专家揭开勒索病毒真面目 勒索病毒新恐怖变种

12日，全球近百个国家和地区遭到一种勒索病毒的攻击。 一家网络安全公司表示，全球范围内至少发生过7.5万起此类网络攻击事件。 事件发生后，受影响国家采取了反制措施，欧洲刑警组织也对“幕后黑手”展开了调查。

13日，欧洲刑警组织在其官网宣布，欧洲刑警组织已成立网络安全专家组，调查发动本轮网络攻击的“幕后黑手”。 此外，欧洲刑警组织也开始与受影响国家的相关机构密切合作，共同应对网络攻击威胁，为受害者提供援助。

据介绍，计算机感染该勒索病毒后，其中的文件将被加密锁定，只有支付攻击者索要的赎金后才能解密恢复。 网络安全专家表示，勒索软件利用了 Windows 操作系统中名为 EternalBlue 的漏洞。

微软发布相关漏洞补丁

12日，美国微软公司宣布，将针对被攻击者利用的“Windows”操作系统漏洞，为其已停止服务的部分“Windows”平台提供补丁。

NHS 计算机系统恢复正常

在这一轮网络攻击中，英国国家卫生系统（National Health System）下属的多家医疗机构NHS的计算机系统瘫痪。 目前，除其中6例外，约97%已恢复正常。 英国首相特雷莎·梅13日发表讲话称，英国国家网络安全中心正与所有受攻击组织合作进行调查。

事实上，这种大规模的网络攻击并不仅限于英国。 当地时间12日，俄罗斯内政部表示，内政部约1000台电脑遭到黑客攻击，但电脑系统中的信息并未泄露。 同样遭到攻击的美国联邦快递集团表示，部分使用Windows操作系统的电脑遭到攻击，目前正在尽快修复。 西班牙国家情报中心也证实，西班牙多家企业遭受大规模网络黑客攻击。 电信巨头 Telefónica 总部的几台电脑瘫痪了。

研究人员：全球损失无法估量

美国著名软件公司赛门铁克的研究人员13日估计，这次网络攻击造成的全球损失无法估量。

赛门铁克研究人员表示，修复该漏洞成本最高的部分是清除每台受感染的计算机或服务器的恶意软件并重新加密数据。 仅此一项内容就将耗资数千万美元。

据路透社报道，这家软件公司与修复漏洞相关的高额损失不包括受影响企业遭受的损失。

我国有关部门采取预防措施

由于这款勒索蠕虫病毒发展迅速，不仅在全球范围内造成了极大的危害，而且对我国的众多工业网络也造成了极大的影响。 目前，被攻击的行业包括教育、石油、交通、公安等。针对这一情况，公安部网安局正在协调我国各网络信息安全公司，共同防范和应对。杀死这个勒索软件蠕虫。

公安部网安局专家介绍，虽然国内部分网络运营商已做好防范措施，但部分行业内网仍存在大量漏洞，成为攻击目标。 这些行业的关键服务器系统一旦遭到攻击，将造成严重损失。

公安部网络安全局总工程师 郭启权：因为它在互联网上传播，互联网相连，所以它是全球性的。 在一些部门，内部网络与外部网络在逻辑上或物理上是隔离的，但现在一些行业存在一些非法外部连接，或者一些人不注意使用U盘插入内部网络并插入外网，这样很容易将病毒带到内网。

据记者了解，该勒索蠕虫病毒会在局域网内主动攻击，通过文件共享端口进行蠕虫类感染传播，未修补系统漏洞的局域网用户会被病毒。

公安部网安局总工程师郭启全：现在我们对病毒的传播和变异及时进行监测，以后还是要及时监测发现，及时通报预警时间，并及时处理。 连日来，国家公安机关会同其他部门和专家，特别是一些信息安全公司的专家，在第一时间支持我们重要行业部门尽快应对、升级、打补丁。 此外，公安机关还在调查侦查中。 .

勒索蠕虫的真面目是什么？

勒索蠕虫从5月12日开始传播，从发现到大规模传播只用了几个小时，高校成为重灾区。 那么，这个病毒到底是一种什么样的病毒，它是如何传播的，又为何会造成如此严重的后果呢？

该勒索蠕虫针对微软永恒之蓝的漏洞进行传播和攻击。 一旦一台计算机感染了病毒，被感染的计算机就会主动对局域网内的其他计算机进行随机攻击。 理论上，局域网内所有没有修补漏洞的计算机都会感染病毒。 该漏洞微软已于今年3月发布补丁修复该漏洞。

网络安全专家孙小军：这个病毒钻了漏洞，但是我们用户没有打补丁的习惯，没有及时修复漏洞。 该病毒样本通过漏洞攻击了多台计算机。

据某网络安全公司统计，截至5月13日晚8时，我国共有39730家机构被感染，其中教育科研机构4341家。 高校成为此次蠕虫的重灾区。

网络安全专家孙小军：这个病毒利用了445这个重要端口，由于校园网ip直连，没有nat和防火墙阻断445端口的访问，所以校园内没有打补丁的机器网络直接暴露于病毒。

由于计算机蠕虫病毒具有主动攻击的特点，因此各种蠕虫病毒传播范围广。 然而，5月12日爆发的蠕虫病毒与以往不同。 它侵入电脑后，会对电脑中的图片、文档、视频、压缩文件等数据进行加密，并弹出弹窗。 被告被告知只有在支付赎金后才能解密电脑。 加密数据。

感染蠕虫病毒后，十秒之内，电脑中的所有用户文件都被加密，无法打开。 据网络安全专家介绍，一旦用户电脑感染了这种勒索病毒，目前还没有有效的方法可以解锁被加密的文件。 专家不建议用户支付赎金来解锁。

网络安全专家孙晓军：加密文件会根据病毒指引进行加密，支付赎金获取密钥，但根据目前的研究，成功的概率很低。 整个互联网安全界都在积极探索是否有办法解开这把钥匙。 因为它采用了高强度的非对称加密算法，密钥空间非常大，即使是暴力破解也需要很长时间才能破解，这是目前无法接受的。

对于已经感染病毒的用户，专家建议先使用安全软件查杀蠕虫，并保留加密文件，等到网络安全公司日后找到有效的解封方法。

5月15日或将迎来又一个病毒感染高峰

从发现勒索软件蠕虫到爆发只用了几个小时。 不过，网络专家表示，不能简单地认为感染高峰期已经过去。 5月15日，也就是下周一，可能还会有一个高峰。 网络专家特别提醒网友们一定要做好防范措施。

勒索蠕虫病毒爆发时间为5月12日，周五，是机关单位休息的周末。 网络安全专家提醒，周一上班第一件事就是断网并进行补丁修复。

网络安全专家孙小军：周一上班必须先拔网线，安装安全软件，打补丁，再插网线。 否则，没有打补丁的电脑被蠕虫攻击的概率非常高。

席卷全球的WannaCry勒索病毒影响仍在持续，目前至少有150个国家受到网络攻击。 北京青年报记者了解到，除了全国多所高校遭到网络攻击外，相当一部分企事业单位的计算机也遭到攻击。 据英国媒体报道，一名 22 岁的英国网络工程师注意到，这种勒索病毒一直试图进入一个非常特殊且不存在的网站。 他注册了这个域名，阻断了病毒的传播。 遗憾的是，勒索病毒未来仍将进一步扩散。 昨日下午，国家网络与信息安全信息通报中心紧急通报，全球爆发的勒索病毒发生变异，英国小伙意外发现的“药物治疗法”失效。

中国多处单位遭病毒攻击

5月12日晚，WannaCry勒索病毒波及全球多个国家。 国内多所高校网络遭到勒索病毒攻击。 学生毕业论文等大量重要资料被病毒加密，需要支付赎金才能恢复。

昨日，北青报记者获悉，受病毒影响的不仅是校园网络，还有一些企事业单位。

据中国联通郑州分公司工作人员介绍，5月14日，受比特币勒索病毒影响，该单位所有电脑全部瘫痪。

5月13日，响水市公安局出入境办发布公告称，受公安网络新型病毒攻击，暂时停止办理出入境业务，具体恢复时间待通知。

“一个晚上了，数据还没恢复。” 昨日，山东一名民警告诉北青报记者，受勒索病毒影响，该单位存放数据的电脑被锁定。

部分中石油加油站受​​影响

受影响的还有中石油加油站。 昨日，中石油在官网发布公告称，5月12日22时30分左右，受全球比特币勒索病毒疫情影响，公司部分加油站的正常运营受到影响。 病毒导致加油站加油卡、银行卡、第三方支付等在线支付功能无法使用。 但加油、销售等基础业务正常运行，加油卡账户资金安全不受影响。

昨日下午，北青报记者联系了北京地区的5家中石油加油站。

其中，中石油首汽12号加油站工作人员表示为什么会中比特币勒索病毒，13日以来，受新型病毒影响，加油站手机支付、加油卡支付等多种支付方式均受到影响。 虽然上午进行了紧急抢修，但网络依然不稳定。 中石油国门加油站工作人员告诉北青报，截至下午4时，国门加油站仍只接受现金支付或国门加油站加油卡支付。

中石油昨日下午表示，根据现场核实的技术方案，开始逐站实施恢复工作。 80%以上的加油站已恢复联网，受病毒影响的加油站正在逐步恢复加油卡、银行卡和第三方支付功能。

中石油大湖山庄西南、中石油东鹏加油站、中石油景顺加油站工作人员告诉北青报，中午前已恢复移动支付和加油卡支付功能。

病毒传播一度被意外阻断

来自英国的消息似乎为战胜勒索软件病毒带来了一线希望。

英媒13日报道称，一名22岁的英国网络工程师12日晚注意到勒索软件不断试图进入一个非常特殊且不存在的网站，于是他顺手花费了8.5英镑（约合人民币75元） ) ) 注册了该域名，试图通过该网址获取勒索软件相关数据。

令人难以置信的是为什么会中比特币勒索病毒，勒索软件在全球范围内的进一步传播从此被阻断。

工程师及其同事分析，这个奇怪的URL很可能是勒索病毒开发者为避免被网络安全人员抓获而设置的“检查点”，无意中注册该URL的行为触发了勒索软件自带的“自杀开关”程序 。

也就是说，勒索病毒每次爆发前都必须访问这个不存在的网站。 如果网站继续消失，说明勒索病毒还没有引起安全人员的注意，可以继续在互联网上畅通无阻地运行； 一旦该网站存在，就意味着病毒可能被拦截和分析。

在这种情况下，为了避免被网络安全人员控制获取更多数据甚至控制，勒索病毒就会停止传播。

新的勒索软件变种已经出现

误封勒索病毒的英国网络工程师和一些网络安全专家表示，这种方法只是暂时阻止了勒索病毒的进一步爆发和传播，对已经感染勒索病毒的用户并没有帮助，也不能彻底破解勒索病毒。 . 病毒。

他们推测，新版本的勒索软件很可能在没有这个“杀戮开关”的情况下卷土重来。 这种猜测果然很快就变成了现实。

昨日，国家网络和信息安全信息通报中心紧急通报：监测发现在全球范围内爆发的WannaCry勒索病毒有一个变种：WannaCry 2.0，与之前版本不同的是该变种无法通过注册域名关闭name 病毒的传播，变种可能传播得更快。

北京市委网信办、北京市公安局、北京市经济和信息化委员会也联合发布了《关于WannaCry勒索病毒变异及处置建议的通知》。

通知要求各单位立即组织内网检查。 一旦发现中毒机器，应立即将其与网络断开连接。 严禁使用U盘、移动硬盘等可以进行摆渡攻击的设备。 根据《通知》的说法，格式化硬盘似乎可以清除病毒。

欧洲刑警组织下属欧洲网络犯罪中心13日表示，此次勒索软件攻击规模空前，需要开展复杂的国际调查才能找到嫌疑人。 欧洲刑警组织已与许多国家合作调查此次袭击事件。