“勒索病毒”肆虐暴露网络安全短板

　　“勒索病毒”与以往电脑病毒需要引诱用户点击恶意程序链接加载安装不同，只要开机上网，就会植入。随着安全服务和防范工具的应用，目前该“勒索病毒”传播速度已明显放缓。值得注意的是，事件也暴露了一些企业和个人用户安全意识的薄弱，需要引起重视——

　　72小时之内，一款“勒索病毒”席卷全球。5月12日，英国国家医疗服务体系遭遇大规模网络攻击，多家公立医院的电脑系统几乎同时瘫痪，电话线路也被切断。俄罗斯和意大利等多个国家也纷纷“中招”。在国内，教育网成为重灾区，不少学生电脑中的全部文档被加密，同时电脑桌面出现了一封“勒索信”，要求用户在3天内缴纳相当于300美元的比特币才能“解锁”。

　　360首席安全工程师郑文彬介绍说，“勒索病毒”以ONION和WNCRY两个家族为主，根据360针对校园网“勒索病毒”事件的监测数据显示，国内首先出现的是ONION病毒，平均每小时攻击约200次，夜间高峰期达到每小时1000多次，WNCRY“勒索病毒”在夜间高峰期每小时攻击约4000次。

　　互联网安全厂商瑞星安全专家唐威告诉记者，大量使用定制版系统开展公共服务的政府部门和使用老旧操作系统的央企也被勒索病毒所波及。

　　“勒索病毒”为何来势汹汹？腾讯安全联合实验室反病毒实验室负责人马劲松告诉记者，与以往病毒需要引诱用户点击恶意程序链接加载安装不同，此次病毒发行者利用了去年被盗的美国国家安全局自主设计的Windows系统黑客工具“永恒之蓝”，“如果系统没有安装今年3月份的微软补丁，无需用户任何操作，只要开机上网，‘永恒之蓝’就能在电脑里执行任意代码，植入‘勒索病毒’等恶意程序。”

　　郑文彬说：“‘永恒之蓝’可远程攻击Windows系统的445端口，由于国内曾多次出现利用445端口传播的蠕虫病毒，部分运营商对个人用户已经封掉了445端口。但是，教育网并无此限制，存在大量暴露着445端口的机器，因此成为不法分子攻击的重灾区。”

　　不过，中央网信办网络安全协调局负责人5月15日在接受记者采访时表示，事件发生后，公安、工信、教育、银行、网信等有关部门都立即作出部署，对防范工作提出了要求。各家安全企业迅速开展研究，主动提供安全服务和防范工具。“目前，该勒索软件还在传播，但传播速度已明显放缓。”

　　唐威也表示，第一轮进攻将在5月16日左右告一段落，由于各国都加强了防范措施，短期内相似病毒暂时不会卷土重来。

　　然而，已经中招的电脑却暂时难以恢复。中国国家互联网应急中心表示，目前，安全业界暂未能有效破除该勒索软件的恶意加密行为，用户主机一旦被勒索软件渗透，只能通过重装操作系统的方式来解除勒索行为，但用户重要数据文件不能直接恢复。

　　针对这一“勒索病毒”，中央网信办网络安全协调局负责人表示，几天来应对该勒索软件的实践表明，对广大用户而言最有效的应对措施是安装安全防护软件，及时升级安全补丁，即使是与互联网不直接相连的内网计算机也应考虑安装和升级安全补丁。作为企业的系统管理技术人员，还可以采取关闭该勒索软件使用的端口和网络服务等措施。

　　马劲松建议，各家安全厂商都推出了有针对性的防御工具，但用户需断网安装。以腾讯电脑管家的“勒索病毒免疫工具”离线版为例，用户要在其他的电脑上将文件下载拷贝至安全、无毒的U盘中，再将指定电脑在关闭Wi-Fi，拔掉网线，断网状态下开机，并尽快备份重要文件，再通过U盘使用离线版，实行一键修复漏洞，联网即可正常使用电脑。

　　在安全厂商的专家们看来，此次勒索软件大爆发，也暴露出国内企业和个人用户安全意识薄弱。唐威说：“微软在3月份发布安全补丁，安全厂商们的预警发布也是在3月份，为什么到了5月份还有这么多电脑被感染？还是因为一些企业和个人用户对网络安全没有引起足够的重视。”

　　此外，他建议，在应急措施之外，用户一定要建立良好的使用习惯。“比如及时更新操作系统和第三方软件的安全补丁；安装个人杀毒软件和防火墙；设置高安全强度口令并定期更换；重要数据要养成定期异地备份习惯，一般隐私数据也可以考虑备份在云网盘上。如果用户还在使用微软XP系统，鉴于微软已经停止了对该系统的更新支持，一定要尽快安装紧急补丁。”