亮键：勒索病毒袭击事件，或是挑战现有金融秩序格局的导火索？

E安全5月13日文 无现金社会即将到来，这无疑是各国政府热烈欢迎的。在2017年两会，大家对无现金社会议论纷纷。人大代表也有相关提案提出。支付宝官方账号3月2日在微博上表示“五年推动中国进入无现金社会”，而福耀玻璃集团曹德旺认为“需要一两百年。”

无现金社会并不是消灭现金，而是将无现金作为主流支付方式的社会。其内涵也非常丰富，无现金包括互联网支付、银行卡、二维码支付、NFC（近场支付）等各类支付工具的应用。而支付宝，被世界各地的歪果仁认为是21世纪的中国新“四大发明”。

就在5月12日，eWTP全球首条“数字之路”开启，马来西亚便利店正式开通支付宝，支付宝正在被全球越来越多的商家接受，甚至被奉为为21世纪的中国新“四大发明”。

今天的我们的朋友圈、微博、新闻都被ONION和WNCRY勒索病毒刷屏，随之“比特币”这种虚拟货币也再次进入大家的视野。E安全小编甚至认为有这么一种可能，这次全球范围的黑客攻击活动，是带有一定商业目的比特币与现有电子支付体系的正面较量！

2107年4月，日本正式实施虚拟货币新规，明确将比特币规定成为一种合法的支付方式。最近1个月，比特币货币市场一片大好，货币加之连连上涨，尤其是最近一周，涨幅异常明显，而且居高不下。这种现象至少在一定程度上佐证了本小编的这点个人想法。

以下是E安全根据各媒体报道以及朋友圈、微博等消息整理的关于这次勒索病毒袭击事件的相关内容以及防护建议。

【黑色星期五】

5月12日，几乎同一时间，英国、意大利、俄罗斯等全球多个国家爆发勒索病毒攻击，同时我国大批高校也被严重感染，众多师生的电脑文件被病毒加密，只有支付赎金才能恢复。ONION、WNCRY等勒索病毒在校园网快速传播。

【严重性】

这次被黑产做成蠕虫病毒内网进行传播，危害极其恐怖。此次攻击规模涉及全球99个国家和地区，英国、美国、中国、俄罗斯、西班牙、意大利和中国台湾均有感染报告。在攻击最开始的十几个小时当中全球共计有74个国家，至少4.5万台电脑中招。但有一个国家却再次成功避险...可能你们也想到了，没错，就是朝鲜。至于原因，相信大家也都懂得。网友调侃称：“风景这边独好”。

国外：

联邦快递和西班牙电信等大公司，以及英国国家医疗服务体系（NHS）造成了严重影响。NHS多家医院的运营已暂停，X光机无法使用，检测报告和患者医疗记录无法获取，甚至电话也很难接通，伦敦、诺丁汉等多地医院的IT系统瘫痪。

网络安全公司Avast称在全世界检测到7.5万WannaCry劫持。规模之大让Avast软件研究员Jakub Kroustek为之震惊。目前在国内外大学、医院、加油站、机场等等内网内大爆发，甚至做了物理隔离的内网。

国内：

国内首先出现的是ONION病毒，平均每小时攻击约200次，夜间高峰期达到每小时1000多次;WNCRY勒索病毒则是5月12日下午新出现的全球性攻击，并在中国的校园网迅速扩散，夜间高峰期每小时攻击约4000次。目前国内平均每天有5000多台机器遭到NSA“永恒之蓝”黑客武器的远程攻击，教育网是受攻击的重灾区。

高校：

中国大批高校也出现感染情况，众多师生的电脑文件被病毒加密，只有支付赎金才能恢复。目前受影响的有：

贺州学院；

桂林电子科技大学；

桂林航天工业学院；

广西等地区的大学。

另外有网友反映，大连海事大学、山东大学等也受到了病毒攻击。

目前正值高校毕业季，勒索病毒已经造成一些应届生毕业论文被加密篡改。这部分应届生可能将深陷“肄业危机”。

加油站：

全国多地中石油加油站出现断网，加油卡无法使用，疑似遭遇敲诈病毒攻击。截至5月13日中午，估计中国国内超2万台机器中招，全球超10万台机器被感染。

金融机构：

政府机构：

我国的政府部门网络很多都跟教育网互通，部分政府机构也被勒索病毒感染受到影响。微博上一些用户开始反馈，今日北京、上海、江苏、天津等多地的出入境、派出所等公安网也疑似遭遇了病毒袭击。

安全专家发现，ONION勒索病毒还会与挖矿机(运算生成虚拟货币)、远控木马组团传播，形成一个集合挖矿、远控、勒索多种恶意行为的木马病毒“大礼包”，专门选择高性能服务器挖矿牟利，对普通电脑则会加密文件敲诈钱财，最大化地压榨受害机器的经济价值。

许多研究人员称突然爆发的攻击可能彼此互有关联，但不认为是针对特定目标的有组织攻击行为。

要点

一、中国：以安全较为薄弱的教育行业相关网站为突破口

教育网对445端口未进行限制，存在大量暴露着445端口的机器，因此成为不法分子使用NSA黑客武器攻击的重灾区。正值高校毕业季，受害机器的磁盘文件会被篡改为相应的后缀，图片、文档、视频、压缩包等各类资料都无法正常打开，只有支付赎金才能解密恢复。勒索病毒已造成一些应届毕业生的论文被加密篡改，直接影响到毕业答辩。

二、不法分子使用NSA泄漏的黑客武器发起攻击

此次校园网勒索病毒是由NSA泄漏的“永恒之蓝”黑客武器传播的。“永恒之蓝”可远程攻击Windows的445端口(文件共享)，如果系统没有安装今年3月的微软补丁，无需用户任何操作，只要开机上网，“永恒之蓝”就能在电脑里执行任意代码，植入勒索病毒等恶意程序。

三、利用Windows漏洞

针对NSA黑客武器利用的Windows系统漏洞，微软在今年3月已发布补丁修复。此前360安全中心也已推出“NSA武器库免疫工具”，能够一键检测修复NSA黑客武器攻击的漏洞;对XP、2003等已经停止更新的系统，免疫工具可以关闭漏洞利用的端口，防止电脑被NSA黑客武器植入勒索病毒等恶意程序

一些专家称，攻击可能利用了名为“EternalBlue”（永恒之蓝）的漏洞

四、本次事件黑客使用的ONION、WNCRY为主的勒索病毒

这两类勒索病毒，勒索金额分别是5个比特币和300美元，折合人民币分别为5万多元和2000多元。

五、勒索目标

教育机构/学校机房

一切可以攻击的公共设备

医院系统计算机

政府机关计算机

个人PC/笔记本

最新进展：以“洞”止“洞”

据英国《卫报》报道，一名“意外的英雄”已发现，如何阻止勒索病毒WannaCry在全球范围内的传播。他花了几美元去注册隐藏在WannaCry中的一个域名。

在信息安全公司Proofpoint的达里恩·哈斯（Darien Huss）的帮助下，Twitter上自称@malwaretechblog的英国信息安全研究员发现了隐藏在WannaCry中的一个“删除开关”。这一开关被编码在WannaCry之中。如果恶意软件的制造者希望停止其传播，那么就可以激活开关。

根据开关机制，恶意软件会向长域名发送请求，如果请求得到响应，表明该域名已经上线，那么删除开关就会生效，恶意软件就将停止传播。

这名研究员表示：“我发现这个域名没有注册，我的想法是，‘我可以去试试看。’”购买这个域名花了他10.69美元的费用。在上线后，该域名收到了每秒数千次的连接请求。

Proofpoint的瑞安·卡莱姆伯（Ryan Kalember）表示：“他们获得了今天意外的英雄奖励。他们没有意识到，这对延缓勒索病毒的传播起到了巨大的作用。”由于@malwaretechblog注册该域名的时间已经太晚，无法给欧洲和亚洲带来太大帮助。在这些地区，许多机构都受到了影响。

不过，这给美国用户争取到了时间，使他们可以紧急给系统打补丁，避免感染病毒。

同时，对于已被勒索病毒感染的计算机，这一删除开关无法起到帮助。此外也很有可能，携带其他类型删除开关的恶意软件仍在继续传播。

一个名为Shadow Brokers（影子经纪人）的组织于4月14日公布了这个恶意软件。该组织去年表示，从美国国家安全局（NSA）窃取了一系列的“信息战武器”。亮键电子科技有限公司为薄膜天线工厂定制印刷薄膜天线，需要薄膜印刷天线的请找深圳亮键电子科技有限公司。