勒索軟件來勢洶洶，已蔓延至100多個國家和地區，我國一些高校遭遇攻擊，西安市民也有中招。面對這種勒索軟件，到底該怎么防怎么破?為此，華商報記者采訪了網絡安全專家。

　　影響范圍：

　　全球數萬臺電腦被感染

　　據報道，這種新型“蠕蟲”式勒索病毒自5月12日起在全球范圍內大面積傳播，目前已有100多個國家和地區的數萬臺電腦遭該勒索病毒感染，我國部分高校內網、大型企業內網和政府機構專網遭受攻擊。一旦勒索病毒發動攻擊并攻擊成功，損失幾乎無法阻擋。被感染病毒電腦中的文件會被加密，需支付巨額贖金才能恢復數據，也可能會有支付了贖金卻被騙的情況。

　　涉及開放445端口且沒有及時安裝MS17-010補丁的客戶端和服務器系統都將可能面臨此威脅。MS17-010漏洞主要影響Windows以下操作系統：Windows2000、2003、2008、2012、XP、Vista、7、8、10。

　　事件本質：

　　病毒利用系統漏洞遠程控制

　　網絡安全研究員袁偉介紹，這次勒索軟件全球蔓延的最主要原因，首先是Windows系統出現了漏洞，導致黑客只要知道IP地址就可以“黑”了對方電腦。勒索軟件惡意利用該漏洞，從而實現計算機遠程控制。

　　該勒索軟件是一個名為“WannaCry”的新家族，攻擊者利用MS17-010漏洞，通過445端口發送預先設計好的網絡數據包文，實現遠程代碼執行、復制傳播。軟件會發出指令，讓被控制的計算機到指定地址下載勒索病毒，對用戶的重要文檔進行加密，從而進行勒索。這種勒索軟件和木馬、病毒一樣，具有破壞性、擴散性。不同的是，一般病毒會盡可能隱蔽，但這種病毒是明目張膽勒索。

　　最新動態：

　　攻擊可能會進一步加劇

　　據悉，國家網絡與信息安全信息通報中心緊急通報：監測發現，WannaCry勒索病毒出現了變種：WannaCry2.0，與之前版本的不同是，這個變種取消了KillSwitch，傳播速度可能會更快。

　　西安四葉草信息技術有限公司安全研究員余俊峰介紹，事態很嚴重，國家計算機病毒應急處理中心5月13日已發公告了，省公安廳13日專門邀請他們去開會商量對策。“這種惡意軟件的原始版本留有一個域名控制開關，即Kill Switch，也就是說相關網站一旦開通，病毒就不發作了。這可能是惡意軟件的作者為防止情況加劇到不可收拾專門設計的策略。但新的2.0版本已沒有這個開關，所以攻擊很可能會進一步加劇。除了個人電腦，高校、醫院、銀行ATM機、火車站系統也受到了它的攻擊。”

　　余俊峰說，據他了解，目前江蘇、浙江比較嚴重。由于這兩天是周末，很多人沒開電腦，我省的情況還不好說，周一上班攻擊有可能加劇，公安部已為此發了公告。所以從周一上班開始，就有必要加強防范，建議所有單位的計算機技術部門都應盡快進行應對。

　　肆虐

　　這些企業機構都遭到攻擊

　　除英國40多家醫院外，法國雷諾集團13日表示，該集團也受到本輪網絡攻擊，已暫停法國境內多家工廠的生產工作。羅馬尼亞最大的汽車制造企業、雷諾旗下的達契亞汽車廠當天也宣布，該廠因信息系統遭到勒索軟件攻擊而部分停產。

　　中國石油天然氣集團公司14日發布消息稱，12日晚其所屬部分加油站受到勒索病毒波及，加油站加油卡、銀行卡、第三方支付等網絡支付功能無法使用。為確保用戶數據安全和防止病毒擴散，中石油緊急中斷所有加油站上連網絡端口，并會同有關網絡安全專家連夜開展處置工作。截至14日中午，中石油80%以上加油站已經恢復網絡連接，受病毒感染的加油站正在陸續恢復加油卡、銀行卡、第三方支付功能。 據新華社

　　反應

　　微軟向用戶提供安全補丁

　　歐盟刑警組織已和多國合作，尋找犯罪嫌疑人

　　繼全球多個國家12日遭受勒索軟件攻擊之后，因事態嚴重，美國微軟公司當日宣布采取非同尋常的安防措施，針對攻擊所利用的“視窗”操作系統漏洞，為一些它已停止服務的“視窗”平臺提供補丁。

　　微軟說，它已在今年3月發布了安全補丁，修復上述漏洞。但有些用戶還在使用微軟已不再提供技術支持的“視窗”版本，故不能獲取微軟在3月發布的補丁。鑒于用戶可能受到的潛在影響，微軟決定向這些“視窗”平臺提供3月發布的補丁。

　　歐盟刑警組織下屬的歐洲網絡犯罪中心13日表示，此次勒索軟件攻擊的規模之大前所未有，需要通過復雜的國際調查尋找犯罪嫌疑人，歐盟刑警組織已和多國展開合作對此次攻擊展開調查。據新華社

　　插曲

　　阻攔病毒傳播的是他

　　英國媒體13日報道，英國一名年輕網絡工程師“無意中”阻攔了勒索軟件的瘋狂傳播。

　　這名22歲的英國網絡工程師12日晚注意到，這一勒索軟件正不斷嘗試進入一個極其特殊、尚不存在的網址，于是他順手花8.5英鎊(約合75元人民幣)注冊了這個域名，試圖借此網址獲取勒索軟件的相關數據，了解傳播范圍。令人不可思議的是，此后勒索軟件在全球的進一步蔓延竟然得到了阻攔。

　　他和同事分析，這個奇怪的網址很可能是勒索軟件開發者為避免被網絡安全人員捕獲所設定的“檢查站”，而注冊網址的行為無意觸發了程序自帶的“自殺開關”。也就是說，勒索軟件在每次發作前都要訪問這個不存在的網址，如果網址繼續不存在，說明勒索軟件尚未引起安全人員注意，可以繼續在網絡上暢行無阻;而一旦網址存在，意味著軟件有被攔截并分析的可能。在這種情況下，為避免被網絡安全人員獲得更多數據甚至反過來加以控制，勒索軟件會停止傳播。 據新華社

　　防御

　　西安市網信辦提醒：

　　防病毒 趕緊做好這些事

　　為防止勒索軟件襲擊，西安市網信辦提醒市民，在網絡邊界、內部網絡區域、主機資產、數據備份方面要做好相關工作，除再次提到應按照中國國家互聯網應急中心發布的更新補丁、安裝殺毒軟件、不點開不明電子郵件、及時關閉計算機445端口及備份重要文件等5條“應急指南”處置外，還提到：

　　一、對內網長期未更新操作系統補丁的主機，要在專業技術人員幫助下安裝補丁和防毒軟件。

　　二、已感染病毒機器請立即斷網，避免進一步傳播感染。

　　三、加強對445等端口(其他關聯端口如:135、137、139)的內部網絡區域訪問審計，及時發現非授權行為或潛在的攻擊行為。

　　如果被攻擊，試試這樣挽救

　　如果已經被給惡意軟件攻擊，重要文檔被加密該怎么辦?網絡安全研究員袁偉說，360已經公布了一個工具，有可能幫助用戶修復被加密的數據。但能否恢復、恢復到什么程度都是未知的，因為勒索軟件使用的有關加密算法目前還無法完全破解。如果已中病毒的資料沒那么重要，只要格式化后重裝系統就可以了，但需要注意的是重裝系統后應盡快更新補丁并安裝殺毒軟件，避免二次感染。