敲詐病毒飛傳 「永恆之藍」可防不可解

浙江24小時-錢江晚報記者陳雷詹麗華朱燕蔡楊洋

5月12日晚上開始，Windows系統用戶深深地感受到了來自這個世界不明角落的惡意，敲詐病毒沉默又飛速的傳播，讓網民們紛紛想起了影視劇中的情節。就此，錢報記者專訪了360首席安全工程師及金山毒霸的安全專家，專家們表示，「永恆之藍」可防不可解，就算付了贖金也不一定能解密，所幸Windows10和蘋果系統暫時安全。

而昨天（13日）下午4時23分許，國家網路與信息安全信息通報中心也進行了緊急通報，要求廣大計算機用戶儘快升級安裝補丁，已感染病毒機器要立即斷網，以避免進一步傳播感染。

【1】大四學生：下周就要答辯的論文

突然被鎖住加密了

5月12日晚上9點左右，浙江傳媒學院大四學生小楊按下word文檔的關閉鍵，改完了畢業論文的最後一稿。突然，桌面彈出一個握手圖案，同時，所有文檔都變成了一種未知的格式。

「圖標都成白色，後面增加了『WNCRY』的後綴。」她回憶說，當時覺得有點鬱悶，沒打開網頁、沒點不明鏈接，怎麼就中病毒了？

小楊在朋友圈向朋友求助，發現很多人都有同樣的遭遇。這讓她感到不安，她隱隱覺得，這次病毒可能沒那麼簡單。

就在那會兒，小楊發現畢業論文有個半透明狀態的緩存版本。她點了點，文檔竟然被打開了。

小楊立即把畢業論文另存了一份，並通過網頁版微信傳送給了導師。大約過了半小時，電腦上又彈出了勒索錢的內容以及很多個握手的標誌。

「電腦中病毒后特別卡，那個半透明的論文狀態很可能就是緩存還沒中招的。」小楊感嘆說，電腦格式化后，四年存下的各種珍貴資料全沒了。「論文救回來了，我覺得已經是不幸中的萬幸。」

相比之下，浙江理工大學大四學生小錢就沒那麼「幸運」了。她是今天上午遇上這事兒的，當時正準備改文稿，發現文檔被莫名加了密。看到朋友圈一片哀嚎，才明白自己的電腦也中了招。

還來不及憤怒，小錢就懵了：幾乎已經完稿的畢業論文、一萬多字的實習報告都在被鎖文檔之中。更要命的是，這兩樣重要東西都沒備份。

「全是下周就得交的作業，17號還要論文答辯。」小錢說，畢業論文前前後後改了五稿，已經通過了重複率檢測，只剩下最後的腳註格式修改這一步了。

她從郵箱里找到之前發給指導老師的論文版本，但它是最早的第一稿。把電腦送去排隊維修后，小錢到學校電子閱覽室開始趕作業，今天一直待到閉館為止。「也不知道能不能按時補完。」

【2】各高校：已及時發布緊急提醒

安排技術人員幫助重裝系統

中招的不止是小楊和小錢。事實上，5月12日晚間，下沙高教園區部分學生的電腦中病毒后，各高校已通過網站、微博、微信等平台發布緊急提醒信息，以防止更多學生中招。

浙江傳媒學院在當晚十點多發現情況后，緊急切斷了校園網路，同時發布信息請大家拔掉網線，斷開校園網路連接，備份好重要文件。事發第二天，學校安排專業人員幫助電腦中病毒的同學們重裝系統和基本的office軟體、關閉病毒入侵的埠。

另外，記者還聯繫上浙江理工大學、杭州電子科技大學的老師，他們表示，中招的學生數量不多，他們也已經發出了預警。因為事發正好是大學們生準備畢業論文答辯的時候，有學院老師已經表示：如果因為受此病毒影響的畢業學生，可以相應的延遲答辯。

在採訪中，各高校老師表示他們處置這次事件還是比較及時的。這其中有一個原因是，去年G20峰會期間，各高校針對網路攻擊等相關情況進行過專門培訓，形成了一整套應急處置機制，這次算是派上了用場。各高校還表示，對於不小心中招的同學電腦問題，學校方面會派出技術人員進行協助處理。

當日曆翻到5月13日，這一情況並未發生好轉。

儘管是在周六，但記者從一些正常運轉的職能部門得知，使用區域網的用戶也有較大的風險，一些單位的辦公電腦紛紛中毒。

用戶們反映，不管是Word、PPT還是MP3，都會被鎖。

13日上午開始，一些設置信息管理部門的大型企業等單位已經緊急要求windows電腦用戶拔網線、斷網路，再開機，必須先進行自檢，然後進行升級、打補丁等一系列補救動作。

【3】360首席安全工程師：「永恆之藍」可防不可解

Windows10和蘋果系統暫時安全

「從昨天晚上開始（12日晚）國內有大批高校出現感染情況，大量電腦文件被病毒加密，只有支付贖金才能恢復。」360首席安全工程師鄭文彬的這個周末也被「永恆之藍」毀了，他告訴錢江晚報記者，此次校園網勒索病毒是由NSA（美國國家安全局）泄漏的「永恆之藍」黑客武器傳播的。「永恆之藍」可遠程攻擊Windows的445埠（文件共享），如果系統沒有安裝今年3月的微軟補丁，不需要用戶進行任何操作，只要開機上網，「永恆之藍」就能在電腦里執行任意代碼，植入勒索病毒等惡意程序。

由於國內曾多次出現利用445埠傳播的蠕蟲病毒，部分運營商對個人用戶封掉了445埠。但是教育網並無此限制，存在大量暴露著445埠的機器，因此成為不法分子使用NSA黑客武器攻擊的重災區。正值高校畢業季，勒索病毒已造成一些應屆畢業生的論文被加密篡改，直接影響到畢業答辯。

目前，「永恆之藍」傳播的勒索病毒以ONION和WNCRY兩個家族為主，受害機器的磁碟文件會被篡改為相應的後綴，圖片、文檔、視頻、壓縮包等各類資料都無法正常打開，只有支付贖金才能解密恢復。這兩類勒索病毒，勒索金額分別是3～5個比特幣和300～600美元。以目前比特幣行情，1個比特幣相當於人民幣1萬元左右。

根據360針對校園網勒索病毒事件的監測數據顯示，國內首先出現的是ONION病毒，平均每小時攻擊約200次，夜間高峰期達到每小時1000多次；WNCRY勒索病毒則是5月12日下午新出現的全球性攻擊，並在的校園網迅速擴散，夜間高峰期每小時攻擊約4000次。

安全專家發現，ONION勒索病毒還會與挖礦機（運算生成虛擬貨幣）、遠控木馬組團傳播，形成一個集合挖礦、遠控、勒索多種惡意行為的木馬病毒「大禮包」，專門選擇高性能伺服器挖礦牟利，對普通電腦則會加密文件敲詐錢財，最大化地壓榨受害機器的經濟價值。

從某種意義上來說這種敲詐者病毒「可防不可解」。「這次病毒的加密能力非常強，從原理上講非常難破解，除非我們能找到它的漏洞。但這件事可能花幾十年都是徒勞無功。」鄭文彬說，這次勒索蠕蟲病毒攻擊的是Windows8.1以下版本，所以Windows10系統和蘋果系統暫時是安全的。

【4】金山毒霸安全專家：全國數萬用戶感染

就算付了贖金也不一定能解密

「從我們監測到的情況看全國至少已經有數萬用戶感染。」金山毒霸安全專家李鐵軍表示，預計近期由本次敲詐者蠕蟲病毒造成的影響會進一步加劇。

目前360、金山毒霸等安全廠商的防毒軟體已經第一時間針對該病毒加強了查殺防禦，並向用戶推送了「NSA武器庫免疫工具」，能夠一鍵檢測修復NSA黑客武器攻擊的漏洞；對XP、2003等已經停止更新的系統，免疫工具可以關閉漏洞利用的埠，防止電腦被NSA黑客武器植入勒索病毒等惡意程序。

但如果你的電腦已經中毒，文件已被加密，又沒有提前備份，就比較「慘」了。因為此類病毒一般使用RSA等非對稱演算法，沒有私鑰就無法解密文件。WNCRY敲詐者病毒要求用戶在3天內付款，否則解密費用翻倍，並且一周內未付款將刪除密鑰導致無法恢復。「我們對部分變種的比特幣支付地址進行追蹤，發現目前已經有少量用戶開始向病毒作者支付勒索贖金，這個變種的病毒作者已經收到19個用戶的比特幣贖金，累計3.58個比特幣，市值約人民幣4萬元。」李鐵軍直言就算支付了贖金也不一定能解密，「病毒作者不一定講江湖道義，給不給解密全看他心情。而拿不到密鑰其他人也沒辦法解密。」

【5】國家網路與信息安全信息通報中心：

儘快升級安裝補丁，已感染病毒機器要立即斷網

昨天下午4時23分許，國家網路與信息安全信息通報中心進行了緊急通報——

2017年5月12日20時左右，新型「蠕蟲」式勒索病毒爆發，目前已有100多個國家和地區的數萬台電腦遭該勒索病毒感染，部分Windows系列操作系統用戶已經遭到感染。

請廣大計算機用戶儘快升級安裝補丁，地址為：

https：//technet.microsoft.com/zh-cn/library/security/MS17-010.aspx

Windows2003和XP沒有官方補丁，相關用戶可打開並啟用Windows防火牆，進入「高級設置」，禁用「文件和印表機共享」設置；或啟用個人防火牆關閉445以及135、137、138、139等高風險埠。

已感染病毒機器請立即斷網，避免進一步傳播感染。