勒索軟體再次降臨 教育網為什麼成為重災區

至頂網安全頻道 05月13日 綜合消息： 昨晚，再次爆發大規模勒索軟體感染事件，事實上，勒索軟體並不是一個新話題，此次事件被多方稱為「史上影響最大的全球性勒索蠕蟲事件」。為什麼？

據安天安全研究與應急處理中心分析，北京時間2017年5月12日20時左右，勒索軟體開始大範圍擴散，我國大量行業企業內網大規模感染，教育網受損嚴重，攻擊造成了教學系統癱瘓，甚至包括校園一卡通系統。

據360發布的消息，五個小時內，影響覆蓋美國、俄羅斯、整個歐洲等100多個國家，國內多個高校校內網、大型企業內網和政府機構專網中招，被勒索支付高額贖金才能解密恢復文件，對重要數據造成嚴重損失。

此次的勒索軟體罪魁禍首為「永恆之藍」勒索蠕蟲，是一個名稱為「wannacry」的新家族，是NSA網路軍火民用化的全球第一例。一個月前，第四批NSA相關網路攻擊工具及文檔被Shadow Brokers組織公布，包含了涉及多個Windows系統服務（SMB、RDP、IIS）的遠程命令執行工具，其中就包括「永恆之藍」攻擊程序。

該勒索軟體迅速感染全球大量主機的原因是利用了基於445埠傳播擴散的SMB漏洞MS17-010，微軟在今年3月份發布了該漏洞的補丁。

據了解，由於以前國內多次爆發利用445埠傳播的蠕蟲，部分運營商在主幹網路上封禁了445埠，但是教育網及大量企業內網並沒有此限制而且並未及時安裝補丁，仍然存在大量暴露445埠且存在漏洞的電腦，導致目前蠕蟲的泛濫。這也是為什麼教育網成為此次勒索軟體感染重災區的原因。

系統被該勒索軟體入侵後，彈出勒索對話框：

加密系統中的照片、圖片、文檔、壓縮包、音頻、視頻、可執行程序等幾乎所有類型的文件，被加密的文件後綴名被統一修改為「.WNCRY」。

當然既然被稱為「勒索軟體」，黑客的目的就是要讓被感染者支付贖金。事實上，要想解密此類感染文件十分困難。補天漏洞響應平台甚至稱，「一旦中招，電腦文件將被加密，普通計算機暴利破解理論上需要數十萬年！！」

目前，多家安全廠商已經發布了防護此類勒索攻擊的方案（參考 安天方案：http://www.antiy.com/response/wannacry.html；360方案：http://mp.weixin.qq.com/s/I88YlC8Ce2ZdwxYPAubEUg），當然是預防攻擊，而不是解決已經感染終端的方法。悲觀地說，假如你是中招的那位，要麼捨棄文件、要麼支付贖金，沒有其他方案，有必要的提醒的是，即使支付贖金，也不一定100%解密恢復。

也許有人問，誰這麼大膽，敢製造攻擊如此大規模、大影響的勒索軟體，不怕被揪出來嗎？因為黑客使用比特幣收取贖金，這顯然加大了抓獲攻擊者的難度，這也讓他們幾年來肆無忌憚，勒索攻擊從來沒有停止過。

我們也期待，本次「史上最大規模勒索攻擊」能讓各國網路安全執法部門聯合打擊揪出幕後黑手，整整這股歪風，「沒什麼技術含量，還這麼噁心人」。