【网热点】当心！勒索病毒虐"哭"全球 如何避免电脑被“绑架”?

千龙网综合报道 今天上班，估计大多数人打开电脑的时候，会惴惴不安，生怕中了“头彩”，收到一条名为“想哭”（WannaCry）的勒索软件发来的“赎金”通知单。

如果中招了，那可真是欲哭无泪了！因为电脑被这种勒索病毒感染后，其中文件会被加密锁住，支付黑客所要求赎金后才能解密恢复。据悉，勒索金额最高达5个比特币，目前价值人民币5万多元。

这个令人闻风丧胆的WannaCry病毒，属于蠕虫式勒索软件，通过利用编号为MS17－010的Windows漏洞（被称为“永恒之蓝”）主动传播感染受害者。自5月12日以来，由它发起的一次迄今为止最大规模的勒索病毒网络攻击席卷全球。目前至少有150个国家受到网络攻击，国内多所高校及多家单位也遭攻击，未来还可能进一步升级。

那么，勒索病毒从何处来？爆发原因是什么，有什么危害，如何应对？

什么是勒索软件？

美国加利福尼亚大学教授约翰.比利亚塞尼奥尔介绍，勒索软件是一种恶意软件，通过对电脑上的文件进行某种形式的加密操作，使用户无法打开文件，随后向用户发出勒索通知。

病毒从何而来？

病毒发行者利用了去年被盗的美国国家安全局（NSA）自主设计的Windows系统黑客工具Eternal Blue，将2017年2月的一款勒索病毒升级。被感染的Windows用户必须在7天内交纳比特币作为赎金，否则电脑数据将被全部删除且无法修复。勒索病毒要求用户在被感染后的三天内交纳相当于300美元的比特币，三天后“赎金”将翻倍。英国NHS官方宣布，袭击该系统的勒索病毒叫做WannaCry（想哭吗）或Wanna Decryptor（想解锁吗）。

你的电脑如何“中招”？

电脑用户往往会收到一封经过伪装的电子邮件，例如有关招聘信息、购货清单等。一旦点击相关链接或打开附件，就会感染该病毒，导致电脑文件被黑客锁住。

当用户主机系统被该勒索软件入侵后，弹出如下勒索对话框，提示勒索目的并向用户索要比特币。而对于用户主机上的重要文件，如：照片、图片、文档、压缩包、音频、视频、可执行程序等几乎所有类型的文件，都被加密的文件后缀名被统一修改为“.WNCRY”。目前，安全业界暂未能有效破除该勒索软的恶意加密行为，用户主机一旦被勒索软件渗透，只能通过重装操作系统的方式来解除勒索行为，但用户重要数据文件不能直接恢复。

勒索软件界面图

用户文件被加密

如何防范勒索病毒？

5月13日下午消息，国家网络与信息安全信息通报中心紧急通报，呼吁广大计算机用户尽快升级安装补丁，地址为：https：//technet.microsoft.com/zh-cn/library/security/MS17-010.aspx。Windows 2003和XP没有官方补丁，相关用户可打开并启用Windows防火墙，进入“高级设置”，禁用“文件和打印机共享”设置；或启用个人防火墙关闭445以及135、137、138、139等高风险端口。

已感染病毒机器请立即断网，避免进一步传播感染。

恶意勒索

据捷克网络安全企业爱维士公司统计，全球99个国家和地区12日共遭遇超过7.5万次电脑病毒攻击，其中俄罗斯、乌克兰等国遇袭尤其严重。

这款病毒名为“想哭”，属于一种勒索软件。电脑用户会收到一封电子邮件，往往是打着工作邀约、发货清单、安全警告等“幌子”，但一旦打开相关链接，就会导致电脑中招。

该勒索软件随即会对电脑储存的文件进行加密，使用户无法打开。电脑屏幕上弹出警告语：“你或许会试图夺回文件，还是别浪费时间了！”

接着，电脑提示用户在规定期限内支付300美元赎金，便可恢复电脑资料；每耽搁数小时，赎金额度就会上涨一些。

据俄罗斯卡巴斯基实验室研究员库尔特·鲍姆加特纳观察：“在支付赎金的用户中，多数人在最初几小时内就乖乖掏出300美元。”

多国遭殃

据Splunk网络安全公司主管里奇·巴杰描述，“这是全球迄今最大的勒索软件攻击事件之一”。

卡巴斯基全球研究和分析团队表示，俄罗斯所受攻击远远超过其他受害者，而中国大陆和台湾地区也受到较多攻击。

英国公共卫生体系国民保健制度的服务系统12日被病毒入侵后，多家医院电脑瘫痪，不得不停止接待病人，一些救护车等医疗服务也受影响。英国首相特雷莎·梅当天说，英国国家网络安全中心正与国民保健制度联手应对这次危机。

西班牙、葡萄牙、阿根廷等多国电信企业，以及美国联邦快递公司均受这款病毒侵袭。

俄罗斯内务部、梅加丰电信公司遭遇同种病毒攻击，据信已控制住病毒扩散规模。俄罗斯国际文传电讯社援引俄内务部发言人伊琳娜·沃尔克的话报道，俄内务部大约1000台电脑被感染，不到该部门电脑总数的1%。另一名消息人士称，俄政府文件未在此次攻击中泄密。

美国挨批

目前，尚未有黑客组织认领这次袭击。但业界人士的共识是，这款“想哭”病毒来源于美国国安局的病毒武器库。上个月，美国国安局遭遇泄密事件，其研发的病毒武器库被曝光于网上。不少网络安全专家指责，美国斥巨资研发黑客攻击工具、而非自卫机制，结果造成全球网络环境“更不安全”。

路透社援引美国联邦政府公布的数据以及情报部门官员的话报道，美国网络项目开支中，90%用于研发黑客攻击武器，例如侵入“敌人”的电脑网络、监听民众、设法让基础设施瘫痪或受阻等。

得知最新攻击事件后，“棱镜”监听项目曝光者、美国前防务承包商雇员爱德华·斯诺登12日发推文说，“尽管多次被警告，（美国国安局）仍然研制了危险的攻击工具。今天，我们见到代价……医院里的病人生命受到威胁”。

面对外界批评，美国国安局尚未作出回应。美国国土安全部计算机紧急应对小组表示，正密切关注这起波及全球的黑客攻击事件。

【国内情况】

校园网成勒索病毒重灾区

国内方面，校园网成勒索病毒肆虐之所。5月12日晚间20点左右，国内部分高校学生反映电脑被病毒攻击，文档被加密。攻击者称需支付比特币解锁。目前受影响的有贺州学院、桂林电子科技大学、桂林航天工业学院、大连海事大学、山东大学等。正直毕业季，北辰提醒广大学子及时备份毕业论文，升级电脑安全等级，避免遭受损失。

据360安全中心分析，此次校园网勒索病毒是由NSA泄漏的“永恒之蓝”黑客武器传播的。“永恒之蓝”可远程攻击Windows的445端口（文件共享），如果系统没有安装今年3月的微软补丁，无需用户任何操作，只要开机上网，“永恒之蓝”就能在电脑里执行任意代码，植入勒索病毒等恶意程序。

360针对校园网勒索病毒事件的监测数据显示，国内首先出现的是ONION病毒，平均每小时攻击约200次，夜间高峰期达到每小时1000多次；WNCRY勒索病毒则是5月12日下午新出现的全球性攻击，并在中国的校园网迅速扩散，夜间高峰期每小时攻击约4000次。

由于国内曾多次出现利用445端口传播的蠕虫病毒，部分运营商对个人用户封掉了445端口。但是教育网并无此限制，存在大量暴露着445端口的机器，因此成为不法分子使用NSA黑客武器攻击的重灾区。正值高校毕业季，勒索病毒已造成一些应届毕业生的论文被加密篡改，直接影响到毕业答辩。

目前，“永恒之蓝”传播的勒索病毒以ONION和WNCRY两个家族为主，受害机器的磁盘文件会被篡改为相应的后缀，图片、文档、视频、压缩包等各类资料都无法正常打开，只有支付赎金才能解密恢复。

多家单位遭病毒攻击

5月12日晚，WannaCry勒索病毒在全球多个国家蔓延，国内多所高校的网络遭受到勒索病毒的攻击，大量学生毕业论文等重要资料被病毒加密，只有支付赎金才能恢复。

记者了解到，受到该病毒影响的不仅仅是校园网，还包括部分企事业单位。

据一名中国联通郑州分公司的工作人员称，5月14日，因为受到比特币勒索病毒的影响，单位电脑全部瘫痪。

5月13日，响水公安局出入境办事处发布消息称，因公安网遭遇新型病毒攻击，暂时停办出入境业务，具体恢复时间等待通知。

“弄了一宿，数据也没有恢复过来。”昨天，山东的一名民警告诉记者，受到勒索病毒影响，单位存储资料的电脑被锁定，学习计算机专业的他最终也只能束手无策。

中石油部分加油站受影响

同样受影响的还有中国石油加油站。昨日，中国石油在其官网中发布公告称，5月12日22点30分左右，因全球比特币勒索病毒爆发，公司所属部分加油站正常运行受到波及。病毒导致加油站加油卡、银行卡、第三方支付等网络支付功能无法使用。不过，加油及销售等基本业务运行正常，加油卡账户资金安全不受影响。

昨日下午，记者与北京地区五个中国石油加油站取得了联系。

其中中国石油首汽12号加油站的工作人员表示，13日起，因为受到新型病毒的影响，加油站的手机支付、加油卡支付等多种支付方式均受到影响，虽然上午进行了紧急抢修，但仍存在网络不稳定的情况。中国石油国门加油站的工作人员告诉北青报记者，截至下午4点，国门加油站仍只接受现金支付或国门加油站的加油卡支付费用。

中国石油昨天下午表示，根据现场验证过的技术解决方案，开始逐站实施恢复工作。80％以上加油站已经恢复网络连接，受病毒感染的加油站正在陆续恢复加油卡、银行卡、第三方支付功能。

中国石油大湖山庄西南、中国石油东鹏加油站、中国石油京顺加油站的工作人员告诉北青报记者，已经在中午前恢复了手机支付和加油卡支付的功能。

【事件进展】

病毒传播一度被意外拦阻

来自英国的消息似乎为战胜勒索病毒带来了一丝希望。

英国媒体13日报道，一名22岁的英国网络工程师12日晚注意到，这一勒索病毒正不断尝试进入一个极其特殊、尚不存在的网址，于是他顺手花8.5英镑（约合75元人民币）注册了这个域名，试图借此网址获取勒索病毒的相关数据。

令人不可思议的是，此后勒索病毒在全球的进一步蔓延竟然得到了阻拦。

这名工程师和同事分析，这个奇怪的网址很可能是勒索病毒开发者为避免被网络安全人员捕获所设定的“检查站”，而注册网址的行为无意触发了程序自带的“自杀开关”。

也就是说，勒索病毒在每次发作前都要访问这个不存在的网址，如果网址继续不存在，说明勒索病毒尚未引起安全人员注意，可以继续在网络上畅行无阻；而一旦网址存在，意味着病毒有被拦截并分析的可能。

在这种情况下，为避免被网络安全人员获得更多数据甚至反过来加以控制，勒索病毒会停止传播。

勒索病毒已经出现新变种

意外拦阻勒索病毒的英国网络工程师和一些网络安全专家都表示，这种方法目前只是暂时阻止了勒索病毒的进一步发作和传播，但帮不了那些勒索病毒已经发作的用户，也并非彻底破解这种勒索病毒。

他们推测，新版本的勒索病毒很可能不带这种“自杀开关”而卷土重来。这种推测果然很快成为现实。

昨天国家网络与信息安全信息通报中心紧急通报：监测发现，在全球范围内爆发的WannaCry勒索病毒出现了变种：WannaCry2.0，与之前版本的不同是，这个变种不能通过注册某个域名来关闭变种勒索病毒的传播，该变种传播速度可能会更快。

北京市委网信办、北京市公安局、北京市经信委也联合发出《关于WannaCry勒索蠕虫出现变种及处置工作建议的通知》。

该通知要求各单位立即组织内网检测，一旦发现中毒机器，立即断网处置，严格禁止使用U盘、移动硬盘等可执行摆渡攻击的设备。《通知》称，目前看来对硬盘格式化可清除病毒。

欧盟刑警组织下属的欧洲网络犯罪中心13日表示，此次勒索病毒攻击的规模之大前所未有，需要通过复杂的国际调查寻找犯罪嫌疑人，欧盟刑警组织已和多国合作对此次攻击展开调查。

美国加利福尼亚大学洛杉矶分校计算机科学和网络安全教授彼得?赖海尔提醒，应及时更新电脑操作系统，尤其是安装安全补丁。

【勒索病毒应急处理须知】

一、病毒影响范围

MS17-010漏洞主要影响以下操作系统：Windows 2000，Windows 2003，Windows2008，Windows2012，Windows XP，Windows Vista，Windows7，Windows8，Windows10。

二、应急解决方案

对于未开机或未被感染的计算机：

第一步：断开网络（拔掉网线）；

第二步：使用U盘或光盘自带的PE系统启动电脑，将计算机中所有重要文件（尤其文档、图片、照片、压缩包、音频、视频等）备份到移动存储设备上。

第三步：开启系统防火墙，并利用系统防火墙高级设置阻止向445端口进行连接。

第四步：对系统进行ms17010、ms10061、ms14068、ms08067、ms09050补丁更新。

三、启动防火墙及阻止445端口处理流程

Win7、Win8、Win10的处理流程：

1、打开控制面板-系统与安全-Windows防火墙，点击左侧启动或关闭Windows防火墙。

2、选择启动防火墙，并点击确定。

3、点击高级设置。

4、点击入、出站规则，新建规则。

5、选择端口，下一步。

6、选择阻止连接，下一步。

7、特定本地端口，输入445，下一步。

8、配置文件，全选，下一步。

9、名称，可以任意输入，完成即可。

XP系统的处理流程：

1、依次打开控制面板，安全中心，Windows防火墙，选择启用

2、点击开始，运行，输入cmd，确定执行下面三条命令

net stop rdr

net stop srv

net stop netbt

四、如何分辨是否中毒：

当系统被该勒索软件入侵后，会弹出勒索对话框：

或在桌面及各个文件夹内出现以下文件：

所有被感染文件以“.WNCRY”为后缀：

该病毒目前没有专杀工具，加密文件无法暴力破解。如不幸感染病毒，系统中有重要文件的请等待解密工具，没有重要文件的可以选择格式化全盘并重做系统。

该勒索软件采用包括英语、简体中文、繁体中文等28种语言进行“本地化”。会将自身复制到每个文件夹下，并重命名为“@WanaDecryptor@.exe”。同时衍生大量语言配置等文件，该勒索软件AES和RSA加密算法，加密的文件以“WANACRY!”开头，加密如下后缀名的文件：

【应对措施】

6步骤抵御“勒索病毒”

安全工作组提出两条预防措施：未升级操作系统的处理方式(不推荐，临时缓解)：启用并打开“Windows防火墙”，进入“高级设置”，在入站规则里禁用“文件和打印机共享”相关规则；升级操作系统的处理方式(推荐)：建议使用自动更新升级到Windows的最新版本。

对于学校等单位，建议在边界出口交换路由设备禁止外网对校园网135/137/139/445端口的连接，同时，在校园网络核心主干交换路由设备禁止上述端口的连接。

腾讯公司的安全专家指出，微软已支持所有主流系统的补丁，建议用户使用电脑管家修补补丁，开启管家进行防御。

针对NSA黑客武器利用的Windows系统漏洞，微软在今年3月已发布补丁修复。此前360安全中心也已推出“NSA武器库免疫工具”，(NSA武器库免疫工具：http://dl.360safe.com/nsa/nsatool.exe)免疫工具可以关闭漏洞利用的端口，防止电脑被NSA黑客武器植入勒索病毒等恶意程序。建议电脑用户尽快使用360“NSA武器库免疫工具”进行防御。

国家互联网应急中心建议，用户及时更新Windows已发布的安全补丁更新，地址为：https：//technet.microsoft.com/zh-cn/library/security/MS17-010.aspx。Windows 2003和XP没有官方补丁，相关用户可打开并启用Windows防火墙，进入“高级设置”，禁用“文件和打印机共享”设置；或启用个人防火墙关闭445以及135、137、138、139等高风险端口。已感染病毒机器请立即断网，避免进一步传播感染。

在升级安装补丁的同时做好如下工作：

1.关闭445等端口(其他关联端口如135、137、139)的外部网络访问权限，在服务器上关闭不必要的上述服务端口；

2.加强对445等端口的内部网络区域访问审计，及时发现非授权行为或潜在的攻击行为；

3.及时更新操作系统补丁；

4.安装并及时更新杀毒软件；

5.不要轻易打开来源不明的电子邮件；

6.定期在不同的存储介质上备份信息系统业务和个人数据。

【首度回应】

中央网信办：“蠕虫”式勒索软件传播速度放缓

5月15日，千龙网记者就“蠕虫”式勒索软件攻击事件采访了中央网信办网络安全协调局负责人。

据该负责人介绍，5月12日起，一款勒索软件在全球较大范围内传播，感染了包括医院、教育、能源、通信、制造业等以及政府部门在内的多个领域，我国一些行业和政府部门的计算机也受到了感染，造成了一定影响。事件发生后，公安、工信、教育、银行、网信等有关部门都立即做了部署，对防范工作提出了要求。奇虎360、腾讯、安天、金山安全、安恒、远望等相关企业迅速开展研究，主动提供安全服务和防范工具。各相关媒体做了大量报道，对提高全社会的防范意识、遏制勒索软件发挥了重要作用。目前，该勒索软件还在传播，但传播速度已经明显放缓。

该负责人表示，几天来应对该勒索软件的实践表明，对广大用户而言最有效的应对措施是要安装安全防护软件，及时升级安全补丁，即使是与互联网不直接相连的内网计算机也应考虑安装和升级安全补丁。作为单位的系统管理技术人员，还可以采取关闭该勒索软件使用的端口和网络服务等措施。

此次勒索软件较大范围传播是近年来少有的，再一次给人们敲响了警钟。互联网等信息技术的快速发展，在给人们带来巨大福祉的同时，也带来了前所未有的网络安全挑战。该负责人建议，各方面都要高度重视网络安全问题，及时安装安全防护软件，及时升级操作系统和各种应用的安全补丁，设置高安全强度口令并定期更换，不要下载安装来路不明的应用软件，对特别重要的数据采取备份措施等。