注意！勒索病毒席卷全球：攻击这类电脑 破解靠

中新网北京5月14日电近日，包括中国在内的全球近100个国家和地区的部分电脑遭到了同类软件的攻击。记者了解到，目前安全机构还未能有效破解ransomware的恶意加密行为，用户只能采取防范措施。用户中毒后，可以通过重新安装操作系统移除ransomware，但用户的重要数据文件无法直接恢复。

全世界近100个国家和地区遭到了勒索软件的攻击

据外媒报道，日前，全球近100个国家和地区的计算机系统遭到一种名为WannaCry的病毒攻击，攻击者被要求支付比特币解锁。12日，安全软件制造商Avast表示，已在99个国家观察到超过57000例感染病例。

根据用户在社交媒体上发布的照片，赎金软件在锁定电脑后索要价值300美元的比特币，并显示“嘿，你的文件加密了！”对话框等字样。

13日，中国国家互联网应急中心发文称，互联网上存在针对Windows操作系统的勒索软件攻击案件。该ransomware利用之前披露的Windows SMB服务漏洞向终端用户渗透扩散，勒索用户比特币或其他有价值的东西。

电脑被ransomware攻击后的弹出窗口。照片由腾讯杀毒实验室提供

腾讯防病毒实验室也在接受中新采访时说。这是近年来非常流行的一种依靠强加密算法进行勒索的攻击方法。与以往的攻击不同，这种ransomware结合蠕虫传播，采用了不久前国家安全局泄露的MS17-010漏洞，受害者无需下载、查看或打开任何文件就可以发起攻击。

中国很多大学的电脑都被病毒入侵了

中国国家互联网应急中心还表示，此次勒索软件攻击涉及国内用户，已构成严重的攻击威胁。

从5月12日晚开始，国内很多大学的师生发现自己电脑里的文件和程序打不开，却弹出一个对话框，要求支付比特币等赎金后再恢复。

记者注意到，山东大学、南昌大学、广西师范大学、东北财经大学、电子科技大学中山学院等十几所高校发布病毒攻击通知，提醒师生注意防范。

南昌大学官方微博发布的ransomware病毒攻击通知截图。

有高校通报，最近国内很多高校感染了Orion ransomware，磁盘文件会被加密为。猎户座后缀被病毒。只有支付高额赎金才能解密和恢复文件，对学习资料和个人资料造成严重损失。据网络安全局称，这是犯罪分子利用从NSA黑客武库中泄露的“永恒之蓝”发起的病毒攻击。

国内外被攻击的电脑都是同一种病毒

腾讯反病毒实验室表示，在NSA泄露的文件中，WannaCry传输模式的漏洞代码被称为“永恒蓝”，因此有媒体报道称攻击是“永恒蓝”。

根据腾讯杀毒实验室的分析，这个WanaCry2.0系列攻击其实是蠕虫攻击，威力和conficker相当。一旦蠕虫攻击到一台可以连接到公共网络的用户机器上，它将使用EnternalBlue中内置的攻击代码自动在内部网中搜索一台端口为445的机器进行渗透。

据中国国家互联网应急中心称，当用户主机系统被勒索软件入侵时，用户主机上的重要数据文件，如照片、图片、文档、压缩包、音频、视频、可执行程序等各类文件被恶意加密，后缀名称统一改为”。WNCRY”。

为什么病毒袭击了国内高校的“重灾区”？

腾讯防病毒实验室认为，高校普遍接入的网络是一个服务于教育、科研和国际学术交流的教育研究网络。出于学术目的，大部分骨干网并没有对445端口采取防范措施，这也是导致大学这次成为重灾区的原因之一。

此外，如果用户的计算机打开防火墙，也将阻止计算机从端口445接收数据。但是在中国的大学里，有些学生为了玩局域网游戏，有时需要关闭防火墙，这也是这一事件在中国大学广泛传播的另一个原因。

腾讯安全杀毒实验室发布的WanaCrypt0r 2.0攻击流程图。

腾讯防病毒实验室还表示，相关网络运营商在骨干ISP策略中发挥了重要作用，习惯性禁止445端口数据传输，防止蠕虫等病毒传播。在此漏洞事件中，间接降低了此漏洞带来的风险。

你的电脑中毒了怎么办？

根据中国国家信息安全漏洞共享平台秘书处的普查结果，互联网上有900多万台IP主机暴露在445个端口上，而中国大陆有300多万台IP主机。

据外媒报道，一名网络安全研究员称，他找到了阻止病毒传播的方法，但警告说这只是暂时的。

据中国国家互联网应急中心介绍，目前，安全行业还未能有效破解ransomware的恶意加密行为。一旦用户主机被ransomware渗透，只能通过重新安装操作系统来解除ransomware行为，而不能直接恢复用户的重要数据文件。

中国国家互联网应急中心发布的漏洞攻击工具，可能通过445端口发动攻击。

腾讯杀毒实验室表示，这种病毒和之前的勒索攻击一样，采用了高强度的加密算法，所以事后恢复文件非常困难，关键是要事前防范。

如何才能防止电脑被勒索软件绑架？

在防范方面，国内很多安全机构都建议，第一，及时更新Windows发布的安全补丁。当MS17-010漏洞3月份刚刚爆发时，微软已经为Win7、Win10等系统提供了安全更新；这一事件爆发后，微软迅速发布了针对Windows XP等此前未提供官方支持的系统的特殊补丁。

二是在电脑上安装腾讯电脑管家、360安全卫士等安全软件，并保持实时监控功能开启，可以拦截木马病毒的入侵。

Windows 7系统用户可以打开控制面板，点击防火墙-高级设置-入站规则-新规则-勾选“端口”-点击“协议和端口”，勾选“特定本地端口”，填写445，点击下一步，继续点击“阻止链接”，继续下一步，命名规则，然后关闭445端口。

国家互联网应急中心还建议关闭445等端口的外网访问权限，关闭服务器上不必要的上述服务端口；加强445等端口的内网区域访问审计，及时发现未授权行为或潜在攻击行为；由于微软已停止部分操作系统的安全更新，建议排查Window XP和Windows server 2003主机，使用替代操作系统；完成信息系统业务和个人数据的备份。