比特币勒索事件预计一周左右平息

经济观察报记者 张文扬 5月12日晚，一场大规模的勒索软件攻击席卷了全球近百个国家的10万多个组织机构的电脑。

在受感染的计算机上，信息以 28 种语言显示，要求每台计算机支付 300 美元的赎金。 如果用户不支付价值 300 美元的比特币，计算机上的所有数据将在 7 天内被删除。 同时，黑客还警告称，3天内金额将翻倍。

目前，名为WannaCrypt（永恒之蓝）的病毒已感染中国约3万家机构数十万台机器，几乎覆盖所有地区，影响范围遍及高校、车站、自助终端、邮政、燃气车站、医院、政务服务终端等领域。 而且受感染的计算机数量仍在增长。

5月15日，作为中国疫情暴发后的第一个工作日，也迎来了最大的考验。

攻击范围广

目前，全球已有大量组织报告遭到“勒索软件”软件的攻击，这些组织分布在美国、英国、中国、俄罗斯、西班牙、意大利、越南等地。

英国NHS医疗系统首当其冲。 5 月 12 日，伦敦、英格兰西北部和该国其他地区的医院因“大规模”黑客攻击而瘫痪。手术被取消，救护车被转移到其他医院。 医护人员报告说他们的系统被锁定，无法进入。屏幕上出现一条消息，要求他们支付“赎金”才能重新打开系统。 医院要求患者除非是紧急情况，否则不要来医院。

西班牙电信巨头Telefonica、电力公司Iberdrola、能源供应商Gas Natural等西班牙企业的网络系统也陷入瘫痪。 葡萄牙电信、美国运输巨头联邦快递、瑞典某地方政府、俄罗斯第二大移动通信运营商Megafon都曾曝光过相关攻击事件。

13日，欧洲刑警组织在其官网宣布，欧洲刑警组织已成立网络安全专家组，调查发动本轮网络攻击的“幕后黑手”。 此外，欧洲刑警组织也开始与受影响国家的相关机构密切合作，共同应对网络攻击威胁，为受害者提供援助。

国家互联网金融实验室高级研究员朱以翔告诉经济观察网，WannaCry病毒早在今年2月份就出现了，5月12日出现的WannaCry病毒是2.0版本。 不同的是，Wanna Cry病毒的作者在“传播”环节中使用了美国国家安全局的网络武器库工具，使其传播达到了“核武器”级别。

校园网之死

8点左右，宋同学“成功”了。 他告诉经济观察网，晚上在宿舍用电脑做毕业设计，出门拿外卖，回来发现电脑中毒。 计算机桌面上显示了赎金字条。 在这封信上，你可以选择显示语言，包括中文、韩文、日文、英文等。信的内容大致是，如果你想解锁你电脑上的文件，请支付300美元等值的比特币。 上面还威胁说，如果一周内不付款，这些文件将永远无法恢复。

宋同学关闭了病毒显示窗口，不过过了一会儿，病毒窗口又弹出来了。 当我查看电脑时，发现Word、MP3、PPT等所有文件都被锁定了。 随后，宋某苦战数月即将交上的毕业设计也被锁定。

与宋同住一间宿舍的李某，也遭受了这次病毒勒索。 其实在同一个校园网中，遇到这种攻击的人不在少数。

国内多所高校也发布了大面积连接校园网的计算机中出现勒索病毒的消息。 该病毒导致不少大学毕业生的毕业论文（设计）被锁定，需要支付高额比特币赎金才能解密。 目前受影响的有大连海事大学、贺州大学、桂林电子科技大学、桂林航天工业学院，以及广西等地区的高校。

据相关机构统计，目前中国每天有超过5000台机器受到美国国家安全局“永恒之蓝”黑客武器的远程攻击，而教育网络是重灾区。 朱以翔分析，像校园网这样“准封闭”的网络环境受到了很大的影响。 这些环境的网络边界比较复杂（多且乱），主要是大型内网，内部互访多，内部基本不设防。 一旦有虫进入，内部便畅通无阻。

由于之前国内爆发过使用445端口的蠕虫，运营商已经对个人用户屏蔽了445端口，但是教育网没有这个限制，仍然有大量机器暴露445端口。

“永恒之蓝”会扫描开放文件共享端口445的Windows机器，无需用户任何操作，只要电脑开机并联网，不法分子就可以植入勒索软件、远程控制木马、虚拟货币矿机等. 在计算机和服务器中。 程序。

比特币邪恶

被攻击的电脑显示，黑客索要每台电脑300美元的赎金——以一家医院为例，如果每家医院有1000台电脑，相当于医院需要支付近300万元的赎金。

比特币是一种虚拟货币，不是由特定机构发行，而是根据特定算法通过大量计算产生的。 可以用大多数国家货币购买和交换真实或虚拟物品。

比特币勒索病毒（CTB-Locker）于2015年初首次传入中国，随后爆发式传播。 该病毒通过远程加密用户电脑文件的方式向用户勒索赎金，用户支付赎金后才能打开文件。

最新变种勒索金额为3个比特币，约合人民币6000元。 该病毒伪装成电子邮件附件。 一旦受害者点击运行，就会弹出类似“订单详情”的英文文档。 此时病毒已经在系统后台悄悄运行，10分钟后就会开始攻击。

赎金付清了吗？ 大多数“成功”的用户并不买账。 他们选择刷新系统而不是支付赎金。 而那些毕业项目被锁定的毕业生们服务器中了比特币勒索病毒，也在苦苦满足着黑客。

问题仍然存在，加密文件在支付赎金后是否万无一失？ 朱以翔介绍，如果是数据库什么的，有90%的概率可以把数据抽出来还原； 如果是office文件，而且文件比较大（大于1.5兆），有一定概率可以恢复； 如果是小文件，还有恢复的希望。 比较苗条。

美国著名软件公司赛门铁克的研究人员13日估计，这次网络攻击造成的全球损失无法估量。

赛门铁克研究人员表示，修复该漏洞成本最高的部分是清除每台受感染的计算机或服务器的恶意软件并重新加密数据。 仅此一项内容就将耗资数千万美元。

对策

一名英国安全研究人员在捕获的 Wannacry 蠕虫样本中发现了一个非常长的域名。 他出于职业习惯购买并注册了域名。 原来，这个域名是被勒索者用来控制蠕虫病毒传播的。 他无意中的“秘密开关”成功遏制了蠕虫的传播，挽救了数千台电脑。

然而服务器中了比特币勒索病毒，敲诈勒索者并没有就此止步，他们在进行技术改造后再次释放病毒。

国家互联网应急中心博士、工程师韩志辉表示，目前安全行业还未能有效破解勒索病毒的恶意加密行为。 用户主机一旦被勒索病毒侵入，只能通过专门的查杀工具或重装操作系统来清除。 勒索病毒，但用户的重要数据文件无法完全恢复。

近几天对付该勒索病毒的实践表明，及时安装安全防护软件和更新安全补丁是广大用户最有效的应对措施。 即使是没有直接连接到互联网的内网计算机也应该考虑安装和升级安全补丁。 作为单位的系统管理技术人员，也可以采取关闭勒索软件使用的端口和网络服务等措施。

北京市委网信办、北京市公安局、北京市经信委联合发布《关于WannaCry勒索病毒变种及处置建议的通知》指出，有关部门发现WannaCry勒索病毒变种：WannaCry 2.0，与之前版本不同的是，该变种取消了所谓的Kill Switch，无法通过注册某个域名来关闭变种勒索病毒的传播。 该变种的传播速度可能会更快，该变种的处置方式与上一版本相同。 建议引起重视并立即处理。

5月12日，美国微软公司宣布，针对被攻击者利用的Windows操作系统漏洞，将为其已经停止服务的部分Windows平台提供补丁。 虽然目前只有Windows系统会受到影响，但朱以翔也表示，不排除未来黑客会制作出MAC版本的病毒。

国家互联网应急响应中心建议广大用户及时更新Windows发布的安全补丁，在网络边界、内网区域、主机资产、数据等方面关闭445、135、137、139端口备份（可以认为是计算机与外界通信的出口），加强对这些端口的内网区域访问审计，及时发现未授权行为或潜在的攻击行为； 及时安装和更新杀毒软件； 不要轻易打开来历不明的邮件； 在媒体上备份信息系统业务和个人数据。

新技术的加持和大量泄密，让非法黑客升级武器的速度远超安全部门。 这次经历的全球袭击，恐怕只是很多事件的开始。 全球网络安全的未来可能是一场永无休止的“大逃杀”模式战争。

这起病毒勒索事件什么时候结束？ 朱以翔告诉经济观察网，正常情况下需要几周时间，但由于微软破例发布了补丁，“预计一周左右就会平静下来”。