5月12日开始，WannaCrypt(永恒之蓝)勒索蠕虫突然爆发，影响遍及全球近百国家，包括英国医疗系统、快递公司FedEx、俄罗斯电信公司Megafon都成为受害，我国的校园网和多家能源企业、政府机构也中招，被勒索支付高额赎金才能解密恢复文件，对重要数据造成严重损失。截至5月13日中午，估计中国国内超2万台机器中招，全球超10万台机器被感染。

WannaCrypt(永恒之蓝)勒索蠕虫是NSA网络军火民用化的全球第一例。一个月前，第四批NSA相关网络攻击工具及文档被Shadow Brokers组织公布，包含了涉及多个Windows系统服务(SMB、RDP、IIS)的远程命令执行工具，其中就包括“永恒之蓝”攻击程序。

  图：被感染的机器屏幕会显示如下的告知付赎金的界面

由于WannaCrypt(永恒之蓝)勒索蠕虫在全球范围内的巨大影响和潜在的威胁，5月13日微软总部决定公开发布已停服的XP和部分服务器版WindowsServer2003特别安全补丁:https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/。

  Win7及以上版本的系统如果已经安装MS07-010补丁，不受WannaCrypt(永恒之蓝)勒索蠕虫，但是由于微软已经停止对Win7以下的Windows XP/2003提供安全补丁，造成Windows XP/2003处于危险之中，此次微软破例为Windows XP/2003提供特别补丁，用户可以尽快下载安装补丁，以避免被WannaCrypt(永恒之蓝)勒索蠕虫伤害。

针对“永恒之蓝”勒索蠕虫，360企业安全专家建议: 对已经感染勒索蠕虫的机器建议隔离处置。

对尚未发现攻击的机构，网络管理员在网络边界的防火墙上阻断445端口的访问，如果边界上有IPS和360天堤智慧防火墙之类的设备，请升级设备的检测规则到最新版本并设置相应漏洞攻击的阻断，直到确认网内的电脑已经安装了相应补丁或关闭了Server服务，在终端层面暂时关闭Server服务。对于已经感染勒索蠕虫的机器建议隔离处置。

同时建议针对重要业务系统立即进行数据备份，针对重要业务终端进行系统镜像，制作足够的系统恢复盘或者设备进行替换。

—————————————————————————————————————————————————————————————————————

延伸阅读

  杭师大一位同学电脑中毒后的屏幕。这里显示：请付300美金等价的比特币到这个地址。

  昨晚下沙多所大学校园网大面积被黑

  学生们收到一封信：

  想要解锁你电脑上的文档，请付300美金等价的比特币

  昨晚11时，一位陈女士向快报报料：大概一个小时前，下沙高教园区校园网被黑。学生电脑上的资料文档被锁，需要付费才能解锁。目前发现的有浙传、计量、理工大学……好多校区校园网都被黑了。

  唐同学是昨晚8点左右中病毒的。

  他说：“晚上我在寝室电脑上放视频，出去了一会儿，回来之后就发现电脑中招了。电脑桌面上显示了一封勒索信。这封信上，可以选择显示语言，中文、韩文、日文、英文都有。信上的内容大致是，想要解锁你电脑上的文档，请付300美金等价的比特币。上面还威胁说，一周之内不付款，就永远恢复不了文件了。

  “我关掉了病毒显示的窗口，但过了一会儿，病毒窗口又跳出来了。检查我的电脑，发现我电脑里包括word、MP3、ppt在内的文档，已经全部被锁定了。现在我也没办法了，准备重装系统，毕竟付不起这么多钱。只是可惜了我之前做的那些音乐。

  “我的室友也中了同样的病毒。我们用的是同一个校园网，就是晚上上会断网的那种。”

  浙江工商大学的程同学说：“这两天，在我朋友圈里很多人在说这个事情，很多人在抱怨，病毒锁定了电脑里的doc、ppt等格式的文档，没有办法打开文件了。我知道涉及的学校，有宁波大学，浙江中医药大学、浙江工商大学、浙江理工大学等。”

  昨天，很多大学的微信公众号已经发出了预警信息，说这段时间国内很多大学的校园网和同学的电脑都中病毒了。提醒大家不要点开来路不明的链接，装上杀毒软件。

  李先生说，昨天下午三点左右，他在余杭区一家互联网公司走访，听到一位工作人员说，下午的时候，杭州一家世界级互联网公司的网络就受到黑客攻击，一直连不到服务器。下午4点，李先生离开时，服务器还没有连上。

  什么是比特币？

  比特币是一种虚拟货币，不依靠特定机构发行，依据特定算法，通过大量的计算产生。可以购买现实或虚拟物品，也可以兑换成大多数国家的货币。

  什么是比特币敲诈病毒？

  据百度百科，比特币敲诈病毒（CTB-Locker）最早在2015年初传入中国，随后出现爆发式传播。该病毒通过远程加密用户电脑文件，从而向用户勒索赎金，用户只能在支付赎金后才能打开文件。

  其最新变种的敲诈金额为3个比特币，约合人民币6000余元。该病毒通过伪装成邮件附件，一旦受害者点击运行，就会弹出类似“订单详情”的英文文档。这时病毒已经在系统后台悄悄运行，并将在10分钟后开始发作。

  比特币敲诈病毒从哪里来？

  CTB-Locker是国外最泛滥的病毒家族之一，FBI也已介入调查。但由于此病毒使用匿名网络和比特币匿名交易获取赎金，难以追踪和定位病毒的始作俑者，目前病毒元凶仍逍遥法外。

  据路透社报道，“比特币敲诈者”木马家族的作者名叫艾维盖尼耶·米哈伊洛维奇·波格契夫，是一名俄罗斯黑客，在FBI通缉的十大黑客名单中排名第二。

  曾有学校贴出通知 建议师生防范病毒

  5月9日，有学校贴出通知，细数比特币敲诈病毒的危害并提供了应对方法。

  病毒类型：敲诈者病毒

  勒索软件攻击模式：漏洞攻击包、水坑式攻击、恶意广告，或者大规模的网络钓鱼活动。

  感染方式：邮件、网页、flash播放等。

  病毒危害：一旦勒索病毒发动攻击，并攻击成功，损失几乎无法阻挡。被感染病毒电脑中的文件被加密为sage文件，需支付上万元赎金才能恢复数据，然而也可能会有支付完赎金被骗的情况发生。

  解决方式：目前并无有效的解决办法，只能重装系统，但受感染的文件无法恢复。

  应对方法：1.数据备份和恢复措施是发生被勒索事件挽回损失的重要工作。建议各位老师及时对重要文件数据做好异地备份或云备份，以防感染病毒造成损失。

  2.确保所使用电脑防火墙处于打开状态。

  3.不要轻易打开不明邮件或链接。

来源：人民网