大家小心！比特幣勒索病毒席卷全球！中英同時“淪陷”！

來源：荊州網絡安全 時間：2017-05-15

5月12日，全球突發(fā)比特幣病毒瘋狂襲擊公共和商業(yè)系統事件！英國各地超過40家醫(yī)院遭到大范圍網絡黑客攻擊，國家醫(yī)療服務系統（NHS）陷入一片混亂。中國多個高校校園網也集體淪陷。全球有接近74個國家受到嚴重攻擊！

目前比特幣勒索病毒卷土重來，迅速席卷全球，普通民眾如何應對？

比特幣勒索病毒卷土重來，席卷全球！

據英國鏡報等報道，目前英國有超過40家醫(yī)院電腦受到大規(guī)模攻擊后淪陷。受到攻擊的電腦顯示，黑客索要每臺電腦300美元的贖金（以英國醫(yī)院為例，如果每家醫(yī)院有1000臺電腦計算，相當于醫(yī)院需要支付近300萬人民幣贖金）。如果用戶不支付價值300美元的比特幣，電腦里的全部資料將于7日內被刪除。同時黑客還警告，金額會在3日后翻倍。

受網絡攻擊影響的40家醫(yī)院所有IT系統，如電話系統和患者管理系統目前通通暫停。這意味著所有系統都處于離線狀態(tài)，醫(yī)院根本無法接聽來電。候診的急癥病人會根據醫(yī)生的安排，轉移到其他地方。目前至少一家醫(yī)院被迫關閉。

除了英國的醫(yī)療系統和商家以外，中國多個高校也同時發(fā)布了關于連接校園網的電腦大面積中勒索病毒的消息。這種病毒致使許多高校畢業(yè)生的畢業(yè)論文（設計）被鎖，需支付高額比特幣贖金后才能解密。據網易的“壹號特工”公號爆料，病毒是全國性的，疑似通過校園網傳播，十分迅速。目前受影響的有大連海事學院、賀州學院、桂林電子科技大學、桂林航天工業(yè)學院以及廣西等地區(qū)的大學。

而據騰訊等報道，根據網絡安全機構通報，這是不法分子利用NSA黑客武器庫泄漏的“永恒之藍”發(fā)起的病毒攻擊事件。“永恒之藍”會掃描開放445文件共享端口的Windows機器，無需用戶任何操作，只要開機上網，不法分子就能在電腦和服務器中植入勒索軟件、遠程控制木馬、虛擬貨幣挖礦機等惡意程序。

而據英國天空衛(wèi)視報道，除了中英之外，全球有74個國家也遭受到“Ransomware”病毒的網絡攻擊，包括西班牙，俄羅斯，烏克蘭和印度。目前已經發(fā)生了超過45,000次攻擊，主要發(fā)生在俄羅斯。

一接受英國天空衛(wèi)視采訪的安全顧問表示：由于部分受攻擊的國家和單位系統的知名度和認知度問題，受害者的范圍實際可能更多?！?/p>

潛伏的黑手

其實早在去年，BBC就已報道，根據2家網絡安全公司進行的信息調查顯示，在過去的1年中，英國有23所大學，28家國民醫(yī)療保健系統（NHS）醫(yī)院和相關信托機構遭到了“勒索軟件”（ransonware) 的嚴重攻擊。其中一家大學甚至在過去的12個月中遭到了起碼21次的故意攻擊，讓學校和醫(yī)院的所有數據（包括學生和病人的各種資料）面臨巨大的潛在威脅！

而據警方透露，目前勒索軟件涉及的最大一筆贖金是5個比特幣（大約相當于2900美元或2200英鎊）。

“勒索病毒”到底是什么？

所謂“勒索病毒軟件”，是黑客用來攻擊用戶計算機，對計算機內部的信息、資源進行加密，并以解密為交換條件對用戶進行錢財勒索的惡意軟件。它收取的贖金一般以“比特幣”支付，目的在于隱蔽黑客身份。據了解，按照“匯率”，1比特幣約等于582美元。

根據美國政府的統計，在美國國內，單單2016年，“勒索軟件”攻擊發(fā)生的頻率就激增了300%，幾乎每天都有4000件此類勒索案件發(fā)生，其危害程度絕對不容忽視。

如今，“勒索軟件”更將魔爪伸向移動設備，包括手機。它的陰影籠罩著人們普通生活、工作涉及到的一切。

由于利用“勒索軟件”攻擊發(fā)生在缺乏完善監(jiān)控的網絡空間，對于案件的偵破有一定的難度，因此美國政府建議，針對勒索軟件最好的防衛(wèi)措施便是預防，并建議用戶應采用“垃圾郵件過濾”、“防火墻”、殺毒軟件、備份數據等方法來進行預防。如果計算機不幸被感染，應該盡快將切斷任何網絡及關機。

“勒索病毒”的黑手是怎么伸出的？

HKCERT （Hong Kong ComputerEmergency Response Team Coordination Centre，香港電腦保安事故協調中心）指出，勒索病毒軟件主要通過大量垃圾郵件及被入侵的網站快速散播。受害者往往是在打開垃圾電郵的附件時，或使用被入侵的網站和網上廣告載入漏洞攻擊包而受到感染的。

目前已知的垃圾電郵標題包括:

ATTN: Invoice J-[RANDOM NUMBERS]

Your booking [RANDOM NUMBERS] is confirmed

Payment ACCEPTED [RANDOM NUMBERS]

FW: Invoice 2016-M#[RANDOM NUMBER]

這些惡意電郵中的附件，可能是已啟動“宏”的微軟 Office 檔案，亦可能是包含 javascript (.js) 的 zip 壓縮檔案，或其他格式的檔案。這些帶有惡意程式或代碼的附件通常是可以避過反惡意軟件偵測的下載器。此外 HKCERT 亦發(fā)現部份受害者在訪問被黑客入侵的網站時也會受到感染，這些網站主要是針對 Internet Explorer 的用戶。

受到感染后，勒索軟件通常會將用戶系統上所有的文檔、郵件、數據庫、源代碼、圖片、壓縮文件等多種文件進行某種形式的加密操作，使之不可用，或者通過修改系統配置文件，干擾用戶正常使用系統，使系統的可用性降低；

在用戶心急如焚想要開啟文檔時，勒索軟件就會通過彈出窗口、對話框或生成文本文件等的方式，向用戶發(fā)出勒索通知，要求用戶向指定帳戶匯款來獲得解密文件的密碼，或者獲得恢復系統正常運行的方法。

勒索病毒背后巨大的利益驅動

勒索軟件目前的目標主要集中在企業(yè)，如這次遭受大規(guī)模攻擊的英國國立醫(yī)院系統和中國高校系統。醫(yī)院、學校和企業(yè)的運轉牽涉到廣大的人群，因而“勒索軟件”對其帶來的威脅尤其巨大，而所能索取的贖金往往也更高。

2013年，一款勒索軟件“密碼鎖”，在兩個月之內入侵超過23.4萬臺微軟“視窗”操作系統電腦，最終黑客“獲利”2700萬美元！

除了要支付巨額贖金外，被勒索的對象也面臨著其他方面的潛在威脅。如對醫(yī)院而言，第一，會導致有關于病人的診病歷史和藥物歷史被加密，難以獲取。第二，會影響到整個醫(yī)院的運作，某些依賴電腦來控制的裝置難以運轉，其中包括手術室的預約和手術進行。這些威脅無疑非常不利于保障病人的安全。就其他企業(yè)而言，其運轉同樣會受到負面的影響，極可能導致不必要的經濟損失。

普通民眾如何應對？

“勒索病毒軟件”蔓延迅猛，一旦受到感染，用戶會陷入無處脫逃的困境，是否支付贖金是一個兩難的問題，所以“預防”是唯一也是最好的辦法。

HKCERT提出了一些避免受勒索軟件影響的建議：

Tips 1. 刪除收到的可疑電郵，尤其是包含鏈接或附件的。

2. 部份微軟Office檔案會要求用戶啟動“宏”以觀看其內容，對此類電郵附件必須提高警覺。

3. 定期備份電腦上的檔案。

4. 確保更新電腦上的入侵防護保安軟件。

5. 保持更新操作系統及其他軟件。

6. 一旦受到感染，馬上將受感染電腦從網絡上及外置儲存裝置隔離。不要在清除惡意軟件前開啟任何檔案。

7. 不建議支付贖金。

8. 下載軟件使用手機、電腦的官方軟件下載平臺。

如果不幸中毒，湖北國聯網絡安全工程師教授大家五種暫時應對的方法：

1、不要給錢。贖金很貴并且交了之后未必能恢復。

2、未中毒的電腦迅速多次備份數據。已中毒的，重裝系統前把硬盤低格，然后安操作系統。

3、安裝反勒索防護工具，但僅在病毒侵入前有作用，但對已經中病毒的電腦無能為力，還是要做好重要文檔備份工作。不要訪問可以網站、不打開可疑郵件和文件

4、關閉電腦包括TCP和UDP協議135和445端口

5、還看不懂的，把網掐了。

如果你是電腦小白，不幸中毒，最好的應對方法估計就是拔掉網線了....