昨天，一次迄今為止最大規(guī)模的勒索病毒網(wǎng)絡(luò)攻擊席卷全球。據(jù)卡巴斯基統(tǒng)計(jì)，在過(guò)去的十幾個(gè)小時(shí)里，全球共有74個(gè)國(guó)家的至少4.5萬(wàn)電腦中招。而殺毒軟件Avast統(tǒng)計(jì)的數(shù)據(jù)更為驚人：病毒已感染全球至少5.7萬(wàn)臺(tái)電腦，并仍在迅速蔓延中。中國(guó)也未能幸免，多所高校的電腦已大面積中毒，很多高校畢業(yè)生的論文被鎖。目前國(guó)內(nèi)教育網(wǎng)系統(tǒng)被攻擊,包括山東大學(xué)、大連海事大學(xué)、南開(kāi)大學(xué)、西安電子科技大學(xué)等多所高校被波及。

黑客向每臺(tái)中招的電腦勒索價(jià)值300美元的比特幣，稱如果不交錢(qián)將永遠(yuǎn)無(wú)法恢復(fù)電腦中的數(shù)據(jù)。

國(guó)內(nèi)多所高校中招，畢業(yè)論文都沒(méi)了！

昨天晚上，全國(guó)多所高校大量的學(xué)生發(fā)現(xiàn)自己的電腦中了病毒。

而中招的學(xué)生電腦上會(huì)顯示下面這樣的畫(huà)面

一位昨晚中招的唐同學(xué)說(shuō)：“晚上我在寢室電腦上在放視頻，出去了一會(huì)，回來(lái)之后就發(fā)現(xiàn)電腦中招了。電腦桌面上顯示了一封勒索信。這封信上，可以選擇顯示語(yǔ)言，中文、韓文、日文、英文都有。信上的內(nèi)容大致是，想要解鎖你電腦上的文檔，請(qǐng)付300美金等價(jià)的比特幣。上面還威脅說(shuō)，一周之內(nèi)不付款，就永遠(yuǎn)恢復(fù)不了文件了。”

“我關(guān)掉了病毒顯示的窗口，但過(guò)了一會(huì)兒，病毒窗口又跳出來(lái)了。檢查我的電腦，發(fā)現(xiàn)我電腦里包括word、MP3、ppt在內(nèi)的文檔，已經(jīng)全部被鎖定了�，F(xiàn)在我也沒(méi)辦法了，準(zhǔn)備重裝系統(tǒng)，畢竟付不起這么多錢(qián)。只是可惜了我之前做的那些音樂(lè)。

“我的室友也中了同樣的病毒。我們用的是同一個(gè)校園網(wǎng)，就是晚上會(huì)斷網(wǎng)的那種。”

浙江工商大學(xué)的程同學(xué)說(shuō)：“這兩天，在我朋友圈里很多人在說(shuō)這個(gè)事情，很多人在抱怨，病毒鎖定了電腦里的doc、ppt等格式的文檔，沒(méi)有辦法打開(kāi)文件了。我知道涉及的學(xué)校，有寧波大學(xué)，浙江中醫(yī)藥大學(xué)、浙江工商大學(xué)、浙江理工大學(xué)等等�！�

在微博上，非常多的網(wǎng)友留言稱自己的電腦被黑，中招的網(wǎng)友遍布全國(guó)。

昨天晚上，很多大學(xué)的官方微博、微信已經(jīng)發(fā)出了預(yù)警信息，說(shuō)這段時(shí)間國(guó)內(nèi)很多大學(xué)的校園網(wǎng)和同學(xué)的電腦都中病毒了。提醒大家不要點(diǎn)開(kāi)來(lái)路不明的鏈接，裝上殺毒軟件。

這種病毒從何而來(lái)？

安天安全研究與應(yīng)急處理中心（Antiy CERT）分析，判定該勒索軟件是一個(gè)名稱為“wannacry”的新家族，目前無(wú)法解密該勒索軟件加密的文件。該勒索軟件迅速感染全球大量主機(jī)的原因是利用了基于445端口傳播擴(kuò)散的SMB漏洞MS17-101，微軟在今年3月份發(fā)布了該漏洞的補(bǔ)丁。2017年4月14日黑客組織Shadow Brokers（影子經(jīng)紀(jì)人）公布的Equation Group（方程式組織）使用的“網(wǎng)絡(luò)軍火”中包含了該漏洞的利用程序，而該勒索軟件的攻擊者或攻擊組織在借鑒了該“網(wǎng)絡(luò)軍火”后進(jìn)行了些次全球性的大規(guī)模攻擊事件。

當(dāng)系統(tǒng)被該勒索軟件入侵后，彈出勒索對(duì)話框：

勒索界面

加密系統(tǒng)中的照片、圖片、文檔、壓縮包、音頻、視頻、可執(zhí)行程序等幾乎所有類(lèi)型的文件，被加密的文件后綴名被統(tǒng)一修改為“.WNCRY”

加密后的文件名

攻擊者極其囂張，號(hào)稱“除攻擊者外，就算老天爺來(lái)了也不能恢復(fù)這些文檔” （該勒索軟件提供免費(fèi)解密數(shù)個(gè)加密文件以證明攻擊者可以解密加密文件，“點(diǎn)擊 <Decrypt> 按鈕，就可以免費(fèi)恢復(fù)一些文檔�！痹摾账鬈浖�作者在界面中發(fā)布的聲明表示，“3天內(nèi)付款正常，三天后翻倍，一周后不提供恢復(fù)”）�，F(xiàn)實(shí)情況非常悲觀，勒索軟件的加密強(qiáng)度大，沒(méi)有密鑰的情況下，暴力破解需要極高的運(yùn)算量，基本不可能成功解密。

 可解密數(shù)個(gè)文件

該勒索軟件采用包括英語(yǔ)、簡(jiǎn)體中文、繁體中文等28種語(yǔ)言進(jìn)行“本地化”。

 28種語(yǔ)言

該勒索軟件會(huì)將自身復(fù)制到每個(gè)文件夾下，并重命名為“@WanaDecryptor@.exe”。同時(shí)衍生大量語(yǔ)言配置等文件：

 衍生文件

該勒索軟件AES和RSA加密算法，加密的文件以“WANACRY!”開(kāi)頭：

加密文件

加密如下后綴名的文件：

注：該勒索軟件的部分版本在XP系統(tǒng)下因文件釋放未成功而未加密用戶文件。

如何防范這種病毒？中招了還能回復(fù)嗎？

還沒(méi)中招的小伙伴這樣做：

1、為計(jì)算機(jī)安裝最新的安全補(bǔ)丁，微軟已發(fā)布補(bǔ)丁MS17-010修復(fù)了“永恒之藍(lán)”攻擊的系統(tǒng)漏洞，請(qǐng)盡快安裝此安全補(bǔ)丁，網(wǎng)址為https://technet.microsoft.com/zh-cn/library/security/MS17-010；對(duì)于windows XP、2003等微軟已不再提供安全更新的機(jī)器，可使用360“NSA武器庫(kù)免疫工具”檢測(cè)系統(tǒng)是否存在漏洞，并關(guān)閉受到漏洞影響的端口，可以避免遭到勒索軟件等病毒的侵害。免疫工具下載地址：http://dl.360safe.com/nsa/nsatool.exe。

2、關(guān)閉445、135、137、138、139端口，關(guān)閉網(wǎng)絡(luò)共享。

3、強(qiáng)化網(wǎng)絡(luò)安全意識(shí)：不明鏈接不要點(diǎn)擊，不明文件不要下載，不明郵件不要打開(kāi)……

4、盡快（今后定期）備份自己電腦中的重要文件資料到移動(dòng)硬盤(pán)、U盤(pán)，備份完后脫機(jī)保存該磁盤(pán)。

5、建議仍在使用windows xp， windows 2003操作系統(tǒng)的用戶盡快升級(jí)到 window 7/windows 10，或 windows 2008/2012/2016操作系統(tǒng)。

電腦已中招的同學(xué)：

基本不用考慮恢復(fù)了，格了整個(gè)盤(pán)重裝吧.....