“昨晚,病毒入侵了校区和附近小区的电子阅览室,当时一些学生正链接校园网查询论文资料,电脑和U盘中的文件忽然被锁定”。山东大学的同学介绍,界面出现一个红色对话框,黑客留下联系方式,要求支付比特币才提供解密服务,超过三天未支付还会涨价。
淮阴工学院一名同学表示,自己正在写毕业论文时,电脑突然出现弹窗,后来论文、知网下载的文档都变成不可读。其尝试去淘宝购买修复服务,被告知“最近勒索病毒猖獗,本店咨询暴增”,因修复价格太高,最终选择重写论文。
清华大学早在4月15日就发布通知,为防止校园网内部主机受到外部攻击,校园网出口封禁TCP端口139、445、3389。今日再次发布紧急通知称,多所高校疫情严重,由于此前已采取封禁措施,最近两次全球大规模网络安全疫情均未大面积危害校园网络和用户。
加油站无法网络支付
除了高校外,多名网友还表示,今日全国多地的加油站在加油时,无法进行网络支付,只能使用现金。
今日下午,中国石油(华威南路加油站)一名工作人员表示,由于中国石油的网络出现问题,现在只能使用现金和加油卡进行消费,而且加油卡无法使用圈存功能。
中石油北京左安路加油站也遭遇相同的情况,工作人员称,凌晨一点多发现网络出了问题。上午接到通知称,集团公司出现网络故障,正在抢修中,但具体原因对方表示并不知情。
中石油辽阳石化分公司一位不愿透露姓名的工作人员向新京报记者透露,接到集团公司信息安全中心通报称,12日晚开始,陆续出现针对Windows操作系统的敲诈者病毒,中毒计算机/服务器的文件被加密,并出现索要赎金的画面。目前公司网络与系统暂停服务,如发现电脑感染病毒,应立即关闭该电脑,拔掉网线,并上报情况。而公司网络恢复时间将另行通知。
据媒体报道,中石油有关负责人表示,目前公司加油站的加油业务和现金支付业务正常运行,但是第三方支付无法使用,怀疑受到病毒攻击,具体情况还在核查处置中。
上百国家和地区遭“感染”
病毒攻击并不仅局限在我国。今日,国家网络与信息安全信息通报中心紧急通报:5月12日20时许,新型“蠕虫”式勒索病毒爆发,目前已有100多个国家和地区的数万台电脑遭该勒索病毒感染。
今日凌晨,微博“英国那些事儿”发文,一个多小时前,英国16家医院遭到大范围网络攻击,医院内网被攻陷,电脑被锁定,电话打不通。黑客索要每家医院300比特币的赎金,否则将删除所有资料。这16家机构对外联系基本中断,内部恢复使用纸笔进行紧急预案。英国国家网络安全部门正在调查。
腾讯公司安全部门向新京报提供的数据显示,初步统计,该“蠕虫”已影响了约上百个国家的学校、医院、机场、银行、加油站等设备,使得这些设备上的文档资料全部被加密,损失惨重。
据IT之家消息,目前受感染地区主要集中在中国中部和东南沿海地区,欧洲大陆、美国五大湖地区。中国、欧洲大陆地区受到的感染情况最为严重。
▲浙江大学发布防范信息。
揭秘1罪魁祸首是“永恒之蓝”病毒
今日上午,360公司董事长周鸿祎发微博称,此次校园网勒索病毒是由NSA泄露的“永恒之蓝”黑客武器传播的。“永恒之蓝”可远程攻击Windows的445端口(文件共享),如果系统没有安装今年3月的微软补丁,无需用户任何操作,只要开机上网,“永恒之蓝”就能在电脑里执行任意代码,植入勒索病毒等恶意程序。
国家互联网应急中心介绍,已着手对勒索软件及相关网络攻击活动进行监测,13日9时30分至12时,境内境外约101.1万个IP地址遭受“永恒之蓝”SMB漏洞攻击工具的攻击尝试,发起攻击尝试的IP地址(包括进行攻击尝试的主机地址及可能已感染蠕虫的主机地址)数量9300余个。
中心连发两条通报称,勒索软件利用此前披露的Windows SMB服务漏洞攻击手段,向终端用户进行渗透传播,并勒索比特币或其他价值物。包括高校、能源等重要信息系统在内的多个国内用户受到攻击,对我国互联网络构成较为严重的安全威胁。
综合样本情况和分析结果,勒索软件在传播时基于445端口并利用SMB服务漏洞,总体可以判断是由于此前“Shadow Brokers”披露漏洞攻击工具而导致的后续黑产攻击威胁。
当用户主机系统被该勒索软件入侵后,弹出勒索对话框,提示勒索目的并索要比特币。而对于用户主机上的重要文件,如:照片、图片、文档、压缩包、音频、视频、可执行程序等几乎所有类型的文件,都被加密的文件后缀名统一修改为“。WNCRY”。
另据《纽约时报》报道,周五开始,黑客利用从美国国家安全局窃取的恶意软件,执行破坏性的网络攻击。本次攻击似乎是迄今为止范围最广的一次勒索软件袭击,损失暂时还无法估量。
该软件被认为是美国国家安全局网络武器库的一部分。
去年夏天起,名为“影子经纪人”的团体开始公开美国政府的黑客武器。目前美国政府尚未承认“影子经纪人”的武器属于美国国安局,但有前情报官员称,这些武器来自国安局“量身定做行动”部门,该部门渗透了外国计算机网络。
▲遭勒索病毒“感染”的电脑桌面。
揭秘2“勒索病毒”有何特点?
腾讯公司的安全专家指出,这次病毒爆发事件,实际上是一次蠕虫攻击,威力等同于当年的conficker。该蠕虫一旦攻击进入能链接公网的用户机器,就会利用内置了EnternalBlue的攻击代码,自动在内网里寻找开启了445端口的机器进行渗透。一旦发现内网中存在漏洞的机器,不仅继续传播内置漏洞扫描的蠕虫病毒,还会传播敲诈者病毒,从而导致用户机器上的所有文档被加密。
360公司提供的数据显示,国内首先出现的是ONION病毒,平均每小时攻击约200次,夜间高峰期达到每小时1000多次;WNCRY勒索病毒则是5月12日下午新出现的全球性攻击,并在中国的校园网迅速扩散,夜间高峰期每小时攻击约4000次。
360安全卫士的专家指出,“永恒之蓝”勒索病毒以ONION和WNCRY两个家族为主,受害机器的磁盘文件会被篡改为相应的后缀,图片、文档、视频、压缩包等各类资料都无法正常打开,只有支付赎金才能解密恢复。这两类勒索病毒,勒索金额分别是5个比特币和300美元,折合人民币分别为5万多元和2000多元。
揭秘3为何高校成“重灾区”?
国家互联网应急中心发布公告称,此次攻击主要基于445端口,互联网上共900余万台主机IP暴露445端口(端口开放),而中国大陆地区主机IP有300余万台。
中国高等教育学会教育信息化分会网络信息安全工作组(简称安全工作组)也发布声明称,经过初步调查,此类勒索病毒利用了基于445端口传播扩散的SMB漏洞,部分学校感染台数较多,大量重要信息被加密,只有支付高额的比特币赎金才能解密恢复文件,损失严重。
中国信息安全研究院副院长左晓栋表示,由于国内曾多次出现利用445端口传播的蠕虫病毒,部分运营商对个人用户封掉了445端口。但是教育网并无此限制,存在大量暴露着445端口的机器,因此成为不法分子使用NSA黑客武器攻击的重灾区。
杭州安恒信息技术有限公司创始人、总裁范渊表示,某些特定行业网成为“重灾区”,是因为没有限制445端口,因此攻击变成有效的攻击,影响了很多学校,还有一小部分医疗机构。
“可以通过更新微软发布的补丁进行防范,但对已受到攻击的用户,解决仍是难题,还在想对策。”范渊介绍,前段时间已检测到零星的勒索病毒,多数单位可能对这个问题没有足够重视。
受到攻击后,今天一早该公司已配合相关单位进行快速处置,把端口关闭。其表示,今后要提前做好相关预防工作,网络安全意识要不断提高,同时,主动性的预判研判还要不断加强,要引起足够的警觉。
防范对策!6个步骤抵御勒索病毒
更多精彩请点击:新闻排行榜
