防范勒索病毒紧急通知:多所高校被植入勒索病毒

最后更新：2017年5月13日01:13:03

2017年5月12日晚，游侠安全网得到线报：国内多所大学被黑客攻击，校园网中了勒索病毒，黑客索要比特币，攻击造成了教学系统瘫痪，从新浪微博的消息来看，受损失的学校数字在增加中。

虎扑体育网（https://bbs.hupu.com/19191136.html）

校园网中了比特币勒索病毒，所有学校实验室电脑全部中毒，老师目前没有办法，据说这次是全国性的，你们学校那里怎样？

kisssing的回复：

我不知道算是幸运的不，师妹跟我说了这个事，一激动备份了四个重要的文件，刚上传邮箱，电脑就GG了！

就靠四个文件毕业了！！！

PS：给在读或者要读研的老铁提醒几句，平时注意更新漏洞，备份资料，使用必要的防护软件（一直裸奔来的，幸好宿舍垃圾电脑新装了deepin）。希望答辩顺利！！

IT之家：全国高校部分校园网受大规模病毒攻击：传播迅猛、勒索比特币（http://www.ithome.com/html/it/308589.htm）

感谢IT之家网友 人民公社大队长、潘长江、yuelen 等的投稿

IT之家5月12日消息 今天晚上，IT之家有不少小伙伴投稿称，在今晚20点左右，国内部分高校学生反映电脑被病毒攻击，文档被加密。攻击者称需支付比特币解锁。

据悉，病毒是全国性的，疑似通过校园网传播，十分迅速。目前受影响的有大连海事学院、贺州学院、桂林电子科技大学、桂林航天工业学院以及广西等地区的大学。

（IT之家网友提供图片）

IT之家提请各地区校园学子，请赶紧备份重要文件以免遭到勒索，特别是应届毕业生，论文一定要备份好！

从目前的情况来看，病毒似乎还在扩散，IT之家将会持续关注。

山东大学：关于防范ONION勒索软件病毒攻击的紧急通知 （http://www.nc.sdu.edu.cn/info/1961/1414.htm）

校园网用户：

近期国内多所院校（包括我校部分单位）出现ONION勒索软件感染情况，磁盘文件会被病毒加密为.onion后缀，该勒索软件是此前活跃的勒索软件Wallet的一类变种，运用了高强度的加密算法难以破解，被攻击者除了支付高额赎金外，往往没有其他办法解密文件，只有支付高额赎金才能解密恢复文件，对学习资料和个人数据造成严重损失。

根据网络安全机构通报，这是不法分子利用NSA黑客武器库泄漏的“永恒之蓝”发起的病毒攻击事件。

从我校被感染机器的情况来看，一是操作系统、Office软件等没有采用正版软件，且漏洞、补丁更新不及时；二是不常用端口没有封闭；三是个人网络安全意识淡漠，没有定期备份文档的习惯。

在此提醒广大校园网用户：

1.目前微软已发布补丁MS17-010修复了“永恒之蓝”攻击的系统漏洞，请广大师生尽快为电脑安装此补丁，网址为https://technet.microsoft.com/zh-cn/library/security/MS17-010；对于XP、2003等微软已不再提供安全更新的机器，推荐使用360“NSA武器库免疫工具”检测系统是否存在漏洞，并关闭受到漏洞影响的端口，可以避免遭到勒索软件等病毒的侵害。免疫工具下载地址：http://dl.360safe.com/nsa/nsatool.exe。

2.安装正版操作系统、Office软件等。学校信息化工作办公室为教职工提供正版软件，详情请访问信息化工作办公室网站下载、安装、激活，并将自动漏洞、补丁升级设置为自动安装。

3.关闭445、135、137、138、139端口，关闭网络共享。

4.强化网络安全意识，“网络安全就在身边，要时刻提防”：不明链接不要点击，不明文件不要下载，不明邮件不要打开……

5.尽快（今后定期）备份自己电脑中的重要文件资料到移动硬盘/U盘／网盘上。

信息化工作办公室

2017年5月12日

飓风网络安全微信号：勒索病毒、敲诈者病毒、wallet比特币病毒加密数据后的应急处理

很多技术员，程序员员，网管，看到服务器的数据被加密了，服务进程被停止了，文件名在一个个的神奇的改变，顿时慌了神，对于第一个发现病毒作案现场的目击者，应该如何应对和处理这种突发的攻击呢？
根据我们多年的数据恢复与病毒解密处理经验，以及中国数据恢复协会广大会员单位的交流讨论，我们认为发现病毒加密数据之后应该立即做如下几点：

1：立即断网。

2：立即检查病毒加密时间。（观察文件修改时间）

规则A：立即断电或关机。若勒索加密病毒运行加密的时间在0-2小时内，根据你的主机文件个数和数据容量多少，一般情况下1小时内病毒会加密完成，若你的文件个数和容量比较大，病毒加密时间会时间更长。

规则B：不要关机，如果你发现加密时间已经超过5小时以上，这是你就是关机也没有用了，所以建议不要关机，这是病毒进程还在内存，对于破解病毒来说，很多密钥可能在内存或缓存文件，关机会导致这些重要的数据丢失或改变或覆盖，不利于后面的数据解密。

3：杀毒软件
往往中毒的主机杀毒软件都没有防守住，所以它杀不掉病毒，目前据我们的统计，杀毒软件是无法直接解密数据的，所以一般情况下，无需运行杀毒软件（此时杀毒软件进程多数被终止了），也无需安装新的杀毒软件，因为这些操作都会删除部分感染文件，对于重要被感染的数据万一被杀毒软件清除，就不利于数据恢复。

4：寻找专业机构。
数据被病毒加密勒索，十万火急，特别是wallet病毒，往往加密对象是服务器主机，严重影响企业日常运行，但是我们建议是，慌乱之中不要急。坚持专业途径解决问题。

规则A：勒索病毒恶性程度很高，采用高级的加密算法，非展业人士自己不要尝试，以免感染别的主机扩大故障

规则B：寻求专业的数据恢复公司，寻找专业人员协助解密。

规则C：不要轻易交纳赎金，这样会助长犯罪分子的气焰，另外黑客犯罪分子一般在国外，支付比特币赎金后如何保障付款安全，风险极大，我们已经碰到过用户付钱后，仍然无法解密数据的案例。

游侠安全网（http://www.youxia.org）补充：

本周有同事给我打电话，说上周客户服务器中了勒索病毒的事情，被“撕票”了——给了攻击者6个比特币（人民币也4万左右了）之后就杳无音信了，关键：还TM没发票啊！

百川在新浪微博搜了下“勒索病毒”，发现中勒索病毒的大学名单还在持续增加中，最新消息，请关注游侠安全网！

另：一定记得要装个杀毒软件 ，再把计算机的补丁打全，来历不明的文档不要点！

PS：你别说，这病毒还真是全球性的……居然怕中毒的不认识英文，还自带中文……根据操作系统判断语言……这人性化做的……

2017年5月13日00:51:24 补充：

来自新浪微博的消息，这次似乎不算是仅仅针对中国大学的攻击，而是：全球化！中国大学可能仅仅是其中的一个受害者而已！

@英国报姐：据BBC，今天全球很多地方爆发一种软件勒索病毒，只有缴纳高额赎金（有的要比特币）才能解密资料和数据，英国多家医院中招，病人资料威胁外泄，同时俄罗斯，意大利，整个欧洲，包括中国很多高校。。今天都有中招。。大家注意防范吧。

@英国那些事儿：大事件，就在一个多小时以前，全英国上下16家医院遭到大范围网络攻击… 医院的内网被攻陷，电脑被锁定，电话也不通…. 黑客索要每家医院300比特币（接近400万人民币）的赎金，否则将删除所有资料…. 现在这 16家机构对外联系基本中断，内部恢复使用纸笔进行紧急预案….英国国家网络安全部门正在调查，现在攻击仍在进行中…

那么，似乎也要给国内的医院提个醒：一定要做好防范！如果被攻击并被勒索，400万，给不给？6月1日国家的网络安全法正式实施，如果实施之后，又发生了这样的事情，罚不罚单位？罚不罚责任人？