勒索病毒出现多个变种 拔网线真的有用吗？

5月15日，中央网信办网络安全协调局负责人就“蠕虫”式勒索软件攻击事件回应称，该勒索软件还在传播，但传播速度已经明显放缓。但同时，国家网络与信息安全信息通报中心监测发现：WannaCry勒索病毒出现多个变种，如开关域名变化、收钱地址变化等，但主要的传播机制和破坏方式没有改变，威胁依然存在。

病毒入侵事件发生后，多地网安发布应对病毒“攻击”的方案：先拔了网线，安装补丁，再将文件备份后联网，随后得到网友广泛转发。网络安全专家郑文彬告诉重案组37号，此办法的关键，还是在于断网后应及时安装补丁等修复系统漏洞。

遭勒索病毒“感染”的电脑收到“勒索信”，内容为想要解锁文档需支付300美金等价的比特币。

遭勒索病毒“感染”的电脑收到“勒索信”，内容为想要解锁文档需支付300美金等价的比特币

多地加油站网络恢复银行加固防火墙

重案组37号此前报道称，网友称12日全国多地的中石油加油站在加油时无法进行网络支付，只能使用现金。据中新网报道，中石油有关负责人就此表示，公司加油站的加油业务和现金支付业务正常运行，但是第三方支付无法使用，怀疑受到病毒攻击，具体情况还在核查处置中。

5月15日下午，重案组37号探员从中石油北京华威南路加油站一工作人员处获悉，加油站在13日网络已经恢复正常，可以通过银行卡刷卡消费，加油卡的圈存功能也已恢复正常。

据重案组37号探员了解，京津冀三地多家加油站工作人员均确认，13-15日三天，加油站的网络陆续恢复正常，可以通过刷卡进行消费了。“国内大部分中石油的加油站陆续恢复网络连接，加油卡、银行卡、第三方支付功能已恢复。”某加油站工作人员称。

同时，重案组37号探员从北京、南京、杭州等地多家银行了解到，一些银行为了防范于未然，也在周末两天及时安装了防火墙和补丁，修补系统的漏洞。北京华夏银行某位工作人员称，病毒入侵事件出现后，除了不能在内网下载文件外，后台系统照常运行，但现在也已经恢复使用。南京中信、杭州浙商和广东佛山某农业银行则表示，银行未出现病毒入侵的情况，且都采取措施进行防护，目前后台系统修复完成，不会影响日常业务办理。

高校统计病毒入侵数据发布防范措施

5月15日，针对比特币勒索病毒在高校广泛传播事件，山东大学和南昌大学本科生院发布信息统计学生电脑中毒情况，浙传信息办则帮助学生重装系统，为学生排除隐患。

南昌大学新闻学专业的赵同学说，12日早晨8点连接校园网时，电脑忽然遭到攻击，他的英语课件没法打开，之后学校发布相关勒索软件入侵的通告，他表示因为没有重要文件被加密，已经备份了所有文件，目前正在重装系统。南昌大学学工处管理科也表示，学院也在查询学生电脑受到攻击的具体情况，后续安排还要等数据统计完毕再议。

15日上午，山东大学宣传科负责人称，5月12日20时左右，全球爆发大规模基于Windows平台的勒索软件感染事件，我校部分学生电脑也受到了勒索软件的攻击导致资料受损。为进一步引导学生做好病毒防范措施，请各学院及时通知学生按照官方通知提示尽快更新操作系统补丁。同时，请做好因勒索软件病毒导致学生电脑资料受损情况的摸底调查，尤其是针对毕业班学生毕业论文受损情况的统计，并加强对相关学生的关注和安抚。

浙江传媒学院信息化办公室主任周海峰告诉重案组37号，有些学生的电脑感染勒索病毒后，到信息办找老师咨询，老师都会帮助学生给电脑重做系统。对于没有感染病毒的电脑，学校也在协助学生给电脑做一些防护措施，比如安装补丁等。

探员追问

“先断网再开机”就可以阻止病毒?

5月15日，海南省网安发布安全通告称，勒索病毒爆发，各单位周一先拔网线，安装windows补丁，将文件备份后再开电脑。之后，深圳、重庆网安、成都市委网信办等也发布相似通告，解答具体防范勒索病毒的措施。而微博和朋友圈内，“先断网再开机”的信息得到网友广泛转发。

网络安全专家郑文彬向重案组37号解释，此方案确实可行。因为非专业人士，个人无法判断电脑是否开放445等端口，可先拔开网线，阻碍病毒入侵，然后安装补丁，再将文件进行备份后，最后重新联网。但最关键是尽快将电脑系统升级或使用光盘安装补丁，修复系统漏洞。

勒索病毒出现变种后应该如何防范?

网络安全专家谢鑫解释，只要未更新漏洞补丁的win10以下系统(xp,win7,win8,win2003,win2008)都存在被攻击的危险，肯定还会持续扩散，并且随着其他黑客了解了原理，新的变种或新的勒索病毒家族种类会变得更加繁多。最保险的防范方式便是关闭445端口，也就是通过关闭服务，设置防火墙策略方式，但也会导致一些依赖445端口的软件或电脑功能无法正常运作。

网络安全专家王子凌认为，从过往攻击来看，出现变种的可能性很大，但只要正确地安装系统补丁，按照安全机构提醒关闭高危端口，其病毒的传播性是可以控制的。

攻击为何从高校扩展至银行等系统?

王子凌解释，这次病毒入侵首先针对例如高校教育网中暴露445高危端口的电脑，然后进一步分别进入到某些机构的内网，并在内网造成极大的破坏。这些受攻击的机构内网电脑必然是未安装补丁或没关闭445端口，而内网电脑相互之间无安全防护，所以沦陷特别快。

谢鑫补充分析说，病毒是周五下午开始传播，那个时间段基本处于下班状态，周六开始大范围传播，受到攻击的这些高校、机构等大多数周末都在联网办公。

支付比特币“赎金”会暗藏哪些风险?

王子凌解释，大部分安全机构均不建议支付赎金，因为这次病毒入侵不是点对点的攻击，有些内网中相连接的电脑很容易收到感染，但并非每一台电脑都有解密的密码，黑客也无法完全掌握受到感染电脑的情况，交付赎金的个人也有拿不到解密密钥的可能。

本文转自d1net（转载）