全球爆发勒索病毒 多家安全厂商推防御方案

本篇文章1786字，读完约4分钟

北京，5月14日(新华社)——5月12日，在英国、意大利、俄罗斯和世界其他国家爆发了勒索软件攻击，中国的校园网也未能幸免。一些大学的电脑被感染了，一些学生的毕业论文被病毒加密了，只有支付高额赎金才能恢复。

在英国方面，5月12日，英国国家医疗服务系统遭受了大规模的网络攻击。许多公立医院的计算机系统几乎同时瘫痪，电话线被切断，导致许多急诊病人被迫转院。据《每日邮报》报道，英格兰和苏格兰至少有19家国民保健服务附属医疗机构遭到网络攻击，其中包括医院和全科医生诊所。

与此同时，随着周一工作日的到来，更多的电脑将会被打开，而软件很可能会卷土重来。

(ransomware全球爆发热图)

勒索:支付300美元解锁电脑

根据杭州师范大学一名学生的反馈，“晚上我在宿舍的电脑上玩视频，出去玩了一会儿，回来发现电脑被骗了。”电脑桌面上显示着一封勒索信。这封信可以用中文、韩文、日文和英文显示。信的内容大致是，如果你想在你的电脑上解锁文件，请支付相当于300美元的比特币。它还威胁说，如果你不在一周内付款，你将永远无法恢复文件。”“我的室友也感染了同样的病毒。我们使用的是同一个校园网络，也就是晚上会断开的网络。”

据了解，病毒发布者在2017年2月使用去年被盗的美国国家安全局(nsa)设计的黑客工具“永恒之蓝”升级了一种病毒。受感染的windows用户必须在7天内支付比特币作为赎金，否则所有计算机数据将被删除，无法修复。这种病毒要求用户在被感染后三天内支付相当于300美元的比特币，三天后赎金将翻倍。

(电脑中毒后屏幕上跳出勒索信)

预防:如何避免电脑中毒？

据中国互联网应急中心介绍，目前，安全行业还未能有效破解恶意加密软件的行为。一旦用户主机被软件渗透，软件行为只能通过重新安装操作系统来解除，而用户的重要数据文件不能直接恢复。

在防范方面，腾讯安全联合实验室反病毒实验室负责人、腾讯电脑管家安全技术专家马劲松指出，首先，口岸暂时关闭。Windows用户可以使用防火墙对个人电脑进行过滤，并暂时关闭端口135、137和445上的3389远程登录(如果不想关闭3389远程登录，至少应该关闭智能卡登录功能)，并注意更新安全产品进行防御，从而最大限度地降低计算机攻击的风险。

(windows用户可以使用防火墙过滤个人计算机，并暂时关闭端口135、137和445上的3389远程登录)

第二，及时更新windows发布的安全补丁。当ms17-010漏洞刚刚在三月份爆发时，微软已经为win7、win10和其他系统提供了安全更新；这一事件爆发后，微软很快发布了windows xp和其他系统的特殊补丁，这些补丁以前没有提供官方支持。

第三，使用“ransomware免疫工具”进行修复。用户通过其他电脑下载腾讯电脑管家的离线版“软件免疫工具”，并将文件复制到安全无毒的u盘上；然后在wi-fi关闭，网线拔掉，重要文件尽快备份时，打开指定的电脑；然后通过u盘使用离线版本的“软件免疫工具”一键修复漏洞；当你连接到互联网时，你可以正常使用你的电脑。

(腾讯电脑管家推出针对ransomware的“ransomware免疫工具”)

第四，后援。重要数据必须备份，以免数据丢失。

分析:为什么学院和大学成为软件最受打击的领域

马劲松指出，高校普遍接入的网络是服务于教育、科研和国际学术交流的教育研究网络。出于学术目的，大部分主干网没有对端口445采取预防措施，这也是导致大学成为这次受灾最严重地区的原因之一。

此外，如果用户的计算机打开防火墙，它也将阻止计算机从端口445接收数据。然而，在中国的大学里，有些学生有时需要关闭防火墙才能玩局域网游戏，这也是这一事件在中国大学里广泛传播的另一个原因。

(腾讯安全联合实验室反病毒实验室发布的病毒攻击流程图)

同时，由于特洛伊木马使用aes加密文件，rsa 2048加密随机密钥，因此每个文件都使用随机密钥，这在理论上是不可破解的。目前，已证实有传言称，木马病毒的作者已经在互联网上发布了密钥。事实上，在公共网络环境中，病毒的切换机制被设置为关闭模式，这暂时阻止了它的传播，但作者制造新品种的可能性并不排除。提醒用户不要相信谣言，以免造成更严重的损失。

最后，提醒用户加强网络安全意识，不要点击陌生链接，不要下载陌生文件，不要打开陌生邮件！

来源：搜狐微门户