【超级生活网 sUperLIFE.ca专讯】

全球深陷“电脑浩劫” 他用几美元阻灾难
今天早上，几乎所有人的朋友圈都在流传着这样一条消息——  全球爆发电脑勒索病毒，“疫情”已波及99个国家。包括中国、俄罗斯、英国、美国在内的众多国家，都被该病毒搅得鸡犬不宁。 除英国国家医疗服务体系（NHS）、美国联邦快递、西班牙电信公司外，俄罗斯内政部的1000多台电脑也纷纷“中招”，受到严重影响。而据俄罗斯RT新闻网报道，最新的数据统计显示，全球范围内已有超过10万台电脑被攻击。 英国NHS系统遭到此病毒攻击图据《每日邮报》 但就在这场损伤巨大的全球“浩劫”中，一位“意外的英雄”横空出世——署名为MalwareTech的一名英国信息安全研究员，将该病毒中隐藏的“删除开关”找了出来，成功阻止了该病毒在全球的传播扩散。 今天下午，红星新闻记者对其进行了采访，揭秘了MalwareTech是如何利用几美元，就成功阻止了一场病毒继续在全球范围内传播的灾难。 拒付赎金 “600美元，不如重新买台电脑” 据国外媒体报道，这种勒索病毒名为WannaCry（及其变种）。被感染后，用户电脑中的文件等会被加密锁定，并提示受害者支付一定价值的比特币赎金才可解锁。而据红星新闻记者了解到的情况，受害者们被勒索的赎金金额并不相同，有的为300美元，有的则为600美元。 在宁波大学城乡规划专业读大二的许强（化名）就是该病毒的受害者之一。他告诉红星新闻记者，今早起床时，他在手机上看到了相关新闻，为了以防万一，他还特意拿出了有段时间未曾使用的U盘，准备对电脑文档进行备份。但开机之后，电脑屏幕上弹出勒索窗口却让他彻底傻眼。 许强电脑上弹出的勒索窗口受访者供图 “我都没有联网。” 对于电脑的“中招”，许强表示十分不解。 许强告诉记者，网页上面的中文勒索称，“最好3天之内付款，过了3天费用就会翻倍，一个礼拜之内未付款，将会永远恢复不了，”对此，许强坚定表示，自己是不会给黑客赎金的。 “600美元（约合4138元人民币），还不如去重新买台电脑。”许强说，他将重装电脑系统。 红星新闻记者通过调查发现，和许强一样的人并不在少数。在一个QQ群里，记者发现有许多刚入群的新人们纷纷吐槽，自己的电脑也“中招”了，正在重装系统，或寻求解决办法。目前，这个群的成员还在不断增加。 而卡巴斯基实验室在向包括红星新闻在内的媒体所提供的关于此事的评论中这样写道： “该勒索软件可以通过一种Windows漏洞感染受害者，微软公司已经在微软公告MS17-010中修复了这一漏洞。这种名为‘永恒之蓝’（Eternal Blue）的漏洞，于4月14日在Shadowsbroker黑客组织的信息中被披露。” 还有一些专家则表示，该漏洞最早其实是被美国国安局（NSA）发现的，但其研发的相关工具被Shadowsbroker窃取利用。 意外英雄 发现病毒软件中隐藏“删除开关” 署名为MalwareTech的英国研究员告诉红星新闻记者，其实在这场全球“浩劫”刚开始时，他就已经从英国的一个留言板上得到了消息。但不巧的是，他当时正在外面。 “等我回家后，我在WannaCry病毒中发现了一个未注册的域名，并因此决定注册该域名，以便追踪这一病毒。” 为此，MalwareTech花了10.69美元的费用注册购买了这一域名。 ▲MalwareTech向美国《纽约时报》提供的全球电脑被勒索软件攻击图片图据《纽约时报》 事实上，MalwareTech找到的，就是该病毒中隐藏的“删除开关”。 “后来在一些分析员的帮助下，我们终于确认，在注册了这一域名后，这一感染停止了。” 而在接受英国《卫报》采访时，MalwareTech则表示，在上线后，该域名接收到每秒数千次的连接请求。 而这又意味着什么呢？ MalwareTech向红星新闻记者解释说，通常情况下，他们经常采用这种方式来追踪恶意病毒软件，“或者用来阻止犯罪分子控制该病毒”。也就是说，在注册该域名后，他将拥有WannaCry病毒的运行权。 这一“开关”被编码隐藏在恶意软件中，如果恶意软件的制造者希望停止该病毒的传播，那么只要激活这一开关即可。这里的开关机制为，该恶意软件将会向任何网站，包括这个非常长的毫无感官意义的域名网站发送请求，而一旦该请求得到回应，就意味着该域名上线，“删除开关”就会生效，恶意软件也会停止传播。 为时已晚 欧洲、亚洲已来不及抢救美国还有时间 来自Proofpoint安全公司的瑞安说： “他们（MalwareTech和其他同事）今天得到了意外英雄奖。他们根本没有意识到，这一举动对延缓勒索病毒的传播起到了多么巨大的作用。” 对于“意外英雄”这样的头衔，MalwareTech并没有排斥。他说，“我们也是直到12日晚上6点才意识到发生了什么，但它确实有效。” ▲MalwareTech今早发推：“坦白说在注册域名时，我也不知道这能够阻止其传播，直到注册后我才发现，所以这纯属意外。” 推特截图 不过瑞安也表示，MalwareTech注册该域名的时机太晚，已经无法阻止该病毒传播至欧洲和亚洲，以致于众多组织和机构被感染。但这却给众多美国用户争取到了时间，使他们可以紧急对系统升级补丁，避免感染病毒。 但遗憾的是，这一“删除开关”对于已经感染了该病毒的电脑无能为力。 MalwareTech告诉红星新闻记者，他的域名上线后，部分电脑可能还会被感染,“不过加密的情况不会发生。”但仍不排除该病毒可能会有其他变种，而且拥有完全不同的“删除开关”。所以，这种病毒可能还会继续传播。 “不过WannaCry这一版本不会再奏效了。” 令MalwareTech略为担心的是，虽然这个病毒版本已经失效，“但他们（背后的制作者）可能还会制造出更多的病毒。” 虽然做出了如此“壮举”，但MalwareTech却告诉红星新闻记者，事实上他本人在这一领域仅工作了一年之久，不过作为一项爱好，他已经做了有10年了。

 
安全机构暂未能有效破除该勒索软的恶意加密行为，用户只能进行预防，用户中毒后可以通过重装操作系统的方式来解除勒索行为，但用户重要数据文件不能直接恢复。
全球近百国家地区遭勒索病毒攻击
据媒体报道，日前，全球近百个国家和地区都有电脑系统遭受一个名为WannaCry的病毒攻击，被攻击者被要求支付比特币才能解锁。12日，安全软件制造商Avast表示，它已经在99个国家观察到超过57000个感染例子。
据社交媒体上用户贴出的照片显示，该勒索软件在锁定电脑后，索要价值300美元的比特币，并显示有“哎哟，你的文件被加密了！”(Ooops， your files have been encrypted！)字样等的对话框。
13日，中国国家互联网应急中心发文称，互联网上出现针对Windows操作系统的勒索软件的攻击案例，勒索软件利用此前披露的Windows SMB服务漏洞(对应微软漏洞公告：MS17-010)攻击手段，向终端用户进行渗透传播，并向用户勒索比特币或其他价值物。

被勒索病毒攻击后电脑弹出的窗口。腾讯反病毒实验室供图
腾讯反病毒实验室接受中新网记者采访时也表示，这是最近几年极为流行的、依靠强加密算法进行勒索的攻击手段。与之前的攻击不同的是，此次勒索病毒结合了蠕虫的方式进行传播，传播方式采用了前不久美国国家安全局(NSA)被泄漏出来的MS17-010漏洞，因此无需受害者下载、查看或打开任何文件即可发动攻击。
国内多个高校电脑遭遇病毒入侵
中国国家互联网应急中心还表示，勒索软件的攻击涉及到国内用户(已收到多起高校案例报告)，已经构成较为严重的攻击威胁。
从5月12日晚间起，中国多个高校的师生陆续发现自己电脑中的文件和程序无法打开，而是弹出对话框要求支付比特币等赎金后才能恢复。
记者注意到，山东大学、南昌大学、广西师范大学、东北财经大学、电子科技大学中山学院在内十几家高校发布遭受病毒攻击的通知，提醒师生注意防范。

南昌大学官方微博发布的勒索软件病毒攻击的通知截图。
部分高校通知称，近期国内多所院校出现ONION勒索软件感染情况，磁盘文件会被病毒加密为.onion后缀，只有支付高额赎金才能解密恢复文件，对学习资料和个人数据造成严重损失。根据网络安全机构通报，这是不法分子利用NSA黑客武器库泄漏的“永恒之蓝”发起的病毒攻击事件。
国内外被攻击的电脑中的是同一病毒
腾讯反病毒实验室表示，在NSA泄漏的文件中，WannaCry传播方式的漏洞利用代码被称为“EternalBlue”，所以也有的媒体报道称此次攻击为“永恒之蓝”。
据腾讯反病毒实验室分析，这次WanaCry2.0系列攻击，实际上是一次蠕虫攻击，威力等同于当年的conficker。该蠕虫一旦攻击进入能连接公网的用户机器，就会利用内置了EnternalBlue的攻击代码，自动在内网里寻找开启了445端口的机器进行渗透。
中国国家互联网应急中心称，当用户主机系统被该勒索软件入侵后，用户主机上的重要数据文件，如：照片、图片、文档、压缩包、音频、视频、可执行程序等多种类型的文件，都被恶意加密且后缀名统一修改为 “.WNCRY”。
国内高校为何此次成病毒攻击“重灾区”？
腾讯反病毒实验室认为，各大高校通常接入的网络是为教育、科研和国际学术交流服务的教育科研网，此骨干网出于学术目的，大多没有对445端口做防范处理，这是导致这次高校成为重灾区的原因之一。
此外，如果用户电脑开启防火墙，也会阻止电脑接收445端口的数据。但中国高校内，一些同学为了打局域网游戏，有时需要关闭防火墙，也是此次事件在中国高校内大肆传播的另一原因。

腾讯安全反病毒实验室公布的WanaCrypt0r 2.0攻击流程图。
腾讯反病毒实验室还表示，相关网络运营商在骨干网ISP策略中习惯性禁止445端口的数据传输，防止蠕虫等病毒传播的策略，发挥了重要的作用。在本次漏洞事件中，间接地降低了本次漏洞所带来的风险。
你的电脑若中毒了怎么办？
根据中国国家信息安全漏洞共享平台(CNVD)秘书处普查的结果，互联网上共有900余万台主机IP暴露445端口(端口开放)，而中国大陆地区主机IP有300余万台。
据外媒报道，一名网络安全研究员声称他找到方法能停止这个病毒扩散，但警告这只是暂时性质的。
中国国家互联网应急中心表示，目前，安全业界暂未能有效破除该勒索软的恶意加密行为，用户主机一旦被勒索软件渗透，只能通过重装操作系统的方式来解除勒索行为，但用户重要数据文件不能直接恢复。

中国国家互联网应急中心公布的有可能通过445端口发起攻击的漏洞攻击工具。
腾讯反病毒实验室称，此病毒与以往的勒索攻击事件一样，采用了高强度的加密算法，因此在事后想要恢复文件是很难的，重点还是在于事前的预防。
如何能预防电脑被勒索病毒“绑架”？
在防范上，国内多家安全机构均提示，一是，及时更新 Windows已发布的安全补丁。在3月MS17-010漏洞刚被爆出的时候，微软已经针对Win7、Win10等系统在内提供了安全更新；此次事件爆发后，微软也迅速对此前尚未提供官方支持的Windows XP等系统发布了特别补丁。
二是，在电脑上安装腾讯电脑管家、360安全卫士等安全类软件，并保持实时监控功能开启，可以拦截木马病毒的入侵。

Windows 7系统用户可打开控制面板点击防火墙-高级设置-入站规则-新建规则-勾中“端口”-点击“协议与端口”，勾选“特定本地端口”，填写445后点击下一步，继续点击“阻止链接”，一直下一步，并给规则命名，可完成关闭445端口。
中国国家互联网应急中心还建议，关闭445等端口(其他关联端口如： 135、137、139)的外部网络访问权限，在服务器上关闭不必要的上述服务端口；加强对445等端口(其他关联端口如： 135、137、139)的内部网络区域访问审计，及时发现非授权行为或潜在的攻击行为；由于微软对部分操作系统停止安全更新，建议对Window XP和Windows server 2003主机进行排查(MS17-010更新已不支持)，使用替代操作系统；做好信息系统业务和个人数据的备份。