警告！全球突发比特币病毒，中国高校瘫痪！你的电脑被勒索了吗？_凤凰资讯
警告！全球突发比特币病毒，中国高校瘫痪！你的电脑被勒索了吗？
用微信扫描二维码分享至好友和朋友圈
几个小时前，一款名为“比特币病毒”的勒索软件，大规模入侵全球电脑网络，包括中国、美国在内的全球99个国家纷纷中招！
“英国医院遭大规模黑客攻击”
最先报道出的，是全英国上下多达25家医院和医疗组织遭到大范围网络攻击...&
医院的网络被攻陷，电脑被锁定，电话打不通.......黑客向每家医院索要300比特币（接近400万人民币）的赎金，如果3天之内没有交上，赎金翻倍，如果7天内没有支付，黑客将删除所有资料....
中了“勒索”病毒后，医疗机构纷纷发出紧急通知：如非必要，尽量不要联系医生！
“勒索病毒蔓延全球”
不只是英国医院，这一波病毒也蔓延到了学校！
很快，就已经在全球爆发，各大洲全部落难，发达地区尤为密集，全球已经有6万多台电脑被污染。
蓝色点块代表被黑掉的地区
“中国高校校园网沦陷”
这波病毒甚至也波及到了中国！
中国受感染地区
5月12日晚，国内有不少高校学生反映电脑被恶意的病毒攻击，文档被加密。
在加密的位置显示的是如果想打开加密文件，必需花钱解锁，而且是花钱购买比特币解锁。
据国内各媒体报道，这次病毒是全国性的，涉及的范围尤其广泛，并且主要的攻击对象选择了各大高校的校园网，目前受病毒感染的高校名单还在增加。
由于校园网的数据关系着高校教研、教学、以及科研成果等，造成了教学系统瘫痪。
而且正赶上国内毕业季，很多学生的文件都打不开了，陷入恐慌！
“如何防范？”
此次蔓延全球的病毒叫RansomWare（勒索病毒），通过邮件、网页，甚至手机入侵，加密锁定受害人的文件，只有交付赎金才能帮你解密。近些年经常出现，而且赎金通常都是以比特币的形式支付。
比特币最早是一种网络虚拟货币，跟腾讯公司的Q币类似，但是已经可以购买现实生活当中的物品。
它的特点是分散化、匿名，不属于任何国家和金融机构，并且不受地域限制，也因此“最适合”被不法分子当做洗钱工具。
这一次的病毒事件就是黑客利用了比特币没有痕迹的交易漏洞，从而可以轻松的坐收渔利。
以比特币交易网的最新价格为准，目前一个比特币的价值高达10504元，近乎天价，按照目前全球6万台的中毒电脑，这一次黑客的勒索金额总额完全是万亿的标准。
目前，国内各高校已经通过各种渠道发布了相关的控制办法，在此提醒广大校园网用户：
1、近期不要用电脑和手机登录校园网，谨防被病毒波及。
2、为计算机安装最新的安全补丁。根据纽约时报等多家媒体报道，病毒容易入侵win 10之前旧版本的电脑系统，但微软声称已发布补丁MS17-010修复了“永恒之蓝”攻击的系统漏洞，请尽快安装此安全补丁，网址为https：//technet.microsoft.com/zh-cn/library/security/MS17-010。
3、关闭445、135、137、138、139端口，关闭网络共享。
4、强化网络安全意识：不明链接不要点击，不明文件不要下载，不明邮件不要打开。&
4、备份！备份！备份！尽快备份自己电脑中的重要文件资料到移动硬盘、U盘，备份完后脱机保存该磁盘。
现在国内高校很多同学正在紧张地准备毕业论文（感觉又找到了不叫毕业论文的新借口啊），再次提醒大家一定要注意防范，别瞎点！同时备份好重要文件！尤其是毕业论文之类重要资料！
最后，请大家相互扩散提醒！
用微信扫描二维码分享至好友和朋友圈
凤凰资讯官方微信
播放数：289456
播放数：129478
播放数：5808920
播放数：5808920多院校现“病毒”感染遭勒索 黑客索要比特币赎金
来源：综合
作者：中国青年网
原标题：多院校现“病毒”感染遭勒索 黑客索要比特币赎金
　　据@桂林人不知道的桂林事儿 据了解大部分被黑的是win7系统，目前病毒还在扩散，令人气愤的是被黑的基本上是大四学生的电脑，论文全部被加密，黑客还扬言给钱就帮恢复论文！太猖狂了！另据@英国那些事儿 一个多小时以前，全英国上下16家医院遭到大范围网络攻击... 医院的内网被攻陷，电脑被锁定，电话也不通.... 黑客索要每家医院300比特币（接近400万人民币）的赎金，否则将删除所有资料....
　　另据@广西师范大学微博协会：近期国内多所院校（包括我校）出现勒索软件感染情况，磁盘文件会被病毒加密，加密使用了高强度的加密算法对难以破解，被攻击者除了支付高额赎金外，往往没有其他办法解密文件，只有支付高额赎金才能解密恢复文件，对学习资料和个人数据造成严重损失。
　　根据网络安全机构通报，这是不法分子利用NSA黑客武器库泄漏的“永恒之蓝”发起的病毒攻击事件。“永恒之蓝”会扫描开放445文件共享端口的Windows机器，无需用户任何操作，只要开机上网，不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序。
　　在此提醒广大校园网用户：
　　1、为计算机安装最新的安全补丁，微软已发布补丁MS17-010修复了“永恒之蓝”攻击的系统漏洞，请尽快安装此安全补丁，网址为https://technet.microsoft.com/zh-cn/library/security/MS17-010；对于windows XP、2003等微软已不再提供安全更新的机器，可使用360“NSA武器库免疫工具”检测系统是否存在漏洞，并关闭受到漏洞影响的端口，可以避免遭到勒索软件等病毒的侵害。免疫工具下载地址：http://dl.360safe.com/nsa/nsatool.exe。
　　2、关闭445、135、137、138、139端口，关闭网络共享。
　　3、强化网络安全意识：不明链接不要点击，不明文件不要下载，不明邮件不要打开&&
　　4、尽快（今后定期）备份自己电脑中的重要文件资料到移动硬盘、U盘，备份完后脱机保存该磁盘。
　　5、建议仍在使用windows xp， windows 2003操作系统的用户尽快升级到 window 7/windows 10，或 windows 16操作系统。
　　广西师范大学网络信息中心
(责任编辑：郭彪 UN832)
&&&&&&</div
中国人哪来这么多钱？[]
客服热线：86-10-
客服邮箱：国内多所高校被病毒劫持 黑客勒索比特币|病毒|黑客|高校_新浪财经_新浪网
新浪财经App：直播上线 博主一对一指导
证券时报网（www.stcn.com）05月13日讯 据TechWeb报道，今日早间，全球突发劫持数据、勒索比特币的病毒事件。英国16家医院遭到大范围网络攻击，电脑被锁定， 黑客索要每家医院支付近400万人民币赎金，否则将删除所有资料。国内部分高校网络也已被感染，毕业论文及设计资料被锁。据媒体报道，该病毒是全国性的，疑似通过校园网传播，十分迅速。目前受影响的有贺州学院、桂林电子科技大学、桂林航天工业学院以及广西等地区的大学。
（证券时报·e公司）
热门推荐APP专享昨天开始，国内有众多网友反馈中了CTB-Locker敲诈者病毒, 电脑里的文档、图片等重要资料被该病毒加密，同时提示受害者在96小时内支付8比特币（约1万元人民币）赎金，否则文件将永久无法打开。这是CTB-Locker敲诈者病毒首次现身中国，受害者大多是企业高管等商务人士。
这是国内首次出现敲诈比特币的病毒攻击，该病毒敲诈过程具有高隐蔽性、高技术犯罪、敲诈金额高、攻击高端人士、中招危害高的“五高”特点，对一些具有海外业务的企业造成恶劣影响。360QVM团队第一时间对该病毒进行了深入分析。
CTB-Locker病毒通过邮件附件传播，如果用户不小心运行，用户系统中的文档、照片等114种文件会被病毒加密。病毒在用户桌面显示勒索信息，要求向病毒作者支付8比特币赎金才能够解密还原文件内容。
由于获取赎金支付信息需要在Tor网络中进行， Tor网络是随机匿名并且加密传输的，比特币交易也是完全匿名的，这使得病毒作者难以被追踪到，受害者支付赎金的难度也不小。一旦中招，对大多数人来说只能尝试找回被加密文件“以前的版本”，但前提是系统开启了卷影复制或Windows备份服务，否则很难找回文件。
MD5：a2fe69a12eae13bfbf8260
传播量：估算全国范围内&1000
受影响的操作系统： Windows系统
样本图标：
病毒名称：Malware.QVM20.GEN
截获时间： 14:01:02
查杀时间： 14:01:02（QVM人工智能引擎在首次捕获样本时即可查杀）
样本攻击流程如下：
第一步：通过邮件附件发送病毒样本
病毒使用了大量垃圾指令用于阻碍样本分析，最终在内存中展开第三步所用的PE文件。
循环解密，写入动态申请的内存中
解密完成，跳转到动态申请的内存中，执行解密后的代码
动态获得系统API
再次申请内存，将自身解密，内存中动态展开第三步所用病毒
从获取自身资源，释放并执行RTF文件，让用户误以为打开了文档
RTF文件内容如下：
接下来,样本尝试访问windowsupdate.microsoft.com，判断用户是否可以联网。
如果可以联网，则会循环读取下载列表，下载加密文件
下载列表如下：（部分链接已无法访问）
http://breteau-photographe.com/tmp/pack.tar.gz
http://maisondessources.com/assets/pack.tar.gz
http://breteau-photographe.com/tmp/pack.tar.gz
http://voigt-its.de/fit/pack.tar.gz
http://maisondessources.com/assets/pack.tar.gz
http://jbmsystem.fr/jb/pack.tar.gz
http://pleiade.asso.fr/piwigotest/pack.tar.gz
http://scolapedia.org/histoiredesarts/pack.tar.gz
通过解密pack.tar.gz得到第四步所用的病毒。
利用之前相似的方式，动态解密自身，在内存中展开新的PE文件，并且这个文件被加了壳，目的还是阻碍分析。
代码还原后，可以在内存中得到第五步所需的病毒。
最终的敲诈功能在第五步中实现。
运行后会将自身拷贝到temp目录中，并且创建计划任务，实现自启动。
远程注入恶意代码到svchost.exe中
判断中毒用户是否有vboxtray.exe、vboxservice.exe、vmtoolsd.exe等虚拟机进程，目的也是为了阻碍分析，增加触发病毒代码的条件。
遍历用户所有文件，包括硬盘、U盘、网络共享等。
判断用户的文件格式是否符合感染目标，共114种文件作为病毒感染目标
pwm,kwm,txt,cer,crt,der,pem,doc,cpp,c,php,js,cs,pas,bas,pl,py,docx,
rtf,docm,xls,xlsx,safe,groups,xlk,xlsb,xlsm,mdb,mdf,dbf,sql,md,dd,
dds,jpe,jpg,jpeg,cr2,raw,rw2,rwl,dwg,dxf,dxg,psd,3fr,accdb,ai,arw,
bay,blend,cdr,crw,dcr,dng,eps,erf,indd,kdc,mef,mrw,nef,nrw,odb,odm,
odp,ods,odt,orf,p12,p7b,p7c,pdd,pdf,pef,pfx,ppt,pptm,pptx,pst,ptx,
r3d,raf,srf,srw,wb2,vsd,wpd,wps,7z,zip,rar,dbx,gdb,bsdr,bsdu,bdcr,
bdcu,bpdr,bpdu,ims,bds,bdd,bdp,gsf,gsd,iss,arp,rik,gdb,fdb,abu,config,rgx
根据计算机启动时间,文件创建，修改，访问时间等信息为随机种子生成KEY。对文件ZLIB压缩之后进行了AES加密：
最终修改受害者壁纸，显示勒索信息：
一、不点击陌生人发来的exe、scr等可执行程序；
二、重要数据做好日常备份，推荐使用360杀毒“文件堡垒”进行保护，防止文件被误删；
三、及时更新安全软件防范病毒。勒索病毒全球爆发中国多所高校中招　你的电脑若中毒了怎么办？
扫描到手机，看更多国搜资讯
您可以用手机或平板电脑的二维码应用拍下左侧二维码，您可以在手机国搜客户端继续浏览本文，并可以分享给你的好友。
核心提示：近日包括中国在内的全球近百个国家和地区部分电脑遭遇同一类勒索病毒的攻击，目前安全机构暂未能有效破除该勒索软的恶意加密行为。
近日包括中国在内的全球近百个国家和地区部分电脑遭遇同一类勒索病毒的攻击。记者了解到，目前安全机构暂未能有效破除该勒索软的恶意加密行为，用户只能进行预防，用户中毒后可以通过重装操作系统的方式来解除勒索行为，但用户重要数据文件不能直接恢复。
全球近百国家地区遭勒索病毒攻击
据外媒报道，日前，全球近百个国家和地区都有电脑系统遭受一个名为WannaCry的病毒攻击，被攻击者被要求支付比特币才能解锁。12日，安全软件制造商Avast表示，它已经在99个国家观察到超过57000个感染例子。
据社交媒体上用户贴出的照片显示，该勒索软件在锁定电脑后，索要价值300美元的比特币，并显示有“哎哟，你的文件被加密了!”(Ooops， your files have been encrypted!)字样等的对话框。
13日，中国国家互联网应急中心发文称，互联网上出现针对Windows操作系统的勒索软件的攻击案例，勒索软件利用此前披露的Windows SMB服务漏洞(对应微软漏洞公告：MS17-010)攻击手段，向终端用户进行渗透传播，并向用户勒索比特币或其他价值物。
被勒索病毒攻击后电脑弹出的窗口。腾讯反病毒实验室供图
腾讯反病毒实验室接受中新网记者采访时也表示，这是最近几年极为流行的、依靠强加密算法进行勒索的攻击手段。与之前的攻击不同的是，此次勒索病毒结合了蠕虫的方式进行传播，传播方式采用了前不久美国国家安全局(NSA)被泄漏出来的MS17-010漏洞，因此无需受害者下载、查看或打开任何文件即可发动攻击。
国内多个高校电脑遭遇病毒入侵
中国国家互联网应急中心还表示，勒索软件的攻击涉及到国内用户(已收到多起高校案例报告)，已经构成较为严重的攻击威胁。
从5月12日晚间起，中国多个高校的师生陆续发现自己电脑中的文件和程序无法打开，而是弹出对话框要求支付比特币等赎金后才能恢复。
记者注意到，山东大学、南昌大学、广西师范大学、东北财经大学、电子科技大学中山学院在内十几家高校发布遭受病毒攻击的通知，提醒师生注意防范。
南昌大学官方微博发布的勒索软件病毒攻击的通知截图。
部分高校通知称，近期国内多所院校出现ONION勒索软件感染情况，磁盘文件会被病毒加密为.onion后缀，只有支付高额赎金才能解密恢复文件，对学习资料和个人数据造成严重损失。根据网络安全机构通报，这是不法分子利用NSA黑客武器库泄漏的“永恒之蓝”发起的病毒攻击事件。
国内外被攻击的电脑中的是同一病毒
腾讯反病毒实验室表示，在NSA泄漏的文件中，WannaCry传播方式的漏洞利用代码被称为“EternalBlue”，所以也有的媒体报道称此次攻击为“永恒之蓝”。
据腾讯反病毒实验室分析，这次WanaCry2.0系列攻击，实际上是一次蠕虫攻击，威力等同于当年的conficker。该蠕虫一旦攻击进入能连接公网的用户机器，就会利用内置了EnternalBlue的攻击代码，自动在内网里寻找开启了445端口的机器进行渗透。
中国国家互联网应急中心称，当用户主机系统被该勒索软件入侵后，用户主机上的重要数据文件，如：照片、图片、文档、压缩包、音频、视频、可执行程序等多种类型的文件，都被恶意加密且后缀名统一修改为 “.WNCRY”。
国内高校为何此次成病毒攻击“重灾区”？
腾讯反病毒实验室认为，各大高校通常接入的网络是为教育、科研和国际学术交流服务的教育科研网，此骨干网出于学术目的，大多没有对445端口做防范处理，这是导致这次高校成为重灾区的原因之一。
此外，如果用户电脑开启防火墙，也会阻止电脑接收445端口的数据。但中国高校内，一些同学为了打局域网游戏，有时需要关闭防火墙，也是此次事件在中国高校内大肆传播的另一原因。
腾讯安全反病毒实验室公布的WanaCrypt0r 2.0攻击流程图。
腾讯反病毒实验室还表示，相关网络运营商在骨干网ISP策略中习惯性禁止445端口的数据传输，防止蠕虫等病毒传播的策略，发挥了重要的作用。在本次漏洞事件中，间接地降低了本次漏洞所带来的风险。
你的电脑若中毒了怎么办？
根据中国国家信息安全漏洞共享平台(CNVD)秘书处普查的结果，互联网上共有900余万台主机IP暴露445端口(端口开放)，而中国大陆地区主机IP有300余万台。
据外媒报道，一名网络安全研究员声称他找到方法能停止这个病毒扩散，但警告这只是暂时性质的。
中国国家互联网应急中心表示，目前，安全业界暂未能有效破除该勒索软的恶意加密行为，用户主机一旦被勒索软件渗透，只能通过重装操作系统的方式来解除勒索行为，但用户重要数据文件不能直接恢复。
中国国家互联网应急中心公布的有可能通过445端口发起攻击的漏洞攻击工具。
腾讯反病毒实验室称，此病毒与以往的勒索攻击事件一样，采用了高强度的加密算法，因此在事后想要恢复文件是很难的，重点还是在于事前的预防。
如何能预防电脑被勒索病毒“绑架”？
在防范上，国内多家安全机构均提示，一是，及时更新 Windows已发布的安全补丁。在3月MS17-010漏洞刚被爆出的时候，微软已经针对Win7、Win10等系统在内提供了安全更新;此次事件爆发后，微软也迅速对此前尚未提供官方支持的Windows XP等系统发布了特别补丁。
二是，在电脑上安装腾讯电脑管家、360安全卫士等安全类软件，并保持实时监控功能开启，可以拦截木马病毒的入侵。
Windows 7系统用户可打开控制面板点击防火墙-高级设置-入站规则-新建规则-勾中“端口”-点击“协议与端口”，勾选“特定本地端口”，填写445后点击下一步，继续点击“阻止链接”，一直下一步，并给规则命名，可完成关闭445端口。
中国国家互联网应急中心还建议，关闭445等端口(其他关联端口如： 135、137、139)的外部网络访问权限，在服务器上关闭不必要的上述服务端口;加强对445等端口(其他关联端口如： 135、137、139)的内部网络区域访问审计，及时发现非授权行为或潜在的攻击行为;由于微软对部分操作系统停止安全更新，建议对Window XP和Windows server 2003主机进行排查(MS17-010更新已不支持)，使用替代操作系统;做好信息系统业务和个人数据的备份。（完）
相关搜索：
责任编辑：何艳
点击加载更多
头条热搜词
扫码关注中国搜索官方微信
扫码关注中国搜索官方微信}