比特幣勒索病毒來襲 專家稱“只要不修復就會蔓延”

來源：荊州網絡安全 時間：2017-05-15

5月12日晚，比特幣勒索病毒在全球爆發，在無需用戶任何操作的情況下，“永恒之藍病毒”即可掃描開放445文件共享端口的Windows機器，從而植入惡意程序。目前，病毒已經擴散至全球上百個國家，中國眾多高校也紛紛中招。黑客則通過鎖定電腦文件來勒索用戶交贖金，而且只收比特幣。360首席安全工程師鄭文彬提醒用戶，改病毒很有可能還會持續，用戶要及時安裝補丁，才能讓危害進一步控制。阿里云專家也認為，病毒可能蔓延，只要不修復就會蔓延。

什么是“永恒之藍”病毒

據360安全中心分析，此次校園網勒索病毒是由NSA泄露的“永恒之藍”黑客武器傳播的。“永恒之藍”可遠程攻擊Windows的445端口(文件共享)，如果系統沒有安裝今年3月的微軟補丁，無需用戶任何操作，只要開機上網，“永恒之藍”就能在電腦里執行任意代碼，植入勒索病毒等惡意程序。

360針對校園網勒索病毒事件的監測數據顯示，國內首先出現的是ONION病毒，平均每小時攻擊約200次，夜間高峰期達到每小時1000多次;WNCRY勒索病毒則是5月12日下午新出現的全球性攻擊，并在中國的校園網迅速擴散，夜間高峰期每小時攻擊約4000次。

目前，“永恒之藍”傳播的勒索病毒以ONION和WNCRY兩個家族為主，受害機器的磁盤文件會被篡改為相應的后綴，圖片、文檔、視頻、壓縮包等各類資料都無法正常打開，只有支付贖金才能解密恢復。這兩類勒索病毒，勒索金額分別是5個比特幣和300美元，折合人民幣分別為5萬多元和2000多元。

由于國內曾多次出現利用445端口傳播的蠕蟲病毒，部分運營商對個人用戶封掉了445端口。但是教育網并無此限制，存在大量暴露著445端口的機器，因此成為不法分子使用NSA黑客武器攻擊的重災區。正值高校畢業季，勒索病毒已造成一些應屆畢業生的論文被加密篡改，直接影響到畢業答辯。

安全專家發現，ONION勒索病毒還會與挖礦機(運算生成虛擬貨幣)、遠控木馬組團傳播，形成一個集合挖礦、遠控、勒索多種惡意行為的木馬病毒“大禮包”，專門選擇高性能服務器挖礦牟利，對普通電腦則會加密文件敲詐錢財，最大化地壓榨受害機器的經濟價值。

專家稱因NSA泄露的系統漏洞引起

這次全球比特幣勒索病毒，有別于過往透過釣魚郵件感染的方式，不少受害者在網上回復指在正常使用電腦的情況下突然彈出相關勒索界面。

阿里云安全專家分析，此次全球比特幣勒索病毒是由NSA泄露的Windows系統SMB/RDP遠程命令執行漏洞引起。利用該漏洞，黑客可遠程實現攻擊Windows的445端口(文件共享)。如果系統沒有安裝今年3月的微軟補丁，無需用戶任何操作，只要開機上網，黑客即可在電腦里執行任意代碼，植入勒索病毒等惡意程序。

考慮到Windows系統SMB/RDP遠程命令執行漏洞的危險性，國內外不少云服務廠商都在4月封掉了445端口。但全球不少個人電腦、IDC物理機房仍存在大量暴露著445端口的機器，這給了黑客可乘之機。

內網未劃分安全區域加速病毒傳播

阿里云安全專家分析，此次勒索事件在校園網傳播速度之快，影響面之大主要原因是當前大部分學校基本是一個大的內網互通的局域網，不同的業務未劃分安全區域。例如：學生管理系統、教務系統等都可以通過任何一臺連入的設備訪問，同時，實驗室、多媒體教室、機器IP分配多為公網IP，如果學校未做相關的權限限制，所有機器直接暴露在外面。

事實上，被攻擊的并不止中國的校園網。BBC發布消息稱，目前全球范圍內有大量的機構報告，受到了“勒索”軟件的攻擊，這些機構分別在美國、英國、中國、俄羅斯、西班牙、意大利、越南等地。

據CNN報道，英國25家醫院周五也因“大規模”的黑客攻擊而癱瘓。手術被取消，救護車被迫轉向其他醫院。

安全公司呼吁用戶加強安全防護

針對NSA黑客武器利用的Windows系統漏洞，微軟在今年3月已發布補丁修復。此前，阿里云第一時間發布預警，并推出一鍵檢測修復NSA黑客武器攻擊漏洞的工具。

目前，阿里云默認為ECS(云服務器，Elastic Compute Service, 簡稱ECS))用戶關閉455端口，且默認安裝Windows官方補丁。阿里云建議，所有在IDC(互聯網內容提供商)托管或自建機房有服務器的企業，如果采用了Windows操作系統，立即安裝微軟補丁。

安全補丁對個人用戶來說相對簡單。只需自學裝載，就能完成止血。但是對大型企業或者組織機構而言，面對成百上千臺機器，最好還是能使用客戶端進行集中管理。比如，阿里云的安騎士就提供實時預警、防御、一鍵修復等功能。

可靠的數據備份可以將勒索軟件帶來的損失最小化。湖北國聯荊州網絡安全小組建議啟用阿里云快照功能對數據鏡像備份，并同時做好安全防護，避免被感染和損壞。