芥末堆 吉吉 5  月 13 日

“從昨晚開始大家都拔了網(wǎng)線，嚇人?！苯袢丈衔?，山東大學(xué)的一位學(xué)生向芥末堆爆料，昨日很多同學(xué)連接校園網(wǎng)的電腦被黑客攻擊，電腦上的文檔資料被鎖住，需要付費(fèi)才能解鎖。

被黑客攻擊之后的對(duì)話框（圖片來(lái)源于網(wǎng)絡(luò)）

據(jù)了解，當(dāng)學(xué)生的電腦被攻擊之后，屏幕上會(huì)出現(xiàn)一個(gè)這樣的紅色對(duì)話框，對(duì)話框中稱：“您的一些重要文件被我加密保存了，照片、圖片、文檔、壓縮包、音頻、視頻文件、exe 文件等，幾乎所有類型的文件都被加密了，因此不能正常打開。”

對(duì)方稱，想要恢復(fù)全部文檔，需要付點(diǎn)費(fèi)用，且只接受比特幣付款，付款基金不能低于窗口上顯示的金額。最好三天內(nèi)付款，過(guò)了三天費(fèi)用就會(huì)翻倍。

芥末堆了解到，此次山東大學(xué)同學(xué)的遭遇并非偶然，目前國(guó)內(nèi)已有大量學(xué)校電腦感染了勒索病毒。

北京某高校學(xué)生的朋友圈

病毒入侵后，北京大學(xué)、北京師范大學(xué)、南昌大學(xué)、貴州大學(xué)、同濟(jì)大學(xué)、大連海事大學(xué)等多所大學(xué)均發(fā)布了緊急通知。

大連海事大學(xué)微博

同濟(jì)大學(xué)微博

北京大學(xué)在發(fā)布的通知中稱，已于5月12日在校園網(wǎng)采取緊急防御措施，防止此病毒在校內(nèi)的大規(guī)模傳播。在此提醒廣大校園網(wǎng)用戶：

• 為計(jì)算機(jī)安裝最新的安全補(bǔ)丁，微軟已發(fā)布補(bǔ)丁MS17-010修復(fù)了該病毒漏洞，請(qǐng)盡快安裝此安全補(bǔ)丁，網(wǎng)址為 https://technet.microsoft.com/zh-cn/library/security/MS17-010

• 關(guān)閉445、135、137、138、139端口，關(guān)閉網(wǎng)絡(luò)共享；

• 定期對(duì)電腦內(nèi)重要文件資料進(jìn)行備份；

• 強(qiáng)化網(wǎng)絡(luò)安全意識(shí)：不明鏈接不要點(diǎn)擊，不明文件不要下載，不明郵件不要打開。

根據(jù)網(wǎng)絡(luò)安全機(jī)構(gòu)通報(bào)，這次的校園網(wǎng)勒索病毒，是不法分子利用NSA黑客武器庫(kù)泄漏的“永恒之藍(lán)”發(fā)起的病毒攻擊事件?！坝篮阒{(lán)”可遠(yuǎn)程攻擊 Windows 的 445 端口（文件共享），如果系統(tǒng)沒(méi)有安裝今年 3 月的微軟補(bǔ)丁，無(wú)需用戶任何操作，只要開機(jī)上網(wǎng)，不法分子就能在電腦和服務(wù)器中植入勒索軟件、遠(yuǎn)程控制木馬、虛擬貨幣挖礦機(jī)等惡意程序。

由于此前國(guó)內(nèi)曾多次出現(xiàn)利用 445 端口傳播的蠕蟲病毒，部分運(yùn)營(yíng)商對(duì)個(gè)人用戶封掉了445端口。但是教育網(wǎng)并無(wú)此限制，存在大量暴露著 445 端口的機(jī)器，因此成為不法分子使用 NSA 黑客武器攻擊的重災(zāi)區(qū)。

此外，清華大學(xué)的學(xué)生向芥末堆透露，早在本次勒索病毒在國(guó)內(nèi)大規(guī)模爆發(fā)之前，清華大學(xué)信息技術(shù)中心已經(jīng)關(guān)閉了涉及威脅的多個(gè) TCP 端口。

這份發(fā)布于 4 月 15 日的通知中稱：“由于近期有黑客組織放出針對(duì)于 windows 操作系統(tǒng)的攻擊代碼，使得 windows 操作系統(tǒng)面臨入侵風(fēng)險(xiǎn)，被攻擊的結(jié)果可能導(dǎo)致 windows 操作系統(tǒng)重要文件被修改，威脅等級(jí)較高。基于上述原因，為防止校園網(wǎng)內(nèi)部主機(jī)收到外部攻擊，校園網(wǎng)出口將暫時(shí)封禁 TCP 協(xié)議 139 端口、445 端口、3389 端口的入校訪問(wèn)?！?/p>