“比特币”病毒全球大爆发，华农已禁用445端口，未受到病毒侵袭

 

近日，疑似利用NSA间谍工具发动的网络勒索攻击在全球爆发，全球许多国家的医院及科研机构等也都遭受了攻击，欧洲、拉丁美洲以及亚洲部分地区受创最重。据卡巴斯基统计，在过去的十几个小时里，全球共有74个国家的至少4.5万电脑中招。而杀毒软件Avast统计的数据更为惊人：病毒已感染全球至少5.7万台电脑，并仍在迅速蔓延中。

据央视新闻报道，昨晚，国内部分高校学生反映电脑被病毒攻击，文档被加密。攻击者称需支付价值相当于300美元（约合人民币2069元）的虚拟货币才可解锁。不少同学的毕业论文、毕业设计等重要资料已宣告“沦陷”。

中国多所大学遭攻击 学生毕业论文“沦陷”

目前，很多大学的官方微博、微信已发出了预警信息，这段时间国内很多大学的校园网和同学的电脑都中病毒了。不少同学的毕业论文、毕业设计等重要资料已经宣告“沦陷”。部分高校已发布预警信息，提醒大家不要点开来路不明的链接，装上杀毒软件。

据悉，病毒是全国性的，疑似通过校园网传播，十分迅速。目前贺州学院、桂林电子科技大学、桂林航天工业学院、宁波大学，浙江中医药大学、浙江工商大学、浙江理工大学、大连海事大学、山东大学等众多高校都受到了病毒攻击。

在这里提醒各地区校园学子，请赶紧备份重要文件以免遭到勒索，特别是应届毕业生，论文一定要备份好！

华农已禁用445端口，尚未受到“比特币”病毒威胁

经相关安全机构初步调查，此类勒索病毒利用了基于445端口传播扩散的SMB漏洞，部分学校感染台数较多，大量重要信息被加密，只有支付高额的比特币赎金才能解密恢复文件，损失严重。远程利用代码和4月14日黑客组织Shadow Brokers（影子经纪人）公布的Equation Group（方程式组织）使用黑客工具包有关。其中的ETERNALBLUE模块是SMB 漏洞利用程序，可以攻击开放了 445 端口的 Windows 机器，实现远程命令执行。微软在今年3月份发布的MS17-010补丁，修复了ETERNALBLUE所利用的SMB漏洞。目前基于ETERNALBLUE的多种攻击代码已经在互联网上广泛流传，除了捆绑勒索病毒，还发现有植入远程控制木马等其他多种远程利用方式。

根据360公司的统计，目前国内平均每天有不低于5000台机器遭到基于ETERNALBLUE的远程攻击，并且攻击规模还有进一步扩大趋势。

此次利用的SMB漏洞影响以下未自动更新的操作系统：

Windows XP／Windows 2000／Windows 2003

Windows Vista／Windows Server 2008／Windows Server 2008 R2

Windows 7／Windows 8／Windows 10

Windows Server 2012／Windows Server 2012 R2／Windows Server 2016

对于比特币入侵高校校园网等端口的现象，华农现代教育技术中心钟焯荣老师表示，华农目前没有受到比特币病毒的入侵，华农校园网早已在出口处禁用了445端口。”

小新教你免遭勒索病毒之害

学校现代教育技术中心已采取的措施：

1、在边界出口交换路由设备禁止外网对校园网135/137/139/445端口的连接；

2、在校园网络核心主干交换路由、3层网关设备禁止135/137/139/445端口的连接。

学校现代教育技术中心采取的措施能防止各网络区域子网之间不容易受到感染，但对同一网络子网的用户之间是没有办法防护的，因此个人用户电脑还需积极做好以下防护措施，确保自己的系统安全。

个人用户电脑防护措施：

1、及时升级更新电脑操作系统的漏洞补丁，更新到最新版本：

可通过windows自带的自动更新功能，或使用如360安全卫士的系统修复补丁更新，也可访问微软站点根据对应的系统下载：

https://technet.microsoft.com/zh-cn/library/security/MS17-010

       尽早停止使用Win XP、Windows2003等微软已不再提供安全更新的操作系统。

2、如果个人电脑不存在共享文件和打印机给他人使用的话，关闭系统的server服务（如下图）。

从“我的电脑----管理----服务和应用程序----服务”，双击“server”服务，把启动类型改为“已禁用”。

3、及时做好个人电脑重要文件数据的非本机备份。

延伸阅读

1.什么是比特币？

比特币是一种虚拟货币，不依靠特定机构发行，依据特定算法，通过大量的计算产生。可以购买现实或虚拟物品，也可以兑换成大多数国家的货币。

2.什么是比特币敲诈病毒？

据百度百科，比特币敲诈病毒（CTB—Locker）最早在2015年初传入中国，随后出现爆发式传播。该病毒通过远程加密用户电脑文件，从而向用户勒索赎金，用户只能在支付赎金后才能打开文件。

其最新变种的敲诈金额为3个比特币，约合人民币6000余元。该病毒通过伪装成邮件附件，一旦受害者运行，就会弹出类似“订单详情”的英文文档。这时病毒已经在系统后台悄悄运行，并将在10分钟后开始发作。

3.比特币敲诈病毒从哪里来？

CTB—Locker是国外最泛滥的病毒家族之一，FBI也已介入调查。但由于此病毒使用匿名网络和比特币匿名交易获取赎金，难以追踪和定位病毒的始作俑者，目前病毒元凶仍逍遥法外。

据路透社报道，“比特币敲诈者”木马家族的作者名叫艾维盖尼耶·米哈伊洛维奇·波格契夫,是一名俄罗斯黑客，在FBI通缉的十大黑客名单中排名第二。

资料来源｜广州日报、中国青年报、央视新闻、南方日报

文字整理｜新媒体中心 李佳林 吴惠莉 蔡巧敏

微信编辑｜新媒体中心 李诗琳

责任编辑｜周志荣 谢韩

小新提醒：毕业论文一定记得备份啊！