全球近100个国家遭勒索软件攻击 360建议用NSA武器库免疫工具防御

文|新浪科技 

新浪科技讯 北京时间5月13日早间消息，本周五，一起大规模信息安全攻击波及了近100个国家，数万台计算机的用户遭遇勒索。

反病毒软件厂商Avast报告称，至少7.5万台计算机被感染。这一名为“WanaCrypt0r 2.0”的勒索软件已经在99个国家被发现。

英格兰十余家医院，以及联邦快递和西班牙电信等大公司成为了被攻击目标。美国多家公司被告知针对这起威胁做好应对措施。

英国官员表示，在英格兰，英国国家医疗服务体系（NHS）的至少16家医院和相关机构遭到了攻击，而苏格兰还有5家。

英国首相特蕾莎·梅伊（Theresa May）表示，英国政府的信息安全部门正在与NHS合作。她确认，没有任何患者数据泄露。

全球病毒感染状况分布

目前尚不清楚这起攻击事件的准确规模，以及恶意软件的开发者是谁。不过信息安全专家表示，这起攻击事件的影响范围之广令他们震惊。

IT支持公司Managed Networks CEO本·拉普（Ben Rapp）表示：“这起事件的规模前所未有。医院以往也曾遭遇勒索攻击，但这次涉及了16家医院，而其他人也有报告，这或许是我们见过的规模最大的勒索攻击。”

联邦快递在一份声明中表示：“与其他许多公司类似，联邦快递正遭遇干扰。恶意软件影响了我们部分基于Windows的系统。我们正在尽快采取修复措施。”联邦快递并未确认，该公司遭遇的是否是勒索攻击。

英国有医院发布Twitter消息称，正采取预防措施，保护病人。而一些医生则发布Twitter消息表示，由于这起攻击事件，他们无法获得病人的文件。

NHS表示，感染计算机的是恶意软件Wanna Decryptor。这种基于加密的勒索软件会锁定系统及其中的文件，并向用户勒索赎金。这通常通过电子邮件钓鱼去传播，影响安装Windows系统的计算机。处理这种恶意软件非常棘手，其行为类似于蠕虫：寻找计算机的漏洞，并在整个网络中传播。

信息安全专家表示，企业可能需要花几天时间才能完成对系统的清理，重新恢复系统运行。

不过有些时候，黑客的威胁也能得逞：去年，好莱坞长老会医疗中心在遭遇勒索攻击后支付了超过1.7万美元的赎金。

根据媒体报道，本周五，NHS机构的IT系统弹出消息，要求用户支付赎金。有截图显示，攻击者要求用户支付“价值300美元的比特币”，并将比特币转入特定的在线钱包地址。

普渡大学信息保障和安全教育研究中心创始人吉恩·斯贝福德（Gene Spafford）表示：“这是小额勒索。但如果你将赎金设定得过高，那么许多受害者都不会支付。”

斯贝福德表示，勒索软件通常瞄准了信息安全意识不强的目标，例如家庭用户和小企业。不过，医院和大企业也有可能受到影响，尤其是在没有完全升级操作系统，或是使用盗版软件的情况下。

斯贝福德指出，这一勒索软件“使用了文件共享中的漏洞”。

他表示，受影响公司目前受到黑客的支配。如果黑客认为，勒索软件的影响范围太大，那么可能会决定不再要求赎金，以免被追踪，自身的位置被曝光。

西班牙电信在一份声明中表示，周五发生的“信息安全事故”影响了马德里总部的计算机。西班牙电信一名发言人表示，受影响计算机屏幕上弹出窗口，要求用比特币支付赎金。

西班牙国家加密技术中心表示，此次攻击针对该国的多家组织，而其他公司则采取了防范措施。

受到这一勒索软件攻击的不仅仅是企业。瑞典只有1万人口的小城Timra市长表示，这里有“约70台计算机感染了危险的代码”。（李丽）

据360安全中心分析，此次校园网勒索病毒是由NSA泄漏的“永恒之蓝”黑客武器传播的。“永恒之蓝”可远程攻击Windows的445端口（文件共享），如果系统没有安装今年3月的微软补丁，无需用户任何操作，只要开机上网，“永恒之蓝”就能在电脑里执行任意代码，植入勒索病毒等恶意程序。

由于国内曾多次出现利用445端口传播的蠕虫病毒，部分运营商对个人用户封掉了445端口。但是教育网并无此限制，存在大量暴露着445端口的机器，因此成为不法分子使用NSA黑客武器攻击的重灾区。正值高校毕业季，勒索病毒已造成一些应届毕业生的论文被加密篡改，直接影响到毕业答辩。

目前，“永恒之蓝”传播的勒索病毒以ONION和WNCRY两个家族为主，受害机器的磁盘文件会被篡改为相应的后缀，图片、文档、视频、压缩包等各类资料都无法正常打开，只有支付赎金才能解密恢复。这两类勒索病毒，勒索金额分别是5个比特币和300美元，折合人民币分别为5万多元和2000多元。

360针对校园网勒索病毒事件的监测数据显示，国内首先出现的是ONION病毒，平均每小时攻击约200次，夜间高峰期达到每小时1000多次；WNCRY勒索病毒则是5月12日下午新出现的全球性攻击，并在中国的校园网迅速扩散，夜间高峰期每小时攻击约4000次。

安全专家发现，ONION勒索病毒还会与挖矿机（运算生成虚拟货币）、远控木马组团传播，形成一个集合挖矿、远控、勒索多种恶意行为的木马病毒“大礼包”，专门选择高性能服务器挖矿牟利，对普通电脑则会加密文件敲诈钱财，最大化地压榨受害机器的经济价值。

针对NSA黑客武器利用的Windows系统漏洞，微软在今年3月已发布补丁修复。此前360安全中心也已推出“NSA武器库免疫工具”，能够一键检测修复NSA黑客武器攻击的漏洞；对XP、2003等已经停止更新的系统，免疫工具可以关闭漏洞利用的端口，防止电脑被NSA黑客武器植入勒索病毒等恶意程序。

长按下方图片识别关注 新浪科技