“勒索软件病毒”肆虐中国多所高校：一旦中招便无法“挽救”

全球多个国家正在遭受一次勒索软件病毒攻击，中国多所高校相继“沦陷”，不少校园网用户电脑中的文件被加密锁住，支付黑客所要求赎金后方能解密恢复。

目前，已有多所已经或尚未遭受病毒攻击的高校向校园网用户发出预警，并提出“建议”。勒索软件的猖獗也“惹毛”了微软，据该公司官网消息，微软专门为已经不受支持的Windows XP，Windows 8和Windows Server 2003版本推出了特别版补丁。

早在4月16日，国家互联网应急中心就发布“预警”称，“考虑到近期有可能出现的攻击威胁，建议相关单位和个人用户做好以下措施：关闭135、137、139、445、3389等端口的外部网络访问权限；加强对上述端口的内部网络区域访问审计，及时发现非授权行为或潜在的攻击行为；做好本单位Window XP和Windows server 2003主机的排查，使用替代操作系统。”

5月13日，国家互联网应急中心再次发布通告称，目前，安全业界暂未能有效破除该勒索软件的恶意加密行为，用户主机一旦被勒索软件渗透，只能通过重装操作系统的方式来解除勒索行为，但用户重要数据文件不能直接恢复。“建议广大用户及时更新Windows已发布的安全补丁，做好信息系统业务和个人数据的备份。”

多所高校提示开机前先拔网线

澎湃新闻梳理得知，目前包括山东大学、江苏大学、太原理工大学、桂林电子科技大学在内的多所高校已有不少校园网用户“中招”，上述学校及其他一些尚未波及的高校均向学生发出预警。

江苏大学信息化办公室工作人员5月13日下午告诉澎湃新闻，该校已有学生因电脑中毒前来申请维修，但在目前的情况来看，一旦中招便无法“挽救”，“还没有中毒的，建议开机前拔了网线，将重要的资料备份”。

太原理工大学信息化管理与建设中心5月13日发布消息称，从该校被感染机器的情况来看，一是操作系统、Office软件等没有采用正版软件，且漏洞、补丁更新不及时；二是不常用端口没有封闭；三是个人网络安全意识淡漠，没有定期备份文档的习惯。

该校提醒校园网用户，开机前先拔掉网线断开网络，启动window后并关闭445、135、137、138、139端口，然后再接入网络。“目前微软已发布补丁MS17-010修复了‘永恒之蓝’攻击的系统漏洞，请广大师生尽快为电脑安装此补丁，网址为https://technet.microsoft.com/zh-cn/library/security/MS17-010，对于XP、2003等微软已不再提供安全更新的机器，推荐使用360‘NSA武器库免疫工具’检测系统是否存在漏洞，并关闭受到漏洞影响的端口，可以避免遭到勒索软件等病毒的侵害。免疫工具下载地址：http://dl.360safe.com/nsa/nsatool.exe。”

太原理工大学信息中心还建议学生“安装正版操作系统、Office软件等，并将windows升级功能设置为自动升级安装。不明链接不要点击，不明文件不要下载，不明邮件不要打开，不要乱用U盘。” 目前，该校信息中心已采取缓解措施，在校园网核心网络设备上禁止外网对校园网445、135、137、138、139端口的连接。

较早遭受病毒攻击的山东大学5月12日晚发布的预警信息与太原理工大学类似，该校信息化工作办公室并且提供了正版软件供教职工下载、安装。该校工作人员告诉澎湃新闻，“建议更新系统，目前尚未发现windows 10系统的电脑中这个病毒的。”

此外，大连海事大学、同济大学、上海海事大学、北京大学、北京师范大学等高校也采取了紧急预防措施，提醒校园网用户做好预防措施。

微软紧急为Windows XP发特别补丁

奇虎360董事长周鸿祎5月13日中午在“头条问答”上回答相关提问时称，据360安全中心分析，此次校园网勒索病毒是由NSA泄漏的“永恒之蓝”黑客武器传播的。

“目前，‘永恒之蓝’传播的勒索病毒以ONION和WNCRY两个家族为主，受害机器的磁盘文件会被篡改为相应的后缀，图片、文档、视频、压缩包等各类资料都无法正常打开，只有支付赎金才能解密恢复。这两类勒索病毒，勒索金额分别是5个比特币和300美元，折合人民币分别为5万多元和2000多元。”

2017年3月，微软发布了针对“永恒之蓝”的漏洞补丁：MS17-010。微软发言人的声明称：微软已发布了Win32.WannaCrypt，对抗恶意勒索软件，但相当一部分用户因为使用XP系统或更老的系统，或者关闭了微软升级推送，导致PC在高风险状况下运行。

此前360安全中心也已推出“NSA武器库免疫工具”（下载连接： http://dl.360safe.com/nsa/nsatool.exe），能够一键检测修复NSA黑客武器攻击的漏洞；对XP、2003等已经停止更新的系统，免疫工具可以关闭漏洞利用的端口，防止电脑被NSA黑客武器植入勒索病毒等恶意程序。

周鸿祎称，“建议大家重要文件提前备份，开启360安全卫士防勒索服务。加强安全意识，不明链接不要点，不明文件不要下载，不明邮件不要点开。北京一家科技公司对此也开出临时方案：开启系统防火墙；利用系统防火墙高级设置阻止向445端口进行连接（该操作会影响使用445端口的服务）；打开系统自动更新，并检测更新进行安装。

其实，早在2017年4月16日，国家互联网应急中心就对有可能产生的大规模“勒索软件”攻击进行了预警。通告显示，北京时间4月14日晚间，Shadow Brokers（影子经纪人）组织在互联网上发布了此前获得的部分方程式黑客组织（Equation Group）的文件信息，包含针对Windows操作系统以及其他服务器系统软件的多个高危漏洞利用工具。

根据微软官方发布的声明称，其中涉及的大部分漏洞已在微软支持的产品中修复，比如，2017年3月，微软发布了针对“永恒之蓝”的漏洞补丁：MS17-010，但由于微软已经停止对Windows XP和Windows Server 2003的安全更新，因此对于XP和2003用户以及其他未打补丁的用户直接构成攻击威胁。

微软发言人彼时称：微软已发布了Win32.WannaCrypt，对抗恶意勒索软件，但相当一部分用户因为使用XP系统或更老的系统，或者关闭了微软升级推送，导致PC在高风险状况下运行。

勒索软件在全球多国的猖獗行为“惹毛”了微软，据该公司官网消息，微软专门为已经不受支持的Windows XP，Windows 8和Windows Server 2003版本推出了特别版补丁。