勒索病毒襲擊事件，或是挑戰現有金融秩序格局的導火索？

E安全5月13日文 無現金社會即將到來，這無疑是各國政府熱烈歡迎的。在2017年兩會，大家對無現金社會議論紛紛。人大代表也有相關提案提出。支付寶官方賬號3月2日在微博上表示「五年推動中國進入無現金社會」，而福耀玻璃集團掌門人曹德旺認為「需要一兩百年。」

無現金社會並不是消滅現金，而是將無現金作為主流支付方式的社會。其內涵也非常豐富，無現金包括互聯網支付、銀行卡、二維碼支付、NFC（近場支付）等各類支付工具的應用。而支付寶，被世界各地的歪果仁認為是21世紀的中國新「四大發明」。

就在5月12日，eWTP全球首條「數字之路」開啟，馬來西亞便利店正式開通支付寶，支付寶正在被全球越來越多的商家接受，甚至被奉為為21世紀的中國新「四大發明」。

今天的我們的朋友圈、微博、新聞都被ONION和WNCRY勒索病毒刷屏，隨之「比特幣」這種虛擬貨幣也再次進入大家的視野。E安全小編甚至認為有這麼一種可能，這次全球範圍的黑客攻擊活動，是帶有一定商業目的比特幣與現有電子支付體系的正面較量！

2017年4月，日本正式實施虛擬貨幣新規，明確將比特幣規定成為一種合法的支付方式。最近1個月，比特幣貨幣市場一片大好，貨幣加之連連上漲，尤其是最近一周，漲幅異常明顯，而且居高不下。這種現象至少在一定程度上佐證了本小編的這點個人想法。

以下是E安全根據各媒體報道以及朋友圈、微博等消息整理的關於這次勒索病毒襲擊事件的相關內容以及防護建議。

圖：NSA黑客武器搭載的勒索病毒感染現象

【黑色星期五】

5月12日，幾乎同一時間，英國、義大利、俄羅斯等全球多個國家爆發勒索病毒攻擊，同時我國大批高校也被嚴重感染，眾多師生的電腦文件被病毒加密，只有支付贖金才能恢復。ONION、WNCRY等勒索病毒在校園網快速傳播。

【嚴重性】

這次被黑產做成蠕蟲病毒內網進行傳播，危害極其恐怖。此次攻擊規模涉及全球99個國家和地區，英國、美國、中國、俄羅斯、西班牙、義大利和中國台灣均有感染報告。在攻擊最開始的十幾個小時當中全球共計有74個國家，至少4.5萬台電腦中招。但有一個國家卻再次成功避險...可能你們也想到了，沒錯，就是朝鮮。至於原因，相信大家也都懂得。網友調侃稱：「風景這邊獨好」。

國外：

聯邦快遞和西班牙電信等大公司，以及英國國家醫療服務體系（NHS）造成了嚴重影響。NHS多家醫院的運營已暫停，X光機無法使用，檢測報告和患者醫療記錄無法獲取，甚至電話也很難接通，倫敦、諾丁漢等多地醫院的IT系統癱瘓。

網路安全公司Avast稱在全世界檢測到7.5萬WannaCry劫持。規模之大讓Avast軟體研究員Jakub Kroustek為之震驚。目前在國內外大學、醫院、加油站、機場等等內網內大爆發，甚至做了物理隔離的內網。

國內：

國內首先出現的是ONION病毒，平均每小時攻擊約200次，夜間高峰期達到每小時1000多次;WNCRY勒索病毒則是5月12日下午新出現的全球性攻擊，並在中國的校園網迅速擴散，夜間高峰期每小時攻擊約4000次。目前國內平均每天有5000多台機器遭到NSA「永恆之藍」黑客武器的遠程攻擊，教育網是受攻擊的重災區。

高校：

中國大批高校也出現感染情況，眾多師生的電腦文件被病毒加密，只有支付贖金才能恢復。目前受影響的有：

賀州學院；

桂林電子科技大學；

桂林航天工業學院；

廣西等地區的大學。

另外有網友反映，大連海事大學、山東大學等也受到了病毒攻擊。

目前正值高校畢業季，勒索病毒已經造成一些應屆生畢業論文被加密篡改。這部分應屆生可能將深陷「肄業危機」。

加油站：

全國多地中石油加油站出現斷網，加油卡無法使用，疑似遭遇敲詐病毒攻擊。截至5月13日中午，估計中國國內超2萬台機器中招，全球超10萬台機器被感染。

金融機構：

政府機構：

我國的政府部門網路很多都跟教育網互通，部分政府機構也被勒索病毒感染受到影響。微博上一些用戶開始反饋，今日北京、上海、江蘇、天津等多地的出入境、派出所等公安網也疑似遭遇了病毒襲擊。

安全專家發現，ONION勒索病毒還會與挖礦機(運算生成虛擬貨幣)、遠控木馬組團傳播，形成一個集合挖礦、遠控、勒索多種惡意行為的木馬病毒「大禮包」，專門選擇高性能伺服器挖礦牟利，對普通電腦則會加密文件敲詐錢財，最大化地壓榨受害機器的經濟價值。

許多研究人員稱突然爆發的攻擊可能彼此互有關聯，但不認為是針對特定目標的有組織攻擊行為。

要點

一、中國：以安全較為薄弱的教育行業相關網站為突破口

教育網對445埠未進行限制，存在大量暴露著445埠的機器，因此成為不法分子使用NSA黑客武器攻擊的重災區。正值高校畢業季，受害機器的磁碟文件會被篡改為相應的後綴，圖片、文檔、視頻、壓縮包等各類資料都無法正常打開，只有支付贖金才能解密恢復。勒索病毒已造成一些應屆畢業生的論文被加密篡改，直接影響到畢業答辯。

二、不法分子使用NSA泄漏的黑客武器發起攻擊

此次校園網勒索病毒是由NSA泄漏的「永恆之藍」黑客武器傳播的。「永恆之藍」可遠程攻擊Windows的445埠(文件共享)，如果系統沒有安裝今年3月的微軟補丁，無需用戶任何操作，只要開機上網，「永恆之藍」就能在電腦里執行任意代碼，植入勒索病毒等惡意程序。

三、利用Windows漏洞

針對NSA黑客武器利用的Windows系統漏洞，微軟在今年3月已發布補丁修復。此前360安全中心也已推出「NSA武器庫免疫工具」，能夠一鍵檢測修復NSA黑客武器攻擊的漏洞;對XP、2003等已經停止更新的系統，免疫工具可以關閉漏洞利用的埠，防止電腦被NSA黑客武器植入勒索病毒等惡意程序

一些專家稱，攻擊可能利用了名為「EternalBlue」（永恆之藍）的漏洞

四、本次事件黑客使用的ONION、WNCRY為主的勒索病毒

這兩類勒索病毒，勒索金額分別是5個比特幣和300美元，摺合人民幣分別為5萬多元和2000多元。

五、勒索目標

• 教育機構/學校機房

• 一切可以攻擊的公共設備

• 醫院系統計算機

• 政府機關計算機

• 個人PC/筆記本

最新進展

以「洞」止「洞」

據英國《衛報》報道，一名「意外的英雄」已發現，如何阻止勒索病毒WannaCry在全球範圍內的傳播。他花了幾美元去註冊隱藏在WannaCry中的一個域名。

在信息安全公司Proofpoint的達里恩·哈斯（Darien

Huss）的幫助下，Twitter上自稱@malwaretechblog的英國信息安全研究員發現了隱藏在WannaCry中的一個「刪除開關」。這一開關被編碼在WannaCry之中。如果惡意軟體的製造者希望停止其傳播，那麼就可以激活開關。

根據開關機制，惡意軟體會向長域名發送請求，如果請求得到響應，表明該域名已經上線，那麼刪除開關就會生效，惡意軟體就將停止傳播。

這名研究員表示：「我發現這個域名沒有註冊，我的想法是，『我可以去試試看。』」購買這個域名花了他10.69美元的費用。在上線後，該域名收到了每秒數千次的連接請求。

Proofpoint的瑞安·卡萊姆伯（Ryan

Kalember）表示：「他們獲得了今天意外的英雄獎勵。他們沒有意識到，這對延緩勒索病毒的傳播起到了巨大的作用。」由於@malwaretechblog註冊該域名的時間已經太晚，無法給歐洲和亞洲帶來太大幫助。在這些地區，許多機構都受到了影響。

不過，這給美國用戶爭取到了時間，使他們可以緊急給系統打補丁，避免感染病毒。

同時，對於已被勒索病毒感染的計算機，這一刪除開關無法起到幫助。此外也很有可能，攜帶其他類型刪除開關的惡意軟體仍在繼續傳播。

一個名為Shadow Brokers（影子經紀人）的組織於4月14日公布了這個惡意軟體。該組織去年表示，從美國國家安全局（NSA）竊取了一系列的「信息戰武器」。

相關閱讀：

電腦勒索病毒讓99個國家中招 究竟是誰幹的？

國內爆發新型勒索病毒 昨夜今晨多家高校發布緊急通知

微軟回應多國遭遇Windows勒索病毒：將加強監測

微軟已發布特別補丁

由於本次Wannacry蠕蟲事件的巨大影響，微軟總部發布已停服的XP和部分伺服器版特別補丁。

https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

如何自查？

以下是由安恆信息安全研究院根據WannaCry樣本整理的手工查殺方法。

檢查步驟：

1、 首先，使用任務管理器查找如下檢查，並結束進程，進程可能包括：

l taskhsvc.exe

l @WanaDecryptor@.exe

l taskdl.exe

l taskse.exe

l tasksche.exe

2、 刪除自動註冊表HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun中惡意項，其值是 tasksche.exe

3、 通過文件搜索查找所有命名為@WanaDecryptor@.exe的文件，接著刪除系統所有的 @WanaDecryptor@.exe。

4、 刪除所有以.wnry命名的文件

5、 另外，其它不會對系統有影響的的文件如：@Please_Read_Me@.txt和@WanaDecryptor@.bmp等也可疑刪除。

6、 重啟電腦。如果還有問題，請重複1到5 這個過程。

備註：

所有被加密的文件命名為「＊.WNCRY」，如果後期還想恢復（如果有辦法恢復），E安全小編建議保留。

E安全小編建議

今天已經有很多人是因為想開電腦去打補丁更新下載的時候就中招了，去下某某查殺工具也是一樣，所以，E安全建議大家先斷網處於離線狀態關了445再按照以下方式安裝補丁才是靠譜的。

安全專家重要觀點：隔離不等於安全，高校以及企業隔離的專網本身就是一個小規模的互聯網，需要當作互聯網來建設。

不管是5萬還是2000元都不是個小數目，特別是對於高校的學生來說。

如果不想支付比特幣「贖金」，下面E安全小編給大家推薦以下防護方案：

預防

對於Win7及以上版本的操作系統，目前微軟已發布補丁MS17-010修復了「永恆之藍」攻擊的系統漏洞，請立即電腦安裝此補丁：網址為https://technet.microsoft.com/zh-cn/library/security/MS17-010

用戶可以通過開啟Windows Update檢測安裝該補丁；對於XP/Windows 2003用戶建議升級Win10系統避免中招，對於重要信息，請通過離線存儲的方式保存。個人用戶建議關閉445、135、137、138、139埠，關閉網路共享。

關閉步驟：

第一步

第二步

第三步

做完以上然後重啟，即可關閉445、137、135、139埠

ipseccmd -w REG -p "HFUT_SECU" -r "Block TCP/445" -f *+0:445:TCP -n BLOCK -x >nul

防火牆阻斷445的方法！

終極解決方案：

更換系統Windows為Linux。

小白解決方案：

一、關閉並禁用Server服務。以管理員許可權打開CMD，運行：

net stop server

sc config LanmanServer start= disabled

二、開啟防火牆，禁用445埠。以管理員許可權打開CMD，運行以下腳本（錦佰安提供）：

netsh firewall set opmode enable

netsh advfirewall firewall add rule name="deny445" dir=in protocol=tcp localport=445 action=block

三、對於微軟不再提供補丁的Windows XP用戶，打開CMD，運行（記得禁用相關服務）：

net stop rdr

net stop srv

net stop netbt

四、對於Windows 7以上版本的用戶，如果有外網，建議直接打補丁：

https://technet.microsoft.com/zh-cn/library/security/MS17-010

有外網的懶人解決方案（效果自查）：

使用360NSA武器庫免疫工具，下載地址：

http://dl.360safe.com/nsa/nsatool.exe

此外，對於重要文件，多留幾處備份。【這麼多人買，估計移動硬碟要漲價了】

已經中招

已經被勒索感染的個人或企業用戶

1：立即斷網。

2：立即檢查病毒加密時間。（觀察文件修改時間）

規則A：立即斷電或關機。若勒索加密病毒運行加密的時間在0-2小時內，根據你的主機文件個數和數據容量多少，一般情況下1小時內病毒會加密完成，若你的文件個數和容量比較大，病毒加密時間會時間更長。

規則B：不要關機，如果你發現加密時間已經超過5小時以上，這是你就是關機也沒有用了，所以建議不要關機，這是病毒進程還在內存，對於破解病毒來說，很多密鑰可能在內存或緩存文件，關機會導致這些重要的數據丟失或改變或覆蓋，不利於後面的數據解密。

3：殺毒軟體

往往中毒的主機殺毒軟體都沒有防守住，所以它殺不掉病毒，目前據我們的統計，殺毒軟體是無法直接解密數據的，所以一般情況下，無需運行殺毒軟體（此時殺毒軟體進程多數被終止了），也無需安裝新的殺毒軟體，因為這些操作都會刪除部分感染文件，對於重要被感染的數據萬一被殺毒軟體清除，就不利於數據恢復。

4：尋找專業機構。

數據被病毒加密勒索，十萬火急，特別是wallet病毒，往往加密對象是伺服器主機，嚴重影響企業日常運行，但是我們建議是，慌亂之中不要急。堅持專業途徑解決問題。

規則A：勒索病毒惡性程度很高，採用高級的加密演算法，非專業人士自己不要嘗試，以免感染別的主機擴大故障

規則B：尋求專業的數據恢復公司，尋找專業人員協助解密。

規則C：不要輕易交納贖金，這樣會助長犯罪分子的氣焰，另外黑客犯罪分子一般在國外，支付比特幣贖金後如何保障付款安全，風險極大，我們已經碰到過用戶付錢後，仍然無法解密數據的案例。

中招嘗試解決方案（來自網路，效果自查）

方法一:

1:打開自己的那個勒索軟體界面，點擊copy. （複製黑客的比特幣地址）

2:把copy粘貼到btc.com （區塊鏈查詢器）

3:在區塊鏈查詢器中找到黑客收款地址的交易記錄，然後隨意選擇一個txid（交易哈希值）

4:把txid 複製粘貼給 勒索軟體界面按鈕connect us.

5:等黑客看到後 你再點擊勒索軟體上的check payment.

6:再點擊decrypt 解密文件即可。

方法二:

下載開源的腳本(需要python3環境)來運行嘗試恢復。

下載鏈接:https://github.com/QuantumLiu/antiBTCHack

未雨綢繆

應付勒索軟體攻擊電腦的必要措施

勒索軟體已成為不具備高級防禦系統的用戶之一大隱憂。為了防止惡意軟體感染，以下提供幾個步驟及訣竅，讓你免於成為下一個勒索軟體的犧牲者。

• 注意備份重要文檔。備份的最佳做法是採取3-2-1規則，即至少做三個副本，用兩種不同格式保存，並將副本放在異地存儲。如果有條件，建議全量備份，如數據量過大，可以選擇不定期的實時全量+增量備份混合方案，推薦快照方案和OSS異地備份；

• 如果需要遠程管理，使用ECS安全組確保它是白名單的IP的防火牆或不暴露到互聯網，把RDP、SSH、FTP或其他重要內網管理後台隱藏起來，僅限於內網訪問，降低暴露在互聯網被攻擊的風險；

• 安裝企業級防病毒軟體，推薦：賽門鐵克、卡巴斯基商用防病毒軟體，Linux伺服器可以安裝Clam；

• 安裝最新版本的安全補丁:過時的操作系統或軟體相對容易成為勒索軟體的攻擊目標，這也是為何需要定期運行軟體及操作系統更新的原因——可強化你電腦的安全性;5.惡意軟體經常將使用遠程桌面協議
  (Remote Desktop Protocol, RDP) 視為主要目標。不需要遠程訪問時即停用 RDP，便可有效阻擋來自惡意軟體的攻擊。

• 配置好密碼策略；

• 修改遠程控制賬戶密碼，做好密碼的管理工作；

• 定期更新管理員賬號名稱和密碼更新策略；

• 提高安全意識，做好數據安全防護措施。

「永恆之藍」事件背景：

數據泄露：

今年三月，維基解密（WiKiLeaks）公布了CIA Vault7數千份文檔並揭秘了美國中央情報局關於黑客入侵技術的最高機密，包括大量機密文檔以及黑客工具。

一個月前，第四批NSA相關網路攻擊工具及文檔被Shadow Brokers組織公布，包含了涉及多個Windows系統服務（SMB、RDP、IIS）的遠程命令執行工具，其中就包括「永恆之藍」攻擊程序。

相關閱讀：美國國家安全局（NSA）泄漏的黑客武器

安全專家全方位解讀NSA和CIA網路武器泄露事件

全球危機！平均每天2.5萬台設備被NSA黑客工具感染

NSA黑客工具信息被泄 網安江湖掀起一輪「淘金熱」

影子經紀人曝光NSA使用的Windows系統高危漏洞工具與Stuxnet如出一轍

NSA武器泄漏引發網路世界「核彈危機」

NSA方程式又一波0day攻擊泄露 覆蓋全球70%的Windows伺服器

NSA專用黑客工具可提升Solaris的Root許可權，多個版本受影響

E安全註：本文系E安全獨家編譯報道，轉載請聯繫授權，並保留出處與鏈接，不得刪減內容。

@E安全，最專業的前沿網路安全媒體和產業服務平台，每日提供優質全球網路安全資訊與深度思考。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！