勒索軟件來勢洶洶，已蔓延至100多個國家和地區(qū)，我國一些高校遭遇攻擊，西安市民也有中招。面對這種勒索軟件，到底該怎么防怎么破?為此，華商報記者采訪了網(wǎng)絡(luò)安全專家。

　　影響范圍：

　　全球數(shù)萬臺電腦被感染

　　據(jù)報道，這種新型“蠕蟲”式勒索病毒自5月12日起在全球范圍內(nèi)大面積傳播，目前已有100多個國家和地區(qū)的數(shù)萬臺電腦遭該勒索病毒感染，我國部分高校內(nèi)網(wǎng)、大型企業(yè)內(nèi)網(wǎng)和政府機構(gòu)專網(wǎng)遭受攻擊。一旦勒索病毒發(fā)動攻擊并攻擊成功，損失幾乎無法阻擋。被感染病毒電腦中的文件會被加密，需支付巨額贖金才能恢復(fù)數(shù)據(jù)，也可能會有支付了贖金卻被騙的情況。

　　涉及開放445端口且沒有及時安裝MS17-010補丁的客戶端和服務(wù)器系統(tǒng)都將可能面臨此威脅。MS17-010漏洞主要影響Windows以下操作系統(tǒng)：Windows2000、2003、2008、2012、XP、Vista、7、8、10。

　　事件本質(zhì)：

　　病毒利用系統(tǒng)漏洞遠(yuǎn)程控制

　　網(wǎng)絡(luò)安全研究員袁偉介紹，這次勒索軟件全球蔓延的最主要原因，首先是Windows系統(tǒng)出現(xiàn)了漏洞，導(dǎo)致黑客只要知道IP地址就可以“黑”了對方電腦。勒索軟件惡意利用該漏洞，從而實現(xiàn)計算機遠(yuǎn)程控制。

　　該勒索軟件是一個名為“WannaCry”的新家族，攻擊者利用MS17-010漏洞，通過445端口發(fā)送預(yù)先設(shè)計好的網(wǎng)絡(luò)數(shù)據(jù)包文，實現(xiàn)遠(yuǎn)程代碼執(zhí)行、復(fù)制傳播。軟件會發(fā)出指令，讓被控制的計算機到指定地址下載勒索病毒，對用戶的重要文檔進行加密，從而進行勒索。這種勒索軟件和木馬、病毒一樣，具有破壞性、擴散性。不同的是，一般病毒會盡可能隱蔽，但這種病毒是明目張膽勒索。

　　最新動態(tài)：

　　攻擊可能會進一步加劇

　　據(jù)悉，國家網(wǎng)絡(luò)與信息安全信息通報中心緊急通報：監(jiān)測發(fā)現(xiàn)，WannaCry勒索病毒出現(xiàn)了變種：WannaCry2.0，與之前版本的不同是，這個變種取消了KillSwitch，傳播速度可能會更快。

　　西安四葉草信息技術(shù)有限公司安全研究員余俊峰介紹，事態(tài)很嚴(yán)重，國家計算機病毒應(yīng)急處理中心5月13日已發(fā)公告了，省公安廳13日專門邀請他們?nèi)ラ_會商量對策?！斑@種惡意軟件的原始版本留有一個域名控制開關(guān)，即Kill Switch，也就是說相關(guān)網(wǎng)站一旦開通，病毒就不發(fā)作了。這可能是惡意軟件的作者為防止情況加劇到不可收拾專門設(shè)計的策略。但新的2.0版本已沒有這個開關(guān)，所以攻擊很可能會進一步加劇。除了個人電腦，高校、醫(yī)院、銀行ATM機、火車站系統(tǒng)也受到了它的攻擊。”

　　余俊峰說，據(jù)他了解，目前江蘇、浙江比較嚴(yán)重。由于這兩天是周末，很多人沒開電腦，我省的情況還不好說，周一上班攻擊有可能加劇，公安部已為此發(fā)了公告。所以從周一上班開始，就有必要加強防范，建議所有單位的計算機技術(shù)部門都應(yīng)盡快進行應(yīng)對。

　　肆虐

　　這些企業(yè)機構(gòu)都遭到攻擊

　　除英國40多家醫(yī)院外，法國雷諾集團13日表示，該集團也受到本輪網(wǎng)絡(luò)攻擊，已暫停法國境內(nèi)多家工廠的生產(chǎn)工作。羅馬尼亞最大的汽車制造企業(yè)、雷諾旗下的達(dá)契亞汽車廠當(dāng)天也宣布，該廠因信息系統(tǒng)遭到勒索軟件攻擊而部分停產(chǎn)。

　　中國石油天然氣集團公司14日發(fā)布消息稱，12日晚其所屬部分加油站受到勒索病毒波及，加油站加油卡、銀行卡、第三方支付等網(wǎng)絡(luò)支付功能無法使用。為確保用戶數(shù)據(jù)安全和防止病毒擴散，中石油緊急中斷所有加油站上連網(wǎng)絡(luò)端口，并會同有關(guān)網(wǎng)絡(luò)安全專家連夜開展處置工作。截至14日中午，中石油80%以上加油站已經(jīng)恢復(fù)網(wǎng)絡(luò)連接，受病毒感染的加油站正在陸續(xù)恢復(fù)加油卡、銀行卡、第三方支付功能。 據(jù)新華社

　　反應(yīng)

　　微軟向用戶提供安全補丁

　　歐盟刑警組織已和多國合作，尋找犯罪嫌疑人

　　繼全球多個國家12日遭受勒索軟件攻擊之后，因事態(tài)嚴(yán)重，美國微軟公司當(dāng)日宣布采取非同尋常的安防措施，針對攻擊所利用的“視窗”操作系統(tǒng)漏洞，為一些它已停止服務(wù)的“視窗”平臺提供補丁。

　　微軟說，它已在今年3月發(fā)布了安全補丁，修復(fù)上述漏洞。但有些用戶還在使用微軟已不再提供技術(shù)支持的“視窗”版本，故不能獲取微軟在3月發(fā)布的補丁。鑒于用戶可能受到的潛在影響，微軟決定向這些“視窗”平臺提供3月發(fā)布的補丁。

　　歐盟刑警組織下屬的歐洲網(wǎng)絡(luò)犯罪中心13日表示，此次勒索軟件攻擊的規(guī)模之大前所未有，需要通過復(fù)雜的國際調(diào)查尋找犯罪嫌疑人，歐盟刑警組織已和多國展開合作對此次攻擊展開調(diào)查。據(jù)新華社

　　插曲

　　阻攔病毒傳播的是他

　　英國媒體13日報道，英國一名年輕網(wǎng)絡(luò)工程師“無意中”阻攔了勒索軟件的瘋狂傳播。

　　這名22歲的英國網(wǎng)絡(luò)工程師12日晚注意到，這一勒索軟件正不斷嘗試進入一個極其特殊、尚不存在的網(wǎng)址，于是他順手花8.5英鎊(約合75元人民幣)注冊了這個域名，試圖借此網(wǎng)址獲取勒索軟件的相關(guān)數(shù)據(jù)，了解傳播范圍。令人不可思議的是，此后勒索軟件在全球的進一步蔓延竟然得到了阻攔。

　　他和同事分析，這個奇怪的網(wǎng)址很可能是勒索軟件開發(fā)者為避免被網(wǎng)絡(luò)安全人員捕獲所設(shè)定的“檢查站”，而注冊網(wǎng)址的行為無意觸發(fā)了程序自帶的“自殺開關(guān)”。也就是說，勒索軟件在每次發(fā)作前都要訪問這個不存在的網(wǎng)址，如果網(wǎng)址繼續(xù)不存在，說明勒索軟件尚未引起安全人員注意，可以繼續(xù)在網(wǎng)絡(luò)上暢行無阻;而一旦網(wǎng)址存在，意味著軟件有被攔截并分析的可能。在這種情況下，為避免被網(wǎng)絡(luò)安全人員獲得更多數(shù)據(jù)甚至反過來加以控制，勒索軟件會停止傳播。 據(jù)新華社

　　防御

　　西安市網(wǎng)信辦提醒：

　　防病毒 趕緊做好這些事

　　為防止勒索軟件襲擊，西安市網(wǎng)信辦提醒市民，在網(wǎng)絡(luò)邊界、內(nèi)部網(wǎng)絡(luò)區(qū)域、主機資產(chǎn)、數(shù)據(jù)備份方面要做好相關(guān)工作，除再次提到應(yīng)按照中國國家互聯(lián)網(wǎng)應(yīng)急中心發(fā)布的更新補丁、安裝殺毒軟件、不點開不明電子郵件、及時關(guān)閉計算機445端口及備份重要文件等5條“應(yīng)急指南”處置外，還提到：

　　一、對內(nèi)網(wǎng)長期未更新操作系統(tǒng)補丁的主機，要在專業(yè)技術(shù)人員幫助下安裝補丁和防毒軟件。

　　二、已感染病毒機器請立即斷網(wǎng)，避免進一步傳播感染。

　　三、加強對445等端口(其他關(guān)聯(lián)端口如:135、137、139)的內(nèi)部網(wǎng)絡(luò)區(qū)域訪問審計，及時發(fā)現(xiàn)非授權(quán)行為或潛在的攻擊行為。

　　如果被攻擊，試試這樣挽救

　　如果已經(jīng)被給惡意軟件攻擊，重要文檔被加密該怎么辦?網(wǎng)絡(luò)安全研究員袁偉說，360已經(jīng)公布了一個工具，有可能幫助用戶修復(fù)被加密的數(shù)據(jù)。但能否恢復(fù)、恢復(fù)到什么程度都是未知的，因為勒索軟件使用的有關(guān)加密算法目前還無法完全破解。如果已中病毒的資料沒那么重要，只要格式化后重裝系統(tǒng)就可以了，但需要注意的是重裝系統(tǒng)后應(yīng)盡快更新補丁并安裝殺毒軟件，避免二次感染。