如何看待近日 WannaCry 病毒在校園網內大肆傳播？

12-29

唉，給感染後，我的心情有煩惱，有心疼，有新生，7年存下來的2TAV就這樣全給鎖了。

心中有一種強烈的失落感。

看著一個個被加密的視頻，那是一個少年無數寂寥深夜的伴侶、撫慰。

當少年成長後，也許再無精力去翻看這些青春日記。

留著，是一種想念，是一種負擔。

如今，一個onion的入侵，帶走了一切，彷彿帶走了我的青澀，我的過去。

帶走了帶走了一切都帶走了

有失落

有如負釋重

猶如新生。

2017年5月12日，英國、義大利、俄羅斯等全球多個國家爆發了WannaCry 、Onion蠕蟲攻擊。據BBC、CNN等媒體報道，惡意攻擊者利用 NSA（美國國家安全局）泄露的 Windows 0day 利用工具對99個國家實施了超過75000次攻擊。只有繳納高額贖金（有的要比特幣）才能解密資料和數據。

中國大批高校也出現感染情況，部分師生的電腦文件被病毒入侵成功感染，導致計算機內的文件全部被加密勒索，只有支付贖金後才能恢復。

根據阿里雲5月12日晚的快速應急響應分析，發現這些惡意攻擊者使用之前NSA泄露的黑客武器攻擊的windows高危漏洞，把WannaCry 、Onion植入到受影響機器，導致校園網快速傳播感染。

什麼是比特幣勒索蠕蟲病毒？

這次攻擊的始作俑者是一款名為「WannaCry」（中文名：想哭）的勒索病毒，帶有加密功能，它利用 Windows 在 445 埠的安全漏洞潛入電腦並對多種文件類型加密並添加後綴(.onion)使用戶無法打開，用戶電腦存在文檔被加密的情況，攻擊者稱需支付比特幣解鎖，如下圖:

https://yqfile.alicdn.com/63ccc4a89cb1a47afec88f080fbd1dbd7f2e1aaf.jpeg

一、當前高校教育網路現狀

1.網路層問題:未劃分安全區域隔離和訪問控制，信息資產直接裸露在互聯網

當前大部分學校基本是一個大的內網互通的區域網，不同的業務未劃分安全區域。例如：學生管理系統、教務系統等都可以通過任何一台連入的設備訪問，

同時實驗室、多媒體教室、機器IP分配多為公網IP，如果學校未做相關的許可權限制，所有機器直接暴露在外面，這次勒索攻擊事件蠕蟲、勒索軟體的第一次組合，所以傳播速度，影響面比以往任何時候都大。

2.門戶等重要業務網站高危漏洞多，利用風險高

目前大部分高校的門戶網站、郵件系統等其他關鍵業務系統由外包服務商提供，這些外包開發商開發的代碼存在一些數量的web高危漏洞，惡意攻擊人員可以利用這些高危漏洞入侵獲取敏感數據或伺服器許可權，導致出現不同層度的數據丟失和被加密等安全事件，對學校形象和聲譽造成一定的影響。

3.缺少安全情報監測和緊急手段

本次事件回顧看出，事件發生前部分國外用戶已經受到影響，如果對外部情報進行監控，及時預警並制定完善的應急預案，事前做好防護，建立了完善的應急響應預案，同時提高應急響應處置效率，受影響的面會大大降低。

4.安全技術運維管理環節缺失嚴重

從受害案例分析，學生管理系統、教務系統、郵件系統（均對公網開放）等重要教育系統仍在使用較老的版本的操作系統和軟體，在日常運維管理工作由於未及時更新、升級軟體、系統補丁、安裝防病毒軟體等安全加固措施缺失，導致惡意攻擊者直接從公網利用高危漏洞，成功實現「低門檻、高成功率」的安全事件發生。

5.受眾群體技術能力和安全意思薄弱

根據媒體報道的信息分析，本次受害的用戶大部分為終端或IT技術能力水平較弱、安全意識較低的用戶，而這些群體不論在專業技術和應急應對事情上，都缺少一定的判斷和處置能力，如果具有較高的安全意識和安全技術能力，在事前做好安全防護工作，可以大大的降低此類事件的發生機率

二、止血措施

1.儘快使用防火牆策略或拔網線的方式斷網或關機;
2.對已經在運行的伺服器使用防火牆策略或交換機ACL控制445、137、139、3389高危埠;

3.對伺服器或辦公電腦儘快安裝補丁；

安裝MS17-010、MS10-061、CVE-2017-0146、CVE-2017-0147、MS14-068、MS09-050、MS08-067漏洞補丁，下載鏈接參見:https://help.aliyun.com/knowledge_detail/52638.html

4.儘快安裝防病毒軟體

目前微軟自家的MSE防病毒軟體可以防護，檢測和保護機制，專門對付名為Ransom:Win32.WannaCrypt的新惡意軟體，用戶儘快啟用MSE實時防護並升級到最新病毒庫

三、安全建議

安全是一個持續對抗和建設的過程，需要在系統上線前就做好安全防護，我們建議從以下幾方面進行加強。

1.強化網路區域規劃、隔離和訪問控制

精細化的網路管理是業務的第一道屏障。

對於大部分企業或校園網路而言，網路安全架構是「一馬平川」的，在業務塊之前，很少有業務分區分段。但隨著業務的增長和擴容，一旦發生入侵，影響面會是全局的。在這種情況下，通過有效的安全區域劃分、訪問控制和准入機制可以防止或減緩滲透範圍，可以阻止不必要的人員進入業務環境。

我們強烈建議：

1. 根據業務屬性和安全等級規劃不同的安全區域，設計安全可靠的數據路由和訪問路徑；

2. 精細的梳理業務訪問之間的關係，實施訪問控制；

例如：

a.可以限制SSH、RDP等管理協議、FTP、Redis、MongoDB、Memcached、MySQL、MSSQL-Server、Oracle等數據相關服務的連接源IP進行訪問控制，實現最小化訪問範圍，僅允許授信IP地址訪問，並對出口網路行為實時分析和審計。

B．我們常用的資料庫服務是不需要再互聯網直接管理或訪問的，可以通過配置入方向的訪問控制策略防止資料庫服務暴露在互聯網上被黑客利用；

c.同時我們也可以配置更嚴格的內網訪問控制策略，例如：在內網入方向配置僅允許內網某IP訪問內網的某台資料庫伺服器。

通過以上對內外網的強訪問控制，可以有效的為自身業務在網路入口加一把「鎖」

2.紮實做好基礎安全運行維護工作

制定並遵循實施IT軟體安全配置，對操作系統(Windows、Linux)和軟體(FTP、Apache、Nginx、Tomcat、Mysql、MS-Sql Server、Redis、MongdoDB、Mecached等服務)初始化安全加固，同時並定期核查其有效性；

· 為Windows操作系統雲伺服器安裝防病毒軟體，並定期更新病毒庫；

· 確保定期更新補丁；

· 修改administrator默認名稱，為登錄賬號配置強口令；

· 確保開啟日誌記錄功能，並集中進行管理和審計分析；

· 確保合理的分配賬號、授權和審計功能，例如：為伺服器、RDS資料庫建立不同許可權賬號並啟用審計功能，如果有條件，可以實施類似堡壘機、VPN等更嚴格的訪問策略。

· 確保實施強密碼策略，並定期更新維護，對於所有操作行為嚴格記錄並審計；

· 確保對所有業務關鍵點進行實時監控，當發現異常時，立即介入處理。

3.做好門戶網站等關鍵業務的web安全防護

由於黑客會利用web網站高危漏洞，DNS域傳送信息泄露等漏洞，從而入侵例如校園管理信息化系統，在線學習，雲郵箱系統，甚至是至關重要的教務系統，建議學校自查或使用雲盾Web應用防火牆防護高危漏洞被利用導致的數據被竊取、刪除、學生成績數據被改等入侵事件。

同時，web被入侵來帶的問題還有頁面被篡改，尤其是在十九大等這種重要時間段內，反攻黑客通常非常活躍，兩會期間曾出現過好幾起高校站點被黑掛上反共頁面等政治敏感信息頁面的入侵事件，給學校帶來監管壓力，使用雲盾Web應用防火牆防篡改功能能有效解決頁面被非法篡改的問題。

極端情況下，如果站點已經被入侵，黑客可能會植入webshell，挖礦程序，對外ddos後門等惡意程序，導致服務不可用，無響應，甚至是全盤數據被加密等嚴重後果，此時迫切需要雲盾安騎士來進行漏洞檢測，補丁管理，惡意程序和行為的發現和防禦，有效降低入侵風險，增強安全事件發現能力。

4.建立安全事件應急響應流程和預案

在安全攻防動態的過程中，我們可能很難100%的防禦住所有的安全事件，也就是說，我們要為可能突發的安全事件準備好應急策略，在安全事件發生後，要通過組織快速響應、標準化的應急響應流程、規範的事件處置規範來降低安全事件發生的損失。但普通高校或者組織基本沒有配備專業的安全人員，不具備這種安全事件的響應能力，所以需要專業的安全人員進行協助處置，此時可以依賴於阿里雲安全管家服務，提供安全基線加固，安全事件管理，漏洞管理，應急響應等全套安全服務，確保在事前事中事後具有強大的安全能力應對自如。

5.做好數據備份與恢復工作：備份，備份，再備份

可靠的數據備份可以將勒索軟體帶來的損失最小化，但同時也要對這些數據備份進行安全防護，避免被感染和損壞。

如果給出的答案是肯定了，那麼備份恢復是企業的最後一道防線，在最壞的情況下，它將是企業最後的堡壘，而企業需要建立不定期的進行數據備份策略以確保在最壞的情況有備份措施。

如果企業的業務在雲上，至少要備份兩份數據：本地備份和異地備份。

在雲上您可以像雲下環境一樣，使用不同方式的備份方法來解決數據備份問題，以確保在發生勒索事件後，儘可能的挽回損失。

附錄：

實時感染趨勢：https://intel.malwaretech.com/WannaCrypt.html

加密勒索軟體防護方案: https://help.aliyun.com/knowledge_detail/48701.html

NSA工具利用漏洞應對方案:https://help.aliyun.com/knowledge_detail/52638.html

關於防範爆發的WanaCrypt0r 2.0和ONION勒索軟體病毒預警:https://help.aliyun.com/noticelist/articleid/20359322.html

心疼周圍畢設被吞的小夥伴，

再過幾天就快答辯了

補一張我校圖書館電子屏被黑的圖2333

大家好。請大家認真看完這篇回答，你可以不點贊可以反對但請一定要看完，這件事很嚴重

As we all know, 現在在網路上正在傳播一個很可怕的電腦病毒，我們把他叫做Onion病毒。截至現在已經有99個國家報告有這個病毒入侵包括中國，我相信許多人已經聽說這個病毒攻擊學校電腦，公共設施，甚至是醫院和衛生機構。網路上也肯定傳播著各種各樣「如何刪除此病毒」的許多文章和鏈接，所以請聽我解釋完這個病毒是什麼，攻擊者想達到什麼目的，究竟如何預防或者你的電腦真的很不幸中了它怎麼辦。

首先，這個病毒在國外的叫法是Ransomware，基本的意思就是，你中了這個病毒，他會將你的電腦上的所有文件加密，並把密碼發回給攻擊者，之後你就會看到這個界面告訴你如果不在規定時間內付給對面贖金，就會銷毀這台電腦的全部數據。

這個病毒想要進入你的電腦，並不是傳統意義上的木馬，也就是並不是你想像的你平時故意去點告訴你中了三個億大獎或者看美女直播的網站導致你自己無意中下載了帶有病毒的軟體。不是，你的電腦只要存在這次攻擊所需要的漏洞，你的電腦就會被攻擊不管你做沒做任何事情。

他的基本運行原理是，病毒會主動搜索整個互聯網上尋找擁有那個漏洞的電腦，他一旦找到，就會入侵，他不需要你做任何的工作來使得他進入你的電腦因為漏洞就是一個後門。這個漏洞是美國的國家安全局發現，整個的病毒核心也是NSA的傑作，微軟甚至都完全不知道這件事直到NSA的網路攻擊武器被泄露，現在這個尖端網路攻擊武器被改造後用來攻擊每一台擁有這個漏洞的電腦了。

所以，我們如何防範這個病毒？拿起你的電腦，只要他是Windows7以上的操作系統，找到Windows Update，搜索更新然後把你能看見的所有更新全部安裝。我不管你說他們會怎麼影響你電腦的流暢，因為你一旦中了病毒這就是完蛋的事了。微軟已經知道並立即修復了這個漏洞，所以你一旦裝上了，這個後門就被堵住了，你就是安全的，否則如果中病毒的話……

我要跟遺憾的告訴你，這個病毒一旦中了你就完了。因為病毒在加密了你的數據後，他就會把解密的密碼發給攻擊者之後自我刪除，那個密碼就永遠不會在本地被找到，也就沒有任何辦法能把你的電腦解密。同時，如果你真的有數據被鎖了，就當他被鎖吧。不要去想交那個贖金，第一，比特幣是無法被追蹤的電子貨幣，你一旦完成交易就永遠無法把錢要回來，這不是網銀，沒有保障的。第二，不要想黑客會多麼有信譽的給你發回密碼，他們不會這麼做的。第三，你只會用你的血汗錢來幫他們積累發動更大攻擊的資本。

最後，不要想僥倖去百度或者淘寶搜能解密的辦法。因為那些所有方法99.9%都不過是另一個病毒而已，因為加密文件在沒有密碼的情境下是不可能被破解的，這已經不是二戰時破譯電報了那樣了。

所以你的電腦一旦真的中了病毒，為大家著想，請把電腦完全關機並拔掉電源，斷開網路，然後就認為那些數據已經丟失了。

最後，依然奉勸大家養成備份數據的習慣，並且使用正版的Office，因為這樣你所有的重要文件都是隨時可以被存到雲端的。同時，不要認為Windows更新都是沒有用的東西，電腦慢了卡了大不了就換了，裡面的數據沒了，那損失是無法衡量和彌補的。

win10的自動更新不要關閉是有道理的

――――――――――――――――――――――

我就是用著校園網的大學生，我也怕我的代碼被勒索軟體清空。

誰會不心疼那些丟了數據，丟了畢設的學生？

我們在群里討論這個勒索軟體的時候，有很多人說以前嫌win10自動更新很煩，就關閉了，現在才知道有用。

這就像是醫院叫你打疫苗，你不打，你嫌煩，然後中招一樣。

it產業的迅速普及之時，很多人們並沒有養成對應的防範意識。

無論win幾，都會提示你windows不是最新版本，並不安全，建議升級成最新版本。

你不聽。

為什麼ios的系統升級，大部分人隨手就升了？

windows那個拼了老命叫你升級叫你打補丁，你一關，還罵微軟傻逼。

真的以為微軟沒事做，讓程序猿肝那些沒有意義的代碼然後給你推送？

吃一塹長一智。

至於因為硬體驅動而沒法更新的。。嗯。。。

要不，重裝吧？

（來自被uefi弄得神經錯亂的win10狗）

――――――――――――――――――――――

建議：第一開啟電腦系統防火牆，阻止埠445的埠訪問。

第二打開系統自動更新。

第三下載NSA武器庫免疫工具檢查一下漏洞。

第四重要文檔文件天翼雲盤為你保駕護航。

令我沒有想到的是：微軟為了督促大家更新Windows10，竟然用了這麼狠的招數！

我所有的資料連上電腦都不值這麼多錢

圖源自水印，侵刪

難道是比特幣沒人接盤了，莊家急於出手？

我不知道許多人一碰到這件事情就開始罵360是什麼鬼，然而好好用360的根本不會中毒好么

當初那些吹捧win10越更新越垃圾的人翻水水了。

隨時保持系統補丁更新最新版，重要文件多重方法備份

想吐槽一波已有的幾個答案。。。

沒錯你們用了win10開了更新可以不用擔心，可是有必要這樣大肆嘲諷受害者么？難道得知消息的第一反應不是同情（尤其在做畢設的）受害者？難道不是希望儘快能有解決辦法出來？為什麼是站在岸上大肆嘲諷落水者？

win10出來的時候我是毫不猶豫地更新了，然而因為使用體驗（我自己的，不代表任何人）實在不如win8（也有可能是我習慣了win8，而且用的不少軟體兼容性並不是太好），我又退回去了。當時是知道xp在無保護裸奔，可是沒覺得win8和10有太多區別啊。不同的選擇而已，所以這就是活該中毒的原罪？

沒錯我現在非常可憐，電腦根本不敢聯網，以前有360雲盤隨時雲備份的現在也沒有了，u盤轉移文件也很費力。但比起對電腦中毒的恐慌，知乎上某些答主說活該的語氣才真是惡語傷人六月寒。

德國牧師的話我們都耳熟能詳「起初他們。。。我沒有。。。因為我不是。。。」我覺得他最多是有些懦弱，心還是不壞的，可現在的有些答案：

起初勒索者們讓不是win10的電腦中毒，我鼓掌叫好，因為我是win10呀哈哈哈哈

昨晚整理活動照片到凌晨一點，一大早就看見部長在朋友圈說這件事…

win10+只用defender殺毒的我一點也不虛！

以後還是定時備份onedrive一下好了…

不過，這應該要促使學校更新一批系統到win10了吧。

http://mp.weixin.qq.com/s/TCcjeDh5iZkioUuv76xYHw

這個連接是解決的步驟，被攻擊的同學不要支付，據說支付也恢復不了。

當初升級win10最新版本和mac，Linux系統的同學們成了最大贏家

聽說有個在數個月前勸告後後還是認為win7世界最好的大哥已經翻車了

痛恨病毒的作者，希望能抓住重判。再是國外的伺服器，也有購買的記錄。不管是ip還是雲主機，一般都可以從付款賬戶上查到具體的人，就看有關部門的力度了

對中國的計算機素養表示擔憂，太多的人是夠用黨，我給別人裝系統，從來沒有人考慮過安全問題。包括一些碼農。

-------------------

病毒說加密信息存儲在伺服器上。那解密時是否要鏈接伺服器？伺服器的ip地址一定有歸屬，在多層的代理也能一步一步找到。

關於比特幣的區塊鏈技術，我猜測每個幣都有獨一無二的特徵，為了兌現，這些比特幣一定會流通到市場，查找難度很大，但是如果損失太大的話一定能查到。而且一般能制毒的高端人才薪水一定很高，所以推斷制毒的這些人不是年輕就是loser，這些人一般都會留下馬腳，高端黑客不會幹這種風險收益太不對等的事。

關於防範ONION勒索軟體病毒攻擊的緊急通知

校園網用戶：

近期國內多所院校出現ONION勒索軟體感染情況，磁碟文件會被病毒加密為.onion後綴，只有支付高額贖金才能解密恢復文件，對學習資料和個人數據造成嚴重損失。

根據網路安全機構通報，這是不法分子利用NSA黑客武器庫泄漏的「永恆之藍」發起的病毒攻擊事件。「永恆之藍」會掃描開放445文件共享埠的Windows機器，無需用戶任何操作，只要開機上網，不法分子就能在電腦和伺服器中植入勒索軟體、遠程控制木馬、虛擬貨幣挖礦機等惡意程序。

由於以前國內多次爆發利用445埠傳播的蠕蟲，運營商對個人用戶已封掉445埠，但是教育網並沒有此限制，仍然存在大量暴露445埠的機器。據有關機構統計，目前國內平均每天有5000多台機器遭到NSA「永恆之藍」黑客武器的遠程攻擊，教育網就是受攻擊的重災區！

在此提醒廣大師生：

目前微軟已發布補丁MS17-010修復了「永恆之藍」攻擊的系統漏洞，請廣大師生儘快為電腦安裝此補丁；對於XP、2003等微軟已不再提供安全更新的機器，推薦使用360「NSA武器庫免疫工具」檢測系統是否存在漏洞，並關閉受到漏洞影響的埠，可以避免遭到勒索軟體等病毒的侵害。免疫工具下載地址：http://dl.360safe.com/nsa/nsatool.exe

方法：1、為計算機安裝最新的安全補丁，微軟已發布補丁MS17-010修復了「永恆之藍」攻擊的系統漏洞，請儘快安裝此安全補丁，網址為https://technet.microsoft.com/zh-cn/library/security/MS17-010。

2、關閉445、135、137、138、139埠，關閉網路共享。

3、強化網路安全意識：不明鏈接不要點擊，不明文件不要下載，不明郵件不要打開。

4、儘快（今後定期）備份自己電腦中的重要文件資料到移動硬碟、U盤，備份完後離線保存該磁碟。

5、建議仍在使用windows xp， windows 2003操作系統的用戶儘快升級到 window 7/windows 10，或 windows 2008/2012/2016操作系統。

6、安裝正版操作系統、Office軟體等。

7、通過一些專用工具排查漏洞，加強防範: 360免疫工具下載地址：http://dl.360safe.com/nsa/nsatool.exe

安天緊急處置操作指引： https://mp.weixin.qq.com/s?__biz=MjM5MTA3Nzk4MQ==mid=2650170534idx=1sn=dedc3ff25c3594b49bc4e6c53c9fd123chksm=beb9c79489ce4e8253e77bf176fd1e88bfbdbe6f3b24d84acdbe391da073a87a0cf313c26fb7mpshare=1scene=1srcid=0513oXuWB6ySDTUPZUPpnWodpass_ticket=yCuRxWxcpuAK6uMYTlG82bgWD2gngne2EW%2F8WWurtJshTAjhZZvAieAIRLMooW72#rd

請儘快通知學校老師和學生，儘快升級補丁，並通過專用工具排查。通知大家備份自己的重要文件和數據。學校伺服器的數據也要定期備份。

這個病毒讓我們知道，以後花了好多好多好多個小時修改的文件不但一定一定一定要記著點保存按鈕，還要備份一份塞U盤裡...

昨天早上剛剛白做了幾個小時的我淚奔飄過...