为什么国内高校成为勒索病毒攻击的“重灾区”?
根据用户在社交媒体上发布的照片,勒索软件在锁定电脑后索要价值300美元的比特币,并显示“哎哟,你的文件被加密了!”(不对不对,你的文件已经加密了!)等等。
据了解,这是近年来极其流行的一种依靠强加密算法进行勒索的攻击方式。
与以往的攻击不同,此次勒索病毒以蠕虫方式传播,采用了美国国家安全局(NSA)不久前泄露的漏洞MS17-010,因此受害者无需下载、查看或打开任何文件即可发起攻击。
国内很多大学的电脑都被病毒入侵过。
中国国家互联网应急中心也表示,该勒索软件攻击涉及国内用户(已收到多份高校案例报告),已构成严重的攻击威胁。
从5月12日晚开始,国内多所高校的师生发现自己电脑里的文件和程序打不开,却弹出一个对话框,要求支付比特币等赎金才能恢复。
目前,已有山东大学、南昌大学、广西师范大学、东北财经大学、电子科技大学中山学院等十几所高校发布病毒攻击通知,提醒师生注意防范。
有高校通报,近期国内多所高校感染洋葱勒索病毒,磁盘文件会被病毒加密为。洋葱后缀。只有支付高额赎金才能解密恢复的文件,这给学习资料和个人资料造成了严重损失。网络安全局称,这是犯罪分子利用NSA黑客武器库泄露的“永恒之蓝”发起的病毒攻击。
国内外被攻击的电脑都是同一种病毒。
在NSA泄露的文件中,WannaCry传输方式的漏洞利用代码被称为“永恒之蓝”,因此有媒体报道称这种攻击为“永恒之蓝”。
不过这次WanaCry2.0系列攻击其实是一次和conficker威力相当的蠕虫攻击。该蠕虫一旦攻击了用户可以连接公网的机器,就会利用内置了EnternalBlue的攻击代码,自动寻找内网中开放了445端口的机器进行渗透。
中国国家互联网应急中心表示,用户主机系统被该勒索病毒入侵时,用户主机上的重要数据文件,如照片、图片、文档、压缩包、音频、视频、可执行程序等各类文件被恶意加密,后缀统一改为“”。WNCRY”。
为什么这次国内高校要攻“重灾区”?
据悉,各大高校通常接入的网络是服务于教育、科学研究和国际学术交流的教育研究网络。出于学术目的,这个骨干网大部分都没有对445端口做好防范,这也是这次高校成为重灾区的原因之一。
此外,如果用户的计算机打开防火墙,也会阻止计算机在445端口接收数据。而在国内的高校,有些学生为了玩局域网游戏,有时需要关闭防火墙,这也是此事件在国内高校疯狂传播的另一个原因。
但相关网络运营商习惯性地在骨干网ISP策略中禁止445端口的数据传输,防止蠕虫等病毒的传播,起到了重要作用。在此次漏洞事件中,间接降低了该漏洞带来的风险。
电脑感染了勒索病毒怎么办?
根据中国国家信息安全漏洞共享平台(CNVD)秘书处的普查结果,互联网上有900多万台IP主机暴露445端口(端口开放),而中国大陆有300多万台IP主机。
据国外媒体报道,一名网络安全研究人员声称,他找到了阻止病毒传播的方法,但警告称这只是暂时的。
中国国家互联网应急中心表示,目前安全行业还未能有效破解勒索软件的恶意加密行为。一旦用户主机被勒索病毒渗透,只能通过重装操作系统的方式清除,而用户的重要数据文件无法直接恢复。
这种病毒和以往的勒索攻击一样,采用了高强度的加密算法,因此事后恢复文件非常困难,重点在于提前防范。
及时更新
Windows已经发布了安全修补程序。
3月份MS17-010漏洞刚刚曝光的时候,微软已经为Win7、Win10等系统提供了安全更新。这一事件爆发后,微软也迅速为Windows提供了官方支持。
XP等系统都发布了专门的补丁。
最好在电脑上安装安全软件,并保持实时监控功能开启,可以拦截特洛伊病毒的入侵。
Windows 7系统用户可以打开控制面板,点击防火墙-高级设置-入站规则-新规则-勾选端口-勾选协议和端口,勾选“特定本地端口”,填写445,点击下一步,继续点击“阻止链接”直到下一步,命名规则完成445端口的关闭。
关闭端口445(其他相关端口,例如:
135、137、139),并关闭服务器上不必要的服务端口;
加强端口445(其他关联端口如:
135、137、139)内网区域访问审计,及时发现未授权行为或潜在攻击;
由于Microsoft停止了某些操作系统的安全更新,建议更新Window。
检查XP和Windows server 2003主机(不再支持MS17-010更新),使用替代操作系统;做好信息系统业务和个人数据备份。