受勒索病毒攻击后的电脑界面

国内机构感染”永恒之蓝“勒索蠕虫地域分布

勒索病毒攻击流程

　　国家互联网应急中心通报称，该病毒利用Windows操作系统445端口存在的漏洞进行传播，具有自我复制、主动传播的特性，感染用户计算机后，对计算机中的文档、图片、视频、压缩包等各类资料实施高强度加密，并向用户勒索300美金等价的比特币，还威胁称，一周之内不付款，就将永远无法恢复文件。

　　这场网络攻击首先发生在英国国家卫生服务系统（NHS），5月12日，英国16家医院的网络被攻陷，随后，西班牙的电话公司（Telefonica）、天然气公司(Gas Natural)、电力公司(Iberdrola)，意大利的大学机房，德国火车站系统，美国联邦快递(FedEx)以及俄罗斯内政部超过1000台电脑纷纷中招。中国也未能幸免，5月13日下午，360威胁情报中心发布了“永恒之蓝”勒索蠕虫态势，截至当天19：00，国内已有28388个机构被感染，覆盖国内几乎所有地区，其中，江苏、浙江、广东、江西、上海、山东、北京和广西排在前八位。我国高校、能源等网络系统为重灾区，包括山东大学、大连海事大学、江苏大学、太原理工大学、南开大学等在内的多所高校的校园网受到攻击，高峰期每小时攻击可达4000次，大量学生发现自己的电脑中了病毒，毕业论文、设计等重要学术文件被加密锁定，各大高校相继发布预警防范通知，微博上也有全国各地大量网友留言称电脑被黑。此外，北京、上海、重庆、成都等地的部分中石油旗下加油站在13日0点左右突然断网，只能使用现金支付。13日下午，苏州市公安局交警支队官方微博发布消息称：“因受病毒感染，致车辆检测监管服务器无法正常运作，目前正在全力抢修。”

5月13日，苏州交警通过官方微博发布消息称“受到电脑病毒感染”

意外阻止勒索病毒蔓延的英国小哥

英国小哥阻止勒索病毒蔓延后，发twitter自嘲“这是一个意外”

　　然而，这场被称为“迄今为止全球最大规模的勒索软件攻击事件”却被一位英国安全人员的意外之举给化解了。据英国媒体报道，这位英国小哥分析了病毒代码后发现一个特殊的域名地址，12日之前，网络上完全没有针对该域名的访问，而此后其访问量激增，峰值达到每小时1400多次，出于职业习惯，他花费8.29英镑注册了该域名，注册成功后，这个域名接到了几乎全世界各个国家的电脑连接。随后，安全人员在代码中找到这样的语句:“如果这个域名存在，则退出一切；如果这个域名不存在，则继续攻击。”也就是说，这个域名，是病毒作者为了防止事态失控而留给自己的一个紧急停止开关， 一旦该域名被注册，病毒就会停止传播。事后，英国小哥在twitter上自嘲道：“我坦白，在注册这个域名前，完全不知道能停止这次病毒的传播，这是一个意外。”不过，该安全人员还是提醒大家，要尽快对操作系统进行升级、补丁，因为不知道黑客什么时候还会再发起进攻。

　　中国网络安全公司360首席安全工程师郑文彬介绍，该病毒采取了公钥体系和非常高级的加密算法，目前暂无有效破解或者杀灭方法，一旦受到攻击，只能提供赎金或重装系统，因此，提前做好预防是最重要的。

　　预防“勒索”病毒指南：

　　1. 为计算机安装最新的安全补丁，微软已发布补丁MS17-010修复了“永恒之蓝”攻击的系统漏洞，网址为

https://technet.microsoft.com/zh-cn/library/security/MS17-010;对于windows XP、2003等微软已不再提供安全更新的机器，可使用360“NSA武器库免疫工具”检测系统是否存在漏洞，并关闭受漏洞影响的端口。免疫工具下载地址：http://dl.360safe.com/nsa/nsatool.exe。

　　2. 关闭端口，关闭网络共享。Windows用户可以使用防火墙过滤个人电脑，并且临时关闭135、137、445端口3389远程登录（如果不想关闭3389远程登录，至少也是关闭智能卡登录功能），并注意更新安全产品进行防御，尽量降低电脑受攻击的风险。

　　3. 不要轻易打开不明来源的邮件和链接。

　　4. 定期在不同的存储介质上备份信息系统业务和个人数据。

　　5. 建议仍在使用windows XP、2003操作系统的用户尽快升级到windows7/windows10，或windows 2008/2012/2016操作系统。

　　（大众网-山东24小时客户端 见习记者 王乐双）