比特币勒索病毒来袭 专家称“只要不修复就会蔓延”

来源：荆州网络安全 时间：2017-05-15

5月12日晚，比特币勒索病毒在全球爆发，在无需用户任何操作的情况下，“永恒之蓝病毒”即可扫描开放445文件共享端口的Windows机器，从而植入恶意程序。目前，病毒已经扩散至全球上百个国家，中国众多高校也纷纷中招。黑客则通过锁定电脑文件来勒索用户交赎金，而且只收比特币。360首席安全工程师郑文彬提醒用户，改病毒很有可能还会持续，用户要及时安装补丁，才能让危害进一步控制。阿里云专家也认为，病毒可能蔓延，只要不修复就会蔓延。

什么是“永恒之蓝”病毒

据360安全中心分析，此次校园网勒索病毒是由NSA泄露的“永恒之蓝”黑客武器传播的。“永恒之蓝”可远程攻击Windows的445端口(文件共享)，如果系统没有安装今年3月的微软补丁，无需用户任何操作，只要开机上网，“永恒之蓝”就能在电脑里执行任意代码，植入勒索病毒等恶意程序。

360针对校园网勒索病毒事件的监测数据显示，国内首先出现的是ONION病毒，平均每小时攻击约200次，夜间高峰期达到每小时1000多次;WNCRY勒索病毒则是5月12日下午新出现的全球性攻击，并在中国的校园网迅速扩散，夜间高峰期每小时攻击约4000次。

目前，“永恒之蓝”传播的勒索病毒以ONION和WNCRY两个家族为主，受害机器的磁盘文件会被篡改为相应的后缀，图片、文档、视频、压缩包等各类资料都无法正常打开，只有支付赎金才能解密恢复。这两类勒索病毒，勒索金额分别是5个比特币和300美元，折合人民币分别为5万多元和2000多元。

由于国内曾多次出现利用445端口传播的蠕虫病毒，部分运营商对个人用户封掉了445端口。但是教育网并无此限制，存在大量暴露着445端口的机器，因此成为不法分子使用NSA黑客武器攻击的重灾区。正值高校毕业季，勒索病毒已造成一些应届毕业生的论文被加密篡改，直接影响到毕业答辩。

安全专家发现，ONION勒索病毒还会与挖矿机(运算生成虚拟货币)、远控木马组团传播，形成一个集合挖矿、远控、勒索多种恶意行为的木马病毒“大礼包”，专门选择高性能服务器挖矿牟利，对普通电脑则会加密文件敲诈钱财，最大化地压榨受害机器的经济价值。

专家称因NSA泄露的系统漏洞引起

这次全球比特币勒索病毒，有别于过往透过钓鱼邮件感染的方式，不少受害者在网上回复指在正常使用电脑的情况下突然弹出相关勒索界面。

阿里云安全专家分析，此次全球比特币勒索病毒是由NSA泄露的Windows系统SMB/RDP远程命令执行漏洞引起。利用该漏洞，黑客可远程实现攻击Windows的445端口(文件共享)。如果系统没有安装今年3月的微软补丁，无需用户任何操作，只要开机上网，黑客即可在电脑里执行任意代码，植入勒索病毒等恶意程序。

考虑到Windows系统SMB/RDP远程命令执行漏洞的危险性，国内外不少云服务厂商都在4月封掉了445端口。但全球不少个人电脑、IDC物理机房仍存在大量暴露着445端口的机器，这给了黑客可乘之机。

内网未划分安全区域加速病毒传播

阿里云安全专家分析，此次勒索事件在校园网传播速度之快，影响面之大主要原因是当前大部分学校基本是一个大的内网互通的局域网，不同的业务未划分安全区域。例如：学生管理系统、教务系统等都可以通过任何一台连入的设备访问，同时，实验室、多媒体教室、机器IP分配多为公网IP，如果学校未做相关的权限限制，所有机器直接暴露在外面。

事实上，被攻击的并不止中国的校园网。BBC发布消息称，目前全球范围内有大量的机构报告，受到了“勒索”软件的攻击，这些机构分别在美国、英国、中国、俄罗斯、西班牙、意大利、越南等地。

据CNN报道，英国25家医院周五也因“大规模”的黑客攻击而瘫痪。手术被取消，救护车被迫转向其他医院。

安全公司呼吁用户加强安全防护

针对NSA黑客武器利用的Windows系统漏洞，微软在今年3月已发布补丁修复。此前，阿里云第一时间发布预警，并推出一键检测修复NSA黑客武器攻击漏洞的工具。

目前，阿里云默认为ECS(云服务器，Elastic Compute Service, 简称ECS))用户关闭455端口，且默认安装Windows官方补丁。阿里云建议，所有在IDC(互联网内容提供商)托管或自建机房有服务器的企业，如果采用了Windows操作系统，立即安装微软补丁。

安全补丁对个人用户来说相对简单。只需自学装载，就能完成止血。但是对大型企业或者组织机构而言，面对成百上千台机器，最好还是能使用客户端进行集中管理。比如，阿里云的安骑士就提供实时预警、防御、一键修复等功能。

可靠的数据备份可以将勒索软件带来的损失最小化。湖北国联荆州网络安全小组建议启用阿里云快照功能对数据镜像备份，并同时做好安全防护，避免被感染和损坏。