▲“Wana Decrypt0r2.0”软件。网络截图
5月12日晚,桂林电子科技大学实训楼内传出一阵骚动,多名学生的电脑突然被黑客攻击,开机后桌面被替换成一张黑色的墙纸,英文提示“您的重要文件已被加密”,桌面上还出现了一个名为“Wana Decrypt0r 2.0”的软件,打开后提示学生需要使用比特币支付高额赎金,才能解锁电脑文件。据目前了解,广西多所高校的电脑受到了同类攻击,国内网络安全机构已提出有效防范措施,请网友及时为电脑打补丁。
1.波及广西多所高校 黑客留言索要赎金
据记者了解,从12日晚8时开始,桂林理工大学、广西艺术学院相思湖校区、贺州学院、桂林航天工业学院以及广西区外多个院校的学生电脑集中爆发被攻击的现象。被攻击的都是接入校园网的电脑,使用的电脑系统多是 WindowsXp或是Windows7。
就读于广西艺术学院相思湖校区的微博网友“@唯凹凹”称,12日晚10时许,电脑桌面上名为“WanaDecrypt0r 2.0”的软件提示,他电脑内的所有文件都已经被加密,只能通过支付价值 300 美元的比特币作为赎金的方式才能恢复,超出限期后赎金将随着时间推移而提高。
记者从广西多个高校自媒体微博评论留言中了解到,受到攻击的学生多是应届毕业生,他们毕业论文、毕业设计被恶意加密,直接影响到了毕业答辩。晚9时起,桂林电子科技大学连续发出多个紧急通告,并紧急切断存在侵入漏洞的网络端口,减少病毒传播的途径,并提醒学生“切勿付费恢复文件,助长不法分子的气焰”。
除校园网以外,国内一些公司的服务器也被勒索软件攻击,5月10日,江苏常州的季先生表示,他所在公司服务器中包括年度销售报表、员工考勤信息等在内的几乎所有文件都遭篡改,每个文件后都被加上.onion的后缀。不法分子要求他在24小时内支付5比特币,目前价值人民币5万多元,逾期一天则翻倍。
360互联网安全中心针对校园网勒索病毒事件的监测数据显示,此次传播的病毒以代号 ONION 和 WINCRY的两个家族为主,国内首先出现前者,后者在12日下午出现并在校园网中迅速扩散。
2.病毒组团传播牟利 校园网成为重灾区
据相关网络安全机构分析,此次网络攻击是不法分子通过美国国家安全局(NSA)泄露的“永恒之蓝”黑客武器造成的攻击,受害机器的磁盘文件会被篡改为相应的后缀,图片、文档、视频、压缩包等各类资料都无法正常打开。
“永恒之蓝”会扫描开放445文件共享端口的Windows机器,无需用户任何操作,只要开机上网,不法分子就能在电脑和服务器中将所有文件改为相应后缀的加密文件。其中,ONION勒索病毒还会与挖矿机(运算生成虚拟货币)、远控木马组团传播,形成一个集合挖矿、远控、勒索多种恶意行为的木马病毒“大礼包”,专门选择高性能服务器挖矿牟利,对普通电脑则会加密文件敲诈钱财,最大化地压榨受害机器的经济价值。
中国国内曾多次爆发利用445端口传播的蠕虫病毒,国内运营商对个人用户早已封掉此端口,但校园网却无此限制,存在大量暴露445端口的机器,因此成为不法分子发动网络攻击的重灾区。在此次事件中,MAC OS 系统、Linux系统、手机用户未受到攻击。
3.目前技术尚难破解 支付赎金更不靠谱
此次勒索软件攻击,网友是否可以自己恢复文件?
据了解,此次攻击被加密的文件采用了高强度加密算法,使用暴力破解的方式,利用目前最强的量子计算机也需要几十年时间。因目前还处于病毒分析阶段,尚未找到破解加密的办法。
即便如此,网络安全部门依然不建议网友支付赎金给不法分子。一方面比特币在匿名网络中交易,难以追踪;另一方面,黑客可能会在被勒索者支付赎金时获取个人账户信息,窃取财产。据悉,网上已出现网友支付高额赎金后电脑文件仍未解锁,被不法分子再次勒索的消息。
有网友分析,此次敲诈事件中多名网友发布的软件截图,有一些比特币地址是相同的,按照比特币区块链原理,黑客只能收到钱款,却不能知道是由谁支付的。黑客可能在收到一定金额的钱款后主动公开解密算法,也可能从此消失,藏身在网络大海中,弃受害者于不顾。
应急处置措施:已被病毒感染的电脑,重装系统之前必须把电脑上所有硬盘分区低级格式化,再恢复提前备份的数据。如果局域网中已出现被感染的电脑,必须切断它与服务器的网络连接,避免其变成传染源。在紧急情况下,需要将局域网中所有电脑断网隔离。
目前已知的预防措施有:
1.不要轻易打开不明邮件或链接;
2.确认电脑防火墙处于开启状态;
3.不要插入曾接入过局域网、校园网电脑的U盘;
4.安装安全防护软件,开启反勒索服务,开启电脑系统自动更新补丁功能;
5.如果电脑还没被感染,用移动硬盘备份电脑上的重要文件、资料,也可上传至网络硬盘,以多个渠道将文件进行备份;
6.Windows 7、Windows 8、Windows10系统 ,安装微软MS17-010补丁;
7.对于Windows XP、2003等微软已不再提供安全更新的机器,可用360“NSA武器库免疫工具”检测系统是否存在漏洞,并关闭受到漏洞影响的端口。也可手动关闭445、135、137、138、139端口,断开网络共享,避免被入侵。
8.使用目前仍提供安全补丁更新的正版系统及软件,避免不法分子通过安全漏洞侵入。
来源|南国早报记者 邹财麟
编辑
