万个。

　　“被该勒索软件入侵后，用户主机系统内的照片、图片、文档、压缩包、音频、视频、可执行程序等几乎所有类型的文件都将被加密，加密文件的后缀名被统一修改为 .WNCRY ，并会在桌面弹出勒索对话框，要求受害者支付价值数百美元的比特币到攻击者的比特币钱包，且赎金金额还会随着时间的推移而增加。”国家互联网应急中心博士、工程师韩志辉表示，目前，安全业界暂未能有效破除该勒索软件的恶意加密行为，用户主机一旦被勒索软件渗透，只能通过专杀工具或重装操作系统的方式来清除勒索软件，但用户重要数据文件不能完全恢复。

　　国家互联网应急中心博士、高级工程师高胜表示，该勒索软件对于企业局域网或内网的主机系统破坏性尤其严重。“由于大量内网主机没有及时更新补丁或使用XP系统，因此一旦有一台主机被感染，将造成网内大规模扩散。”

　　病毒出现2.0变种　微软发布补丁修复漏洞

　　昨天下午，北京市网信办、市公安局、市经信委联合发布通知称，有关部门监测发现，WannaCry勒索蠕虫出现变种WannaCry 2.0，建议立即进行关注和处置。

　　变种WannaCry 2.0与之前版本的不同是，这个变种取消了所谓的“Kill Switch”，不能通过注册某个域名来关闭变种勒索蠕虫的传播。该变种的传播速度可能会更快，该变种的有关处置方法与之前版本相同，建议立即进行关注和处置。

　　通知称，目前微软已发布补丁MS17-010修复了“永恒之蓝”攻击的系统漏洞，请尽快为电脑安装此补丁；对于XP、2003等微软已不再提供安全更新的机器，建议升级操作系统版本，或关闭受到漏洞影响的端口，可以避免遭到勒索软件等病毒的侵害。

　　通知还建议，一旦发现中毒机器，立即断网。严格禁止使用U盘、移动硬盘等可执行摆渡攻击的设备。尽快备份自己电脑中的重要文件资料到存储设备上。及时更新操作系统和应用程序到最新的版本。

　　中石油加油站受波及 超8成恢复第三方支付

　　从上周六开始，全国多地的中石油加油站无法进行网络支付，只能进行现金支付。中石油昨天确认，公司部分电脑受到比特币勒索病毒爆发的影响。

　　昨天下午，中石油官方微博发布消息称，5月12日22:30左右，因全球比特币勒索病毒爆发，公司所属部分加油站正常运行受到波及。病毒导致加油站加油卡、银行卡、第三方支付等网络支付功能无法使用，加油及销售等基本业务运行正常，加油卡账户资金安全不受影响。

　　5月13日1时，为确保用户数据安全和防止病毒扩散，公司紧急中断所有加油站上连网络端口，并会同有关网络安全专家连夜开展处置工作，全面排查风险，制定技术解决方案。

　　13日13时，根据现场验证过的技术解决方案，开始逐站实施恢复工作。截至14日12时，公司80%以上加油站已经恢复网络连接，受病毒感染的加油站正在陆续恢复加油卡、银行卡、第三方支付功能。

　　据悉，病毒是全国性的，疑似通过校园网传播，十分迅速。目前贺州学院、桂林电子科技大学、桂林航天工业学院、宁波大学，浙江中医药大学、浙江工商大学、浙江理工大学、大连海事大学、山东大学等众多高校都受到了病毒攻击。

　　

　　中石油2万座加油站断网

　　同样受影响的还有中国石油加油站。14日，中国石油在其官网中发布公告称，5月12日22点30分左右，因全球比特币勒索病毒爆发，公司所属部分加油站正常运行受到波及。病毒导致加油站加油卡、银行卡、第三方支付等网络支付功能无法使用。不过，加油及销售等基本业务运行正常，加油卡账户资金安全不受影响。

　　中国石油14日下午表示，根据现场验证过的技术解决方案，开始逐站实施恢复工作。80%以上加油站已经恢复网络连接，受病毒感染的加油站正在陆续恢复加油卡、银行卡、第三方支付功能。

　　清华提前1个月屏蔽Windows漏洞

　　昨天下午，记者从北京多所高校了解到，在勒索病毒爆发后，包括清华、北大、人大、北师大、语言大学、北航、北邮、北工大、北化工等都采取了紧急措施，学校校园网在网络出口和各楼宇主要网络设备上均部署了对应的防护策略，并提示学生为计算机安装最新的安全补丁等。

　　清华大学相关部门5月13日发布通知称，勒索病毒利用的漏洞正是4月份爆出的“永恒之蓝”漏洞，由于清华4月15日紧急在校园网出口屏蔽了存在漏洞的多个Windows通信端口，最近的两次全球大规模网络安全疫情均未大面积危害清华网络和校园网用户。但由于本次爆发的勒索病毒正在以蠕虫方式传播，一旦有师生在校外感染此病毒，将可能导致疫情蔓延校内。为避免广大师生遭受病毒危害，学校将继续在校园网边界加强防范。

　　人民大学网络中心表示，已紧急关闭了相关端口，为学校网络设置了第一道防线，目前校内未发生感染案例。

　　谁是病毒的幕后“元凶”？

　　欧洲刑警组织13日在声明中表示，这波勒索病毒网络攻击在全球各地酿成严重的灾情“前所未有”，他们将展开深入调查找出凶手。

　　韦恩莱特说，欧洲刑警组织和其他警察机构还不知道谁是幕后元凶，他们的第一个假设是这是刑事案子，目前正朝这个方向调查。

　　今年3月，“维基揭秘”网站披露了一批据称是来自美国中情局的黑客工具，批评中情局对其黑客武器库已经失控，其中大部分工具“似乎正在前美国政府的黑客与承包商中未被授权地传播”，存在“极大的扩散风险”。

　　教你如何免遭勒索病毒之害

　　1、下载NSA武器库免疫工具： http://dl.360safe.com/nsa/nsatool.exe

　　2、使用防病毒程序，不断更新软件补丁。

　　3、对电子邮件、网站和应用保持警惕：在打开不知名的电子邮件或浏览他们不熟悉的网站时，应保持警惕，千万不要下载未经官方商店认证的应用。

　　4、注意个人手机安全，安装手机杀毒软件，从可靠安全的手机市场下载手机应用程序。

　　5、做好个人重要备份。个人的科研数据、工作文档、照片等，根据其重要程度，定期备份到移动存储介质、知名网盘或其他计算机中。