比特币病毒敲诈各大高校

　　5月12日晚，国内有高校学生反映电脑被恶意的病毒攻击，文档被加密。加密位置显示“如果想打开加密文件，必需花钱购买比特币解锁”。许多高校毕业生的毕业论文(设计)均惨遭这种“比特币病毒”侵害，必须支付数万元赎金才能解密。而在国外，也有医院、能源等机构遭到病毒攻击，但在中国，高校的学生和老师已经成为最大受害者。

　　图1：“比特币病毒”攻击学生电脑

　　据各媒体报道，这次病毒是全国性的，涉及的范围尤其广泛，并且主要的攻击对象选择了各大高校的校园网。通过校园网的传播，这个病毒已经成功黑进了大连海事学院、贺州学院、桂林航天工业学院、山东大学等的网络。目前受病毒感染的高校名单还在增加。

　　比特币病毒敲诈各大高校

　　据了解，这是不法分子利用NSA泄露的黑客武器“永恒之蓝”发起的大范围网络攻击。“永恒之蓝”会扫描开放455文件共享端口的Windows机器，无需用户任何操作，只要开机上网，不法分子就能在电脑和服务器中植入勒索软件、远程攻击木马、虚拟货币挖矿机等恶意程序，选择高性能服务器挖矿牟利，对普通电脑则会利用勒索软件敲诈钱财，最大化地压榨受害机器的经济价值。

　　图2：某高校机房多台电脑中“比特币病毒”

　　由于国内教育网中存在大量暴露着445端口的机器，因此成为不法分子利用NSA黑客武器攻击的主要目标。目前，已有贺州学院、桂林电子科技大学、桂林航天工业学院、大连海事大学、山东大学、南京信息技术学院等数十所高校反馈遭受到病毒攻击。

　　校园网的数据关系着高校教研、教学、以及科研成果等，文件对于学校来讲是尤其重要的，面临的状况将是各种论文和科研成果的丢失以及教学的停滞。正值高校毕业季，应届生如不幸中招，论文及毕业设计被锁，将可能直接影响毕业答辩。

　　专家表示,目前微软已发布补丁MS17-010修复了“永恒之蓝”攻击的系统漏洞，

　　5月12日开始，WannaCrypt(永恒之蓝)勒索蠕虫突然爆发，，影响遍及全球近百国家，包括英国医疗系统、快递公司FedEx、俄罗斯电信公司Megafon都成为受害者，我国的校园网和多家能源企业、政府机构也中招，被勒索支付高额赎金才能解密恢复文件，对重要数据造成严重损失，全球超10万台机器被感染。

　　针对国内感染状况，5月13日下午360威胁情报中心率先发布了“永恒之蓝”勒索蠕虫态势，截至到当天下午19:00，国内有28388个机构被“永恒之蓝”勒索蠕虫感染，覆盖了国内几乎所有地区。

　　在受影响的地区中，江苏、浙江、广东、江西、上海、山东、北京和广西排名前八位。

　　WannaCrypt(永恒之蓝)勒索蠕虫是NSA网络军火民用化的全球第一例。一个月前，第四批NSA相关网络攻击工具及文档被Shadow Brokers组织公布，包含了涉及多个Windows系统服务(SMB、RDP、IIS)的远程命令执行工具，其中就包括“永恒之蓝”攻击程序。

　　鉴于WannaCrypt(永恒之蓝)勒索蠕虫影响呈现严重态势，360企业安全专门为国内大型机构发布了永恒之蓝勒索蠕虫紧急处置手册，帮助国内大型机构防范永恒之蓝勒索蠕虫。(http://zt.360.cn/1101061855.php?dtid=1101062514&did=490458355)

　　建议国内各大型机构采取以下紧急处置措施。

　　1、 确认影响范围

　　潜在受影响系统确认

　　扫描内网，发现所有开放445 SMB服务端口的终端和服务器，对于Win7及以上版本的系统确认是否安装了MS17-010补丁，如没有安装则受威胁影响。Win7以下的Windows XP/2003目前没有补丁，只要开启SMB服务就受影响。

　　已感染蠕虫系统发现

　　被感染的机器屏幕会显示如下的告知付赎金的界面：

　　360企业安全天眼系统已经更新了检测规则，自动更新规则以后，对发生感染的系统会产生告警。

　　2、应急处置方法

　　在网络层面，目前利用漏洞进行攻击传播的蠕虫开始泛滥，360企业安全强烈建议网络管理员在网络边界的防火墙上阻断445端口的访问，如果边界上有IPS和360天堤智慧防火墙之类的设备，请升级设备的检测规则到最新版本并设置相应漏洞攻击的阻断，直到确认网内的电脑已经安装了MS17-010补丁或关闭了Server服务。

　　在终端层面，如果发现445端口开放，需要关闭Server服务。

　　360企业安全天擎团队已经针对WannaCry勒索蠕虫开发了一个免疫工具，此程序在电脑上运行以后，现有蠕虫将不会感染系统。

（编辑：温州站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!