5月12日，英國(guó)、意大利、俄羅斯等全球多個(gè)國(guó)家爆發(fā)勒索病毒攻擊，中國(guó)的校園網(wǎng)也未能幸免，部分高校電腦被感染，有學(xué)生畢業(yè)論文被病毒加密，只有支付高額贖金才能恢復(fù)。

而在英國(guó)方面， 5月12日英國(guó)國(guó)家醫(yī)療服務(wù)體系遭遇了大規(guī)模網(wǎng)絡(luò)攻擊，多家公立醫(yī)院的電腦系統(tǒng)幾乎同時(shí)癱瘓，電話線路也被切斷，導(dǎo)致很多急診病人被迫轉(zhuǎn)移?！睹咳锗]報(bào)》稱(chēng)，至少19家位于英格蘭和蘇格蘭的NHS所屬醫(yī)療機(jī)構(gòu)遭到網(wǎng)絡(luò)攻擊，這些機(jī)構(gòu)包括醫(yī)院和全科醫(yī)生診所。 

同時(shí)，隨著周一工作日的到來(lái)，將會(huì)有更多電腦開(kāi)機(jī)，勒索病毒很有可能會(huì)卷土重來(lái)。

勒索：支付300美元才能解鎖電腦

據(jù)杭州師范大學(xué)一學(xué)生反饋，“晚上我在寢室電腦上在放視頻，出去了一會(huì)，回來(lái)之后就發(fā)現(xiàn)電腦中招了。電腦桌面上顯示了一封勒索信。這封信上，可以選擇顯示語(yǔ)言，中文、韓文、日文、英文都有。信上的內(nèi)容大致是，想要解鎖你電腦上的文檔，請(qǐng)付300美金等價(jià)的比特幣。上面還威脅說(shuō)，一周之內(nèi)不付款，就永遠(yuǎn)恢復(fù)不了文件了。”“我的室友也中了同樣的病毒。我們用的是同一個(gè)校園網(wǎng)，就是晚上上會(huì)斷網(wǎng)的那種。”

據(jù)了解，病毒發(fā)行者利用了去年被盜的美國(guó)國(guó)家安全局(NSA)自主設(shè)計(jì)的Windows系統(tǒng)黑客工具Eternal Blue“永恒之藍(lán)”，將2017年2月的一款病毒升級(jí)。被感染的Windows用戶(hù)必須在7天內(nèi)交納比特幣作為贖金，否則電腦數(shù)據(jù)將被全部刪除且無(wú)法修復(fù)。病毒要求用戶(hù)在被感染后的三天內(nèi)交納相當(dāng)于300美元的比特幣，三天后“贖金”將翻倍。

??

(電腦中毒后屏幕上跳出來(lái)的勒索信)

防范：如何避免電腦中毒?

中國(guó)國(guó)家互聯(lián)網(wǎng)應(yīng)急中心表示，目前，安全業(yè)界暫未能有效破除該勒索軟的惡意加密行為，用戶(hù)主機(jī)一旦被勒索軟件滲透，只能通過(guò)重裝操作系統(tǒng)的方式來(lái)解除勒索行為，但用戶(hù)重要數(shù)據(jù)文件不能直接恢復(fù)。

在防范上，騰訊安全聯(lián)合實(shí)驗(yàn)室反病毒實(shí)驗(yàn)室負(fù)責(zé)人、騰訊電腦管家安全技術(shù)專(zhuān)家馬勁松指出，一是，臨時(shí)關(guān)閉端口。Windows用戶(hù)可以使用防火墻過(guò)濾個(gè)人電腦，并且臨時(shí)關(guān)閉135、137、445端口3389遠(yuǎn)程登錄(如果不想關(guān)閉3389遠(yuǎn)程登錄，至少也是關(guān)閉智能卡登錄功能)，并注意更新安全產(chǎn)品進(jìn)行防御，盡量降低電腦受攻擊的風(fēng)險(xiǎn)。 

??

(Windows用戶(hù)可以使用防火墻過(guò)濾個(gè)人電腦，并且臨時(shí)關(guān)閉135、137、445端口3389遠(yuǎn)程登錄)

二是，及時(shí)更新 Windows已發(fā)布的安全補(bǔ)丁。在3月MS17-010漏洞剛被爆出的時(shí)候，微軟已經(jīng)針對(duì)Win7、Win10等系統(tǒng)在內(nèi)提供了安全更新;此次事件爆發(fā)后，微軟也迅速對(duì)此前尚未提供官方支持的Windows XP等系統(tǒng)發(fā)布了特別補(bǔ)丁。

三是，利用“勒索病毒免疫工具”進(jìn)行修復(fù)。用戶(hù)通過(guò)其他電腦下載騰訊電腦管家“勒索病毒免疫工具”離線版，并將文件拷貝至安全、無(wú)毒的U盤(pán);再將指定電腦在關(guān)閉Wi-Fi，拔掉網(wǎng)線，斷網(wǎng)狀態(tài)下開(kāi)機(jī)，并盡快備份重要文件;然后通過(guò)U盤(pán)使用“勒索病毒免疫工具”離線版，進(jìn)行一鍵修復(fù)漏洞;聯(lián)網(wǎng)即可正常使用電腦。

??

(騰訊電腦管家針對(duì)于勒索病毒推出“勒索病毒免疫工具”)

另一種方法：360安全衛(wèi)士【離線救災(zāi)版】，可以幫助企業(yè)辦公電腦應(yīng)對(duì)此次“勒索病毒”的攻擊。

應(yīng)對(duì)“勒索病毒”，周一開(kāi)機(jī)操作指南：

1、準(zhǔn)備一個(gè)U盤(pán)或移動(dòng)硬盤(pán)，周一上班前，可以在家里的安全網(wǎng)絡(luò)環(huán)境下，下載360安全衛(wèi)士【離線救災(zāi)版】 下載地址http://dl.360safe.com/setup_jiuzai.exe

2、到公司后，先拔掉辦公電腦的網(wǎng)線，關(guān)掉無(wú)線網(wǎng)絡(luò)開(kāi)關(guān)，然后再開(kāi)機(jī)。

3、使用準(zhǔn)備好的U盤(pán)或移動(dòng)硬盤(pán)插入辦公電腦，安裝360安全衛(wèi)士【離線救災(zāi)版】

4、360安全衛(wèi)士【離線救災(zāi)版】的NSA武器庫(kù)免疫工具會(huì)自動(dòng)運(yùn)行，并檢測(cè)您的電腦是否存在漏洞。

??

如圖代表了您當(dāng)前系統(tǒng)沒(méi)有安裝漏洞補(bǔ)丁，請(qǐng)您點(diǎn)擊【立即修復(fù)】

提示：本次的【永恒之藍(lán)】漏洞是利用Windows 系統(tǒng)局域網(wǎng)共享漏洞。如果您的系統(tǒng)本身存在問(wèn)題(例如是GHOST精簡(jiǎn)版)可能無(wú)法正常安裝補(bǔ)丁。出于安全考慮，工具會(huì)直接為您【關(guān)閉共享所需的網(wǎng)絡(luò)端口 和 系統(tǒng)服務(wù)】

5、修復(fù)漏洞過(guò)程中，請(qǐng)您耐心等候，一般需要 3~5 分鐘。

??

修復(fù)成功后，會(huì)彈窗提示您。請(qǐng)您【重啟電腦】，以便修復(fù)操作徹底生效

??

7、重啟電腦后，您可以通過(guò)桌面的【勒索病毒救災(zāi)】快捷方式再次運(yùn)行 NSA 防御工具，確保您的系統(tǒng)已經(jīng)修復(fù)完成。

??

補(bǔ)充說(shuō)明：針對(duì)部分特殊系統(tǒng)(例如GHOST精簡(jiǎn)系統(tǒng))，由于系統(tǒng)本身被人為的修改導(dǎo)致無(wú)法正常安裝本次的漏洞修復(fù)程序，出于安全考慮，工具會(huì)直接為您【關(guān)閉共享所需的網(wǎng)絡(luò)端口 和 系統(tǒng)服務(wù)】，您將看到如下畫(huà)面：

??

四是，備份。重要的資料一定要備份，謹(jǐn)防資料丟失。

解析：高校為何成勒索病毒重災(zāi)區(qū)

馬勁松指出，各大高校通常接入的網(wǎng)絡(luò)是為教育、科研和國(guó)際學(xué)術(shù)交流服務(wù)的教育科研網(wǎng)，此骨干網(wǎng)出于學(xué)術(shù)目的，大多沒(méi)有對(duì)445端口做防范處理，這是導(dǎo)致這次高校成為重災(zāi)區(qū)的原因之一。

此外，如果用戶(hù)電腦開(kāi)啟防火墻，也會(huì)阻止電腦接收445端口的數(shù)據(jù)。但中國(guó)高校內(nèi)，一些同學(xué)為了打局域網(wǎng)游戲，有時(shí)需要關(guān)閉防火墻，也是此次事件在中國(guó)高校內(nèi)大肆傳播的另一原因。

??

(騰訊安全聯(lián)合實(shí)驗(yàn)室反病毒實(shí)驗(yàn)室公布的病毒攻擊流程圖)

同時(shí)由于該木馬加密使用AES加密文件，并使用非對(duì)稱(chēng)加密算法RSA 2048加密隨機(jī)密鑰，每個(gè)文件使用一個(gè)隨機(jī)密鑰，理論上不可破解。針對(duì)目前網(wǎng)上有傳該木馬病毒的作者放出密鑰，已證實(shí)為謠言。實(shí)則是在公網(wǎng)環(huán)境中，由于病毒的開(kāi)關(guān)機(jī)制被設(shè)置為關(guān)閉模式暫時(shí)停止了傳播，但不排除作者制作新變種的可能。提醒廣大用切勿輕信謠言，以免造成更嚴(yán)重的損失。

最后，提醒廣大用戶(hù)，務(wù)必強(qiáng)化網(wǎng)絡(luò)安全意識(shí)，陌生鏈接不點(diǎn)擊，陌生文件不要下載，陌生郵件不要打開(kāi)!