勒索软件来势凶猛：数百个国家被“感染”，大学成为重灾区

▲被勒索病毒“感染”的电脑会收到一封“勒索信”，上面写着如果要解锁文件，需要支付等值300美元的比特币。

5月12日以来，我国多所高校遭到网络勒索软件攻击。被攻击电脑上的文件被黑客锁定，弹出界面提示需要支付价值300美元（约合人民币2000元）的“比特币”才能解锁。

新京报（ID：bjnews_xjb）记者了解到，包括山东大学、浙江大学、南昌大学、淮阴理工学院、宁波大学、杭州师范大学等高校在内的多所高校“招人成功”。清华大学、复旦大学等高校相继发布防范信息，提醒学生不要点击未知链接和安装杀毒软件。

▲复旦大学发布预警信息。

病毒攻击不仅限于我国和大学。据国家网络和信息安全信息通报中心消息：5月12日20时许，新型“蠕虫”勒索病毒爆发。目前，已有100多个国家和地区的数万台电脑被勒索软件感染。

今天下午，公安部网络安全局的一名工作人员表示，他已经关注此事，并已开始调查。目前，尚未收到有关该病毒事件的报告。建议网友使用一些网络安全工具对自己的个人电脑进行检查，同时加强防范，防止中毒造成损失。

大学宿舍电脑收到“勒索信”

昨天下午6:00左右，南昌大学大三学生李敏（化名）打开电脑收到室友帮忙改格式的论文时，发现网络很卡，存盘很慢，屏幕甚至黑了半分钟。

“随后，电脑屏幕上突然出现了一张勒索字条，可以选择中文、韩文、日文、英文等。大致内容是，如果要解锁该文件，需要支付等值300美元的比特币。 " 李敏说，现在他的大部分文件都打不开，包括双学位毕业论文、答辩ppt，还有一些记录信息的图片。

另外，我的三个同学也遇到过这种情况。

该校新川学院三年级学生张红丽回忆，她昨晚10点登录学校移动网络下载论文，发现自己的电脑中毒了。

“当时C盘的文件扩展名被改了，我的第一反应就是把还完好无损的文件用硬盘拷贝过来，没想到备份硬盘也中毒了。” 她说，安装了微软补丁后，就没有用了。“电脑和备份硬盘的照片都被绑架了，希望尽快找到解决办法，实在没办法，只能重装系统了。”

新京报（ID：bjnews_xjb）记者了解到，从昨天下午开始，清华大学、复旦大学、浙江大学、山东大学等高校的校园网络相继遭到病毒入侵。学生们连上校园网后，电脑上的部分文件被锁定，部分黑客留下联系方式，称必须支付比特币才能恢复文件。

▲山东大学发布预警信息。

“昨晚，病毒侵入了校园及附近社区的电子阅览室，当时有学生正在链接校园网查询论文资料，电脑和U盘中的文件突然被锁定。” 一位山东大学同学介绍，界面出现红色对话框，黑客留下联系方式，要求用比特币支付，提供解密服务。如果超过三天不付款，价格就会上涨。

淮阴理工学院的一名学生说，他在写毕业论文时，电脑突然弹出一个窗口，后来论文和CNKI下载的文件都无法阅读了。他尝试去淘宝购买维修服务，被告知“最近勒索病毒猖獗，我们店的询盘暴增”。因为修复价格太高，他最终选择了改写论文。

清华大学早在4月15日就发布了通知，为防止校园网内部主机受到外部攻击，校园网出口在TCP端口139、445、被封锁@>3389。今天，再次发布紧急通知，称多所高校疫情形势严峻。由于此前的取缔措施，最近两次全球范围内的大规模网络安全疫情并未对校园网和用户造成大范围的破坏。

加油站不能在线支付

除了高校，不少网友还表示，如今全国多地加油站加油时，无法进行网上支付，只能使用现金。

今天下午，中石油（华为南路加油站）工作人员表示，由于中石油网络出现问题，只能使用现金和加油卡消费，加油卡无法使用充值存款功能。

中石油在北京的左安路加油站也遇到了同样的情况。工作人员说凌晨1点以后网络出现问题。早上接到通知，说集团公司出现网络故障，正在紧急抢修，但对方表示具体原因不详。

中国石油辽阳石化分公司一位不愿透露姓名的工作人员向新京报记者透露，他接到集团公司信息安全中心的通知，从12日晚间开始，针对Windows操作系统的勒索病毒陆续出现。 , 中毒计算机// 服务器的文件被加密，并出现勒索要求屏幕。目前，公司网络和系统暂时停运。如果发现计算机感染了病毒，应立即关闭计算机，拔掉网线，并报告情况。公司网络恢复时间另行通知。

据媒体报道，中石油相关负责人表示，目前公司加油站的加油业务和现金支付业务运行正常，但无法使用第三方支付，疑似被攻击被病毒。

数百个国家和地区被“感染”

病毒袭击不仅限于我国。今日，国家网络与信息安全信息通报中心紧急通报：5月12日20时许，新型“蠕虫”勒索病毒爆发。目前，已有100多个国家和地区的数万台电脑被勒索软件感染。

今天凌晨，微博“关于英国的事”发文称，一个多小时前，英国16家医院遭到大规模网络攻击。医院内网被入侵，电脑被锁，手机无法连接。黑客要求每家医院支付 300 比特币的赎金收到中文比特币勒索邮件，否则所有数据都将被删除。这16家机构已基本切断对外联系，内部恢复使用纸笔开展应急预案。英国国家网络安全局正在调查。

根据腾讯安全部门向新京报提供的数据，初步统计显示，“蠕虫”已经影响了大约一百个国家的学校、医院、机场、银行、加油站等设备，使得这些设备上的所有文件. 加密，损失惨重。

IT之家表示，目前感染地区主要集中在中国中部和东南沿海地区、欧洲大陆、美国五大湖地区。中国和欧洲大陆受到的打击最为严重。

▲浙江大学发布预警信息。

秘密1 罪魁祸首是“永恒之蓝”病毒

今天上午，360董事长周鸿祎发推文称，校园网勒索病毒是由美国国家安全局泄露的“永恒之蓝”黑客武器传播的。《永恒之蓝》可以远程攻击Windows 445端口（文件共享）。如果系统没有安装今年3月的微软补丁，则无需用户操作。只要打开电脑，打开互联网，《永恒之蓝》就可以执行电脑中的任何代码。，植入勒索软件等恶意程序。

据国家互联网应急中心称收到中文比特币勒索邮件，已开始监测勒索软件及相关网络攻击。13日9时30分至12时00分，国内外约101.10000个IP地址被“永恒之蓝”SMB攻击漏洞攻击工具攻击企图超过9300次，包括IP攻击企图的地址（包括攻击企图的主机地址和可能被蠕虫感染的主机地址）。

该中心连续发布两份报告，称该勒索软件利用此前披露的Windows SMB服务漏洞攻击方式，向终端用户渗透传播，勒索比特币或其他贵重物品。国内众多用户，包括高校、能源等重要信息系统遭到攻击，对我国互联网构成严重安全威胁。

根据样本情况和分析结果，该勒索软件基于445端口，在传播时利用了SMB服务漏洞。一般可以判断为“影子经纪人”此前披露的漏洞攻击工具造成的后续黑品攻击威胁。

当用户的主机系统被勒索软件入侵时，会弹出勒索软件对话框，提示勒索的目的并索要比特币。对于用户主机上的重要文件，如：照片、图片、文档、压缩包、音频、视频、可执行程序等几乎所有类型的文件，加密后的文件后缀统一修改为“.WNCRY”。

据《纽约时报》报道，黑客从周五开始使用从美国国家安全局窃取的恶意软件进行毁灭性的网络攻击。该攻击似乎是迄今为止最广泛的勒索软件攻击，其损害是无法估量的。

该软件被认为是 NSA 网络武器库的一部分。

去年夏天，一个名为“影子经纪人”的组织开始披露美国政府的黑客武器。美国政府尚未承认影子经纪人的武器属于美国国家安全局，但前情报官员表示，它们来自该机构的“量身定制的行动”部门，该部门渗透到外国计算机网络中。

▲ 被勒索病毒“感染”的电脑桌面。

揭秘2“勒索软件”有什么特点？

腾讯安全专家指出，此次病毒爆发实际上是蠕虫攻击，威力与当年的Conficker相同。一旦蠕虫攻击并进入用户可以连接公网的机器，它会利用EnternalBlue内置的攻击代码自动搜索内网开放445端口的机器进行渗透。一旦发现内网有漏洞的机器，它不仅会继续传播内置漏洞扫描的蠕虫病毒，还会传播勒索病毒，导致用户机器上的所有文档都被加密。

根据 360 提供的数据，ONION 病毒最早出现在中国，平均每小时攻击 200 次左右，夜间高峰时每小时超过 1000 次；WNCRY勒索软件是5月12日下午的全球性新攻击，在中国校园网迅速蔓延，夜间高峰时每小时攻击约4000次。

360安全卫士专家指出，“永恒之蓝”勒索病毒主要基于ONION和WNCRY家族，受害机器的磁盘文件会被篡改相应后缀。无法正常打开，只有支付赎金才能恢复解密。对于这两类勒索软件，勒索金额分别为5个比特币和300美元，折合人民币5万余元和2000余元。

秘密3 为什么高校成为“重灾区”？

国家互联网应急中心发布公告称，此次攻击主要针对445端口。互联网上暴露于445端口（端口开放）的主机IP超过900万，主机IP超过300万在中国大陆。

中国高等教育学会教育信息化分会网络信息安全工作组（简称安全工作组）也发表声明称，经初步调查，该类勒索软件利用了基于445端口传输的SMB漏洞，蔓延，部分学校出现大量感染单位。大量重要信息被加密，恢复的文件只有支付高额比特币赎金才能解密，造成严重损失。

中国信息安全研究院副院长左晓东表示，由于国内445端口传播的蠕虫病毒屡屡发生，部分运营商针对个人用户封锁了445端口。但是教育网没有这个限制，而且有大量机器暴露了445端口，因此成为了不法分子使用NSA黑客武器的重灾区。

杭州安恒信息科技有限公司创始人兼总裁范远表示，一些特定的行业网络因为445端口没有限制，已经成为“重灾区”，所以这次攻击变成了有效的攻击，影响了很多人。学校和一小部分医疗保健。机制。

“可以通过更新微软发布的补丁来预防，但对于被攻击的用户来说，仍然是一个需要解决的问题，我们还在思考对策。” 范远介绍，前段时间检测到零星的勒索病毒，可能大部分单位都会关注这个问题。不够重视。

公司受到袭击后，已配合有关单位迅速处理，今天凌晨关闭了港口。它表示，今后要提前做好相关防范工作，不断提高网络安全意识。同时，要不断加强主动预测判断，引起足够警惕。

预防措施！防御勒索软件的 6 个步骤

安全工作组提出两个个人预防措施： 如何处理未升级的操作系统（不推荐，临时缓解）：启用并打开“Windows 防火墙”，进入“高级设置”，在入站规则中禁用“文件和打印机共享”相关规则；如何升级操作系统（推荐）：建议师生使用自动更新升级到最新版本的Windows。

对于学校等单位，安全工作组建议，在边境出口交换路由设备处，禁止外网接入校园网135/137/139/445端口，同时校园网核心骨干交换和路由设备。445端口连接。

腾讯安全专家指出，目前微软已紧急发布针对XP、win8、Windows server2003等此前不支持的系统的补丁。通过之前的补丁，微软已经支持所有主流系统的补丁。建议用户使用电脑管家修复补丁，开启管家防御。

国家互联网应急中心建议用户及时更新Windows发布的安全补丁，同时做好网络边界、内网区域、主机资产、数据备份等工作：

1、关闭445等端口（其他关联端口如：135、@>137、139）用于外网访问，关闭服务器上不必要的服务端口；

2、加强对445等端口的内网区域访问审计，及时发现未经授权的行为或潜在的攻击行为；

3、及时更新操作系统补丁；

4、及时安装和更新杀毒软件；

5、不要轻易打开来历不明的邮件；

6、定期将信息系统业务和个人数据备份到不同的存储介质上。

注意力！比特币“躺枪”，交易需谨慎

由于病毒爆发需要受害者支付比特币来解锁电脑，该病毒被一些媒体称为“比特币病毒”。

对此，国内某知名比特币公司微博名为“超级比特币”的高管认为，比特币不是病毒。

这位高管告诉新京报（ID：bjnews_xjb）记者，比特币不是病毒，也不是病毒的温床，无论从字面意义上还是实际意义上，计算机病毒的温床都是存在安全漏洞的Windows系统。他希望能尽快将这起事件背后的黑客绳之以法，比特币“不应该被利用，也不应该受到指责”。

他提醒网友，由于他没有亲自测试，所以不知道被病毒攻击的电脑在支付比特币后是否能解封。目前国内很多比特币交易所都无法提现比特币。网友如果想购买比特币支付赎金解封电脑，需要选择可以提现比特币的交易所，否则会遭受第二次损失。

但并不是每个人都认为比特币是“无辜的”。一位从事金融工作的知乎网友表示，“我一直对比特币非常抗拒。” 他认为，这种货币没有信用支持，“还滋生了一大群骗子”。对于此次事件中洗钱、索要“赎金”的人来说，比特币“真的好用”，希望政府能加强对比特币的监管。

新京报记者 王静仪 沙露 赵磊 曾金秋 实习生 刘景宇