摘要: 滚动更新：2017年5月13日16:57:22  游侠安全网（www.youxia.org）良心网站，站长先贴上注意事项和解决方法！防止你看本文的时候就被加密了！  1、本次共计是自动化攻击，利用了Windows的漏洞。但苹果的MacOS用户不用得意，因为在前晚...

滚动更新：2017年5月13日16:57:22

游侠安全网（www.youxia.org）良心网站，站长先贴上注意事项和解决方法！防止你看本文的时候就被加密了！

1、本次共计是自动化攻击，利用了Windows的漏洞。但苹果的MacOS用户不用得意，因为在昨晚之前，我这里得到的多数勒索攻击案例，都是针对苹果操作系统的，另外，勒索攻击在2014年就有了；

2、最简单的，还是打补丁，这波利用的是MS17-010，补丁下载地址在： 有兴趣的同学可自行研究，Vista、Win7、Win8.1、Win10、Server 2008、Server 2012、Server  2016无一幸免。你可以用各种杀毒软件的补丁管理进行升级，毕竟省事一些，特别是给不懂计算机的人说的时候；另外，由于这次勒索病毒的影响实在太大，微软针对这次攻击，破天荒的发布了XP和03补丁！地址： 腾讯电脑管家已经支持该补丁的在线升级！

3、目前360有一个“NSA武器库免疫工具”可以应对本次网络袭击，下载地址是： 打开后有明确的提醒，点“立即修复”后等一会儿就实现免疫了；

另外，建议您安装360、Symantec、Kaspersky、McAfee等安全防护软件！

4、建议大学、企业、政府等在出口防火墙封禁445端口，其实，135/136/137/139/445都可以……个人电脑上，也可以通过Windows自带防火墙进行封禁操作。封禁方法可以参考安天实验室的文章： 另外，风宁发了一个“一键封禁445端口”的脚本，操作简单，特别适用于高校、政府等用户！下载地址： （2017年5月13日14:00之前下载的，请重新下载下，更新了一个配置）

5、陌生人传的文件、陌生的电子邮件……一定不要点开！小心驶得万年船。

2017年5月13日17:24:10 微软针对XP和2003发布了补丁！

地址：

2017年5月13日17:14:16 公安内网也不能幸免

第一个是哪里？看不大清楚，但后面几个，很明显

2017年5月13日14:04:31 再来两张图

学生这课，是不好上了……

似乎，有些攻击者还比较了解中国……但是40个比特币，真不少！

2017年5月13日13:25:58 中石油有机器中招

有的朋友可能还不清楚这次的勒索病毒有多大的危害，那就看看下面这张图！

可能，你正在加油……机器就OVER了……这算不算严重了？

2017年5月13日10:34:41 德国火车站沦陷

虽然 @Erlang 的图是火车站的大屏，但是如 @ringzero  所言，ATM取款机、火车站的自动取票机及其他Windows设备、地铁站的调度系统和广告系统、KTV的点唱机……都会中招。

再贴一个：

2017年5月13日01:58:42

BBC网站消息（http://www.bbc.com/news/technology-39901382）

来自BBC的消息，这两点值得注意：

1、已经监测倒了36000个实例；

2、目前已经在74个国家发现了勒索病毒，且数字在持续增长中。

据南都记者消息：2017年5月13日02:21:26

1、得到了学校学生的爆料；

2、有学校为此专门发通知，提醒学生不要转账（转账就是变相的鼓励啊！）

2017年5月13日00:51:24 补充：

来自新浪微博的消息，这次似乎不算是仅仅针对中国大学的攻击，而是：全球化！中国大学可能仅仅是其中的一个受害者而已！

@英国报姐：据BBC，今天全球很多地方爆发一种软件勒索病毒，只有缴纳高额赎金（有的要比特币）才能解密资料和数据，英国多家医院中招，病人资料威胁外泄，同时俄罗斯，意大利，整个欧洲，包括中国很多高校。。今天都有中招。。大家注意防范吧。

@英国那些事儿：大事件，就在一个多小时以前，全英国上下16家医院遭到大范围网络攻击… 医院的内网被攻陷，电脑被锁定，电话也不通….  黑客索要每家医院300比特币（接近400万人民币）的赎金，否则将删除所有资料…. 现在这  16家机构对外联系基本中断，内部恢复使用纸笔进行紧急预案….英国国家网络安全部门正在调查，现在攻击仍在进行中…

那么，似乎也要给国内的医院提个醒：一定要做好防范！如果被攻击并被勒索，400万，给不给？6月1日国家的网络安全法正式实施，如果实施之后，又发生了这样的事情，罚不罚单位？罚不罚责任人？

【第一次更新是从这里开始的！2017-05-12 23:40】

2017年5月12日晚，游侠安全网得到线报：国内多所大学被黑客攻击，校园网中了勒索病毒，黑客索要比特币，攻击造成了教学系统瘫痪，同时大量学生的个人计算机染毒。从新浪微博、QQ群、微信群等途径的消息来看，受损失的单位数量还在增加中。

虎扑体育网 2017-05-12  晚间消息（https://bbs.hupu.com/19191136.html）

校园网中了比特币勒索病毒，所有学校实验室电脑全部中毒，老师目前没有办法，据说这次是全国性的，你们学校那里怎样？

kisssing的回复：

我不知道算是幸运的不，师妹跟我说了这个事，一激动备份了四个重要的文件，刚上传邮箱，电脑就GG了！

就靠四个文件毕业了！！！

PS：给在读或者要读研的老铁提醒几句，平时注意更新漏洞，备份资料，使用必要的防护软件（一直裸奔来的，幸好宿舍垃圾电脑新装了deepin）。希望答辩顺利！！

IT之家：全国高校部分校园网受大规模病毒攻击：传播迅猛、勒索比特币（http://www.ithome.com/html/it/308589.htm）

感谢IT之家网友 人民公社大队长、潘长江、yuelen 等的投稿

IT之家5月12日消息 今天晚上，IT之家有不少小伙伴投稿称，在今晚20点左右，国内部分高校学生反映电脑被病毒攻击，文档被加密。攻击者称需支付比特币解锁。

据悉，病毒是全国性的，疑似通过校园网传播，十分迅速。目前受影响的有大连海事学院、贺州学院、桂林电子科技大学、桂林航天工业学院以及广西等地区的大学。

（IT之家网友提供图片）

IT之家提请各地区校园学子，请赶紧备份重要文件以免遭到勒索，特别是应届毕业生，论文一定要备份好！

从目前的情况来看，病毒似乎还在扩散，IT之家将会持续关注。

山东大学：关于防范ONION勒索软件病毒攻击的紧急通知 （http://www.nc.sdu.edu.cn/info/1961/1414.htm）

校园网用户：

近期国内多所院校（包括我校部分单位）出现ONION勒索软件感染情况，磁盘文件会被病毒加密为.onion后缀，该勒索软件是此前活跃的勒索软件Wallet的一类变种，运用了高强度的加密算法难以破解，被攻击者除了支付高额赎金外，往往没有其他办法解密文件，只有支付高额赎金才能解密恢复文件，对学习资料和个人数据造成严重损失。

根据网络安全机构通报，这是不法分子利用NSA黑客武器库泄漏的“永恒之蓝”发起的病毒攻击事件。

从我校被感染机器的情况来看，一是操作系统、Office软件等没有采用正版软件，且漏洞、补丁更新不及时；二是不常用端口没有封闭；三是个人网络安全意识淡漠，没有定期备份文档的习惯。

在此提醒广大校园网用户：

1.目前微软已发布补丁MS17-010修复了“永恒之蓝”攻击的系统漏洞，请广大师生尽快为电脑安装此补丁，网址为；对于XP、2003等微软已不再提供安全更新的机器，推荐使用360“NSA武器库免疫工具”检测系统是否存在漏洞，并关闭受到漏洞影响的端口，可以避免遭到勒索软件等病毒的侵害。免疫工具下载地址：。

2.安装正版操作系统、Office软件等。学校信息化工作办公室为教职工提供正版软件，详情请访问信息化工作办公室网站下载、安装、激活，并将自动漏洞、补丁升级设置为自动安装。

3.关闭445、135、137、138、139端口，关闭网络共享。

4.强化网络安全意识，“网络安全就在身边，要时刻提防”：不明链接不要点击，不明文件不要下载，不明邮件不要打开……

5.尽快（今后定期）备份自己电脑中的重要文件资料到移动硬盘/U盘／网盘上。

信息化工作办公室

2017年5月12日

飓风网络安全微信号：勒索病毒、敲诈者病毒、wallet比特币病毒加密数据后的应急处理

很多技术员，程序员员，网管，看到服务器的数据被加密了，服务进程被停止了，文件名在一个个的神奇的改变，顿时慌了神，对于第一个发现病毒作案现场的目击者，应该如何应对和处理这种突发的攻击呢？
根据我们多年的与病毒解密处理经验，以及中国数据恢复协会广大会员单位的交流讨论，我们认为发现病毒加密数据之后应该立即做如下几点：

1：立即断网。

2：立即检查病毒加密时间。（观察文件修改时间）

规则A：立即断电或关机。若勒索加密病毒运行加密的时间在0-2小时内，根据你的主机文件个数和数据容量多少，一般情况下1小时内病毒会加密完成，若你的文件个数和容量比较大，病毒加密时间会时间更长。

规则B：不要关机，如果你发现加密时间已经超过5小时以上，这是你就是关机也没有用了，所以建议不要关机，这是病毒进程还在内存，对于破解病毒来说，很多密钥可能在内存或缓存文件，关机会导致这些重要的数据丢失或改变或覆盖，不利于后面的数据解密。

3：杀毒软件
往往中毒的主机杀毒软件都没有防守住，所以它杀不掉病毒，目前据我们的统计，杀毒软件是无法直接解密数据的，所以一般情况下，无需运行杀毒软件（此时杀毒软件进程多数被终止了），也无需安装新的杀毒软件，因为这些操作都会删除部分感染文件，对于重要被感染的数据万一被杀毒软件清除，就不利于数据恢复。

4：寻找专业机构。
数据被病毒加密勒索，十万火急，特别是wallet病毒，往往加密对象是服务器主机，严重影响企业日常运行，但是我们建议是，慌乱之中不要急。坚持专业途径解决问题。

规则A：勒索病毒恶性程度很高，采用高级的加密算法，非展业人士自己不要尝试，以免感染别的主机扩大故障

规则B：寻求专业的数据恢复公司，寻找专业人员协助解密。

规则C：不要轻易交纳赎金，这样会助长犯罪分子的气焰，另外黑客犯罪分子一般在国外，支付比特币赎金后如何保障付款安全，风险极大，我们已经碰到过用户付钱后，仍然无法解密数据的案例。

游侠安全网（http://www.youxia.org）2017-05-12  补充：

本周有同事给我打电话，说上周客户服务器中了勒索病毒的事情，被“撕票”了——给了攻击者6个比特币（人民币也4万左右了）之后就杳无音信了，关键：还没发票啊！

百川在新浪微博搜了下“勒索病毒”，发现中勒索病毒的大学名单还在持续增加中，最新消息，请关注游侠安全网！

另：一定记得要装个杀毒软件  ，再把计算机的补丁打全，来历不明的文档不要点！

PS：你别说，这病毒还真是全球性的……居然怕中毒的不认识英文，还自带中文……根据操作系统判断语言……这人性化做的……

本期编辑：马庆