5月15日,中央网信办网络安全协调局负责人就“蠕虫”式勒索软件攻击事件回应称,该勒索软件还在传播,但传播速度已经明显放缓。但同时,国家网络与信息安全信息通报中心监测发现:wannacry勒索病毒出现多个变种,如开关域名变化、收钱地址变化等,但主要的传播机制和破坏方式没有改变,威胁依然存在。
病毒入侵事件发生后,多地网安发布应对病毒“攻击”的方案:先拔了网线,安装补丁,再将文件备份后联网,随后得到网友广泛转发。网络安全专家郑文彬告诉重案组37号,此办法的关键,还是在于断网后应及时安装补丁等修复系统漏洞。
遭勒索病毒“感染”的电脑收到“勒索信”,内容为想要解锁文档需支付300美金等价的比特币。
多地加油站网络恢复银行加固防火墙
重案组37号此前报道称,网友称12日全国多地的中石油加油站在加油时无法进行网络支付,只能使用现金。据中新网报道,中石油有关负责人就此表示,公司加油站的加油业务和现金支付业务正常运行,但是第三方支付无法使用,怀疑受到病毒攻击,具体情况还在核查处置中。
5月15日下午,重案组37号探员从中石油北京华威南路加油站一工作人员处获悉,加油站在13日网络已经恢复正常,可以通过银行卡刷卡消费,加油卡的圈存功能也已恢复正常。
据重案组37号探员了解,京津冀三地多家加油站工作人员均确认,13-15日三天,加油站的网络陆续恢复正常,可以通过刷卡进行消费了。“国内大部分中石油的加油站陆续恢复网络连接,加油卡、银行卡、第三方支付功能已恢复。”某加油站工作人员称。
同时,重案组37号探员从北京、南京、杭州等地多家银行了解到,一些银行为了防范于未然,也在周末两天及时安装了防火墙和补丁,修补系统的漏洞。北京华夏银行某位工作人员称,病毒入侵事件出现后,除了不能在内网下载文件外,后台系统照常运行,但现在也已经恢复使用。南京中信、杭州浙商和广东佛山某农业银行则表示,银行未出现病毒入侵的情况,且都采取措施进行防护,目前后台系统修复完成,不会影响日常业务办理。
高校统计病毒入侵数据发布防范措施
5月15日,针对比特币勒索病毒在高校广泛传播事件,山东大学和南昌大学本科生院发布信息统计学生电脑中毒情况,浙传信息办则帮助学生重装系统,为学生排除隐患。
南昌大学新闻学专业的赵同学说,12日早晨8点连接校园网时,电脑忽然遭到攻击,他的英语课件没法打开,之后学校发布相关勒索软件入侵的通告,他表示因为没有重要文件被加密,已经备份了所有文件,目前正在重装系统。南昌大学学工处管理科也表示,学院也在查询学生电脑受到攻击的具体情况,后续安排还要等数据统计完毕再议。
15日上午,山东大学宣传科负责人称,5月12日20时左右,全球爆发大规模基于windows平台的勒索软件感染事件,我校部分学生电脑也受到了勒索软件的攻击导致资料受损。为进一步引导学生做好病毒防范措施,请各学院及时通知学生按照官方通知提示尽快更新操作系统补丁。同时,请做好因勒索软件病毒导致学生电脑资料受损情况的摸底调查,尤其是针对毕业班学生毕业论文受损情况的统计,并加强对相关学生的关注和安抚。
浙江传媒学院信息化办公室主任周海峰告诉重案组37号,有些学生的电脑感染勒索病毒后,到信息办找老师咨询,老师都会帮助学生给电脑重做系统。对于没有感染病毒的电脑,学校也在协助学生给电脑做一些防护措施,比如安装补丁等。
探员追问
“先断网再开机”就可以阻止病毒?
5月15日,海南省网安发布安全通告称,勒索病毒爆发,各单位周一先拔网线,安装windows补丁,将文件备份后再开电脑。之后,深圳、重庆网安、成都市委网信办等也发布相似通告,解答具体防范勒索病毒的措施。而微博和朋友圈内,“先断网再开机”的信息得到网友广泛转发。
网络安全专家郑文彬向重案组37号解释,此方案确实可行。因为非专业人士,个人无法判断电脑是否开放445等端口,可先拔开网线,阻碍病毒入侵,然后安装补丁,再将文件进行备份后,最后重新联网。但最关键是尽快将电脑系统升级或使用光盘安装补丁,修复系统漏洞。
勒索病毒出现变种后应该如何防范?
网络安全专家谢鑫解释,只要未更新漏洞补丁的win10以下系统(xp,win7,win8,win2003,win2008)都存在被攻击的危险,肯定还会持续扩散,并且随着其他黑客了解了原理,新的变种或新的勒索病毒家族种类会变得更加繁多。最保险的防范方式便是关闭445端口,也就是通过关闭服务,设置防火墙策略方式,但也会导致一些依赖445端口的软件或电脑功能无法正常运作。
网络安全专家王子凌认为,从过往攻击来看,出现变种的可能性很大,但只要正确地安装系统补丁,按照安全机构提醒关闭高危端口,其病毒的传播性是可以控制的。
攻击为何从高校扩展至银行等系统?
王子凌解释,这次病毒入侵首先针对例如高校教育网中暴露445高危端口的电脑,然后进一步分别进入到某些机构的内网,并在内网造成极大的破坏。这些受攻击的机构内网电脑必然是未安装补丁或没关闭445端口,而内网电脑相互之间无安全防护,所以沦陷特别快。
谢鑫补充分析说,病毒是周五下午开始传播,那个时间段基本处于下班状态,周六开始大范围传播,受到攻击的这些高校、机构等大多数周末都在联网办公。
支付比特币“赎金”会暗藏哪些风险?
王子凌解释,大部分安全机构均不建议支付赎金,因为这次病毒入侵不是点对点的攻击,有些内网中相连接的电脑很容易收到感染,但并非每一台电脑都有解密的密码,黑客也无法完全掌握受到感染电脑的情况,交付赎金的个人也有拿不到解密密钥的可能。 |