重要通知|比特幣勒索席捲全球，如何防範？

摘要： 作者：阿裡雲安全連結：https://www.zhihu.com/question/59765277/answer/168898617來源：知乎著作權歸作者所有。商業轉載請連線作者獲得授權，非商業轉載請注明出處。

“我對大規模殺傷武器是很悲觀的，但我認為發生核戰爭的可能性要低於生化武器與網路惡意探索。”

誰也不曾想到，巴菲特一周前在伯克希爾哈撒韋股東大會上所說的這番話這麼快就變成了真。

5月12日晚，WanaCrypt0r2.0勒索軟體在全球爆發（簡稱WCry2.0）。

在無需使用者任何動作的情況下，Wcry2.0即可掃描開放445檔案分享權限設定埠的Windows機器，從而植入惡意程式。

目前，病毒已經擴散至全球上百個國家。全英國上下25家醫院遭到大範圍惡意探索，中國眾多高校也紛紛中招。駭客則通過鎖定電腦檔案來勒索用戶交贖金，而且只收比特幣。

阿裡雲安全專家剖析，此次全球比特幣勒索病毒是由NSA洩露的Windows系統 SMB/RDP遠程指令執行弱點引起。

利用該弱點，駭客可遠端實現惡意探索Windows的445埠（檔案分享權限設定）。如果系統沒有安裝今年3月的微軟補丁，無需用戶任何動作，只要開機上網，駭客即可在電腦裡執行任意代碼，植入勒索病毒等惡意程式。

考慮到Windows系統 SMB/RDP遠端指令執行弱點的危險性，國內外不少雲端服務廠商都在4月封掉了445埠。但全球不少個人電腦、IDC物理機房仍存在大量公開著445埠的機器，這給了駭客可乘之機。

杭州都市快報訊息，5月12日晚 11時，下沙高教園區校園網被黑。學生電腦上的資料文件被鎖，需要付費才能解鎖。目前發現浙傳，計量，理工大學……好多校區校園網都被黑了。

阿裡雲安全專家剖析，此次勒索活動在校園網傳播速度之快，影響面之大主要原因是本期大部分學校基本是一個大的內網互通的區域網路，不同的商務未劃分安全區域。例如：學生管理系統、教務系統等都可以通過任何一台連入的裝置存取，

同時，實驗室、多媒體教室、機器IP配置多為公網IP，如果學校未做相關的權限節流，所有機器直接公開在外面。

事實上，被惡意探索的並不止中國的校園網。BBC發佈訊息稱，目前全球範圍內有大量的機構報告，受到了“勒索”軟體的惡意探索，這些機構分別在美國、英國、中國、俄羅斯、西班牙、義大利、越南等地。

據CNN文字記錄，英國25家醫院週五也因“大規模”的駭客惡意探索而癱瘓。手術被關閉，救護車被迫轉向其他醫院。

醫學工作者報告說，他們的系統被鎖定了，根本進不去。螢幕上有訊息顯示，要求他們支付“贖金”以重新開啟。

針對NSA駭客武器利用的Windows系統弱點，微軟在今年3月發行補丁修復。

此前，阿裡雲第一時間發佈通知，並推出一鍵檢測修復NSA駭客武器惡意探索弱點的工具。

目前，阿裡雲預設為ECS用戶關閉455埠，且預設安裝Windows官方補丁。

所有在IDC託管或自建機房有伺服器的企業，如果採用了Windows作業系統，立即安裝微軟補丁。

安全補丁對個人用戶來說相對簡單。只需自學裝載，就能完成止血。

但是對大型企業or組織機構而言，面對成百上千台機器，最好還是能使用用戶端進行暫留管理。比如，阿裡雲的安騎士就提供即時通知、防禦、一鍵修復等功能。

強固資料備份可以將勒索軟體帶來的損失最小化。建議啟用阿裡雲快照功能對資料鏡像備份，並同時做好安全防護，避免被感染和損毀。

相關產品：

1. 伺服器安全(安騎士)