5月12日晚，全球爆发了一次大规模的勒索软件事件，并且这一事件还在继续。

　　据了解，这种勒索软件是不法分子利用了美国国家安全局网络武器库中泄漏出的黑客工具。

中国多处中招！

　　中国多所高校受到影响，这种病毒在国内一些高校的教育网、校园网已经造成了影响，致使许多实验室数据和毕业设计被锁，昨夜今晨多家高校发布紧急通知，提醒师生注意。

　　除了教育网、校园网以外，这种病毒的影响范围疑似在逐渐扩大。微博上一些用户开始反馈，今日北京、上海、江苏、天津等多地的出入境、派出所等公安网也疑似遭遇了病毒袭击。全国多地部分中国石油旗下加油站在今日0点左右也突然出现断网，只能使用现金支付，加油站加油业务正常运行。

　　黑客已收到23笔比特币支付

　　据新浪科技，按照攻击者留下的地址在区块链网络查询，黑客已收到23笔支付，但总数只有4.26个比特币。

　　根据Bitfinex网站的的数据显示，目前的比特币国际价格为1789.5美元，以此计算，这些比特币价值7623美元。

　　黑客为什么要收比特币？那要从比特币自身的匿名性说起，它的特点是加密并分布存储在网络上。一方面，黑客索要比特币能够很好地隐匿身份，不便于警方追踪；另一方面，比特币自诞生以来价格便水涨船高，本周甚至超过1800美元。

　　国家互联网应急中心发布应急处置指南

　　据国家互联网应急中心，4月16日，CNCERT主办的CNVD发布《关于加强防范Windows操作系统和相关软件漏洞攻击风险的情况公告》，对影子纪经人“Shadow Brokers”披露的多款涉及Windows操作系统SMB服务的漏洞攻击工具情况进行了通报（相关工具列表如下），并对有可能产生的大规模攻击进行了预警:

有可能通过445端口发起攻击的漏洞攻击工具。

　　综合CNVD技术组成员单位奇虎360公司、安天公司等单位已获知的样本情况和分析结果，该勒索软件在传播时基于445端口并利用SMB服务漏洞（MS17-010），总体可以判断是由于此前“Shadow Brokers”披露漏洞攻击工具而导致的后续黑产攻击威胁。当用户主机系统被该勒索软件入侵后，弹出如下勒索对话框，提示勒索目的并向用户索要比特币。而用户主机上的重要数据文件，如：照片、图片、文档、压缩包、音频、视频、可执行程序等多种类型的文件，都被恶意加密且后缀名统一修改为“.WNCRY”。目前，安全业界暂未能有效破除该勒索软的恶意加密行为，用户主机一旦被勒索软件渗透，只能通过重装操作系统的方式来解除勒索行为，但用户重要数据文件不能直接恢复。

　　用户文件被加密。安天公司 供图

应急处置措施

　　根据CNVD秘书处普查的结果，互联网上共有900余万台主机IP暴露445端口（端口开放），而中国大陆地区主机IP有300余万台。CNCERT已经着手对勒索软件及相关网络攻击活动进行监测，目前共发现有向全球70多万个目标直接发起的针对MS17-010漏洞的攻击尝试。建议广大用户及时更新Windows已发布的安全补丁，同时在网络边界、内部网络区域、主机资产、数据备份方面做好如下工作：

　　（一）关闭445等端口(其他关联端口如: 135、137、139)的外部网络访问权限，在服务器上关闭不必要的上述服务端口；

　　（二）加强对445等端口（其他关联端口如: 135、137、139)的内部网络区域访问审计，及时发现非授权行为或潜在的攻击行为；

　　（三）由于微软对部分操作系统停止安全更新，建议对Window XP和Windows server 2003主机进行排查（MS17-010更新已不支持），使用替代操作系统。

　　（四）做好信息系统业务和个人数据的备份。

　　CNCERT后续将密切监测和关注该勒索软件对境内党政机关和重要行业单位以及高等院校的攻击情况，同时联合安全业界对有可能出现的新的攻击传播手段、恶意样本变种进行跟踪防范。

　　据国家互联网应急中心、新浪科技等