教育部否认大规模感染勒索病毒:安全厂商恶意放大病毒影响

2017/5/16 来源:www.arpun.com 作者:小白

针对网传“中国此次遭受攻击的主要是教育网用户”消息, 中国教育和科研计算机网CERNET网络中心15日发布声明称, “教育网并未出现大规模勒索病毒感染, 也不是重灾区。 ”以下为声明内容:教育部否认大规模感染勒索病毒:安全厂商恶意放大病毒影响

  5月12日开始, 因Windows漏洞导致的勒索蠕虫病毒在全球爆发。 正当我们积极防范和应对这次大规模网络病毒攻击的时候, 国内某些安全厂商却出于自己的商业目的, 连续发表不实言论和所谓技术报告, 或无中生有, 捏造事实, 或恶意放大该病毒的影响, 主要包括“中国此次遭受攻击的主要是教育网用户”, 原因是“教育网节点之间对445端口访问控制不够严格, 造成病毒在校园网和教育科研网中大量传播, 呈现爆发的态势”, “整个教育行业损失非常严重”。 并称“大量准毕业生的毕业设计, 论文材料被加密, 导致无法完成论文答辩”。 部分媒体也在没有调查的情况下, 引用或转载这些不实言辞, “高校成为重灾区”, “教育网成为重灾区”见诸许多媒体的报道。

  这些失实的言论已经严重误导舆论, 引起部分高校师生的恐慌, 影响了正常的教学和生活秩序。 鉴于此, 我们严正声明如下:

  1、教育网并未出现大规模勒索病毒感染, 也不是重灾区。

  截止14日中午, 根据我们对各高校用户的不完全统计, 在近1600个高校用户中, 确认感染病毒的高校仅66所, 占比4%, 仅涉及数百个IP地址。 由于连接教育网的各高校校园网大多采用多出口模式, 在被病毒感染的66所高校中, 通过教育网感染病毒的高校仅有5所, 通过其他运营商网络感染病毒的高校39所, 无法确定感染病毒途径的高校22所。

  经教育网安全应急响应小组CCERT对国际相关权威数据的分析表明, 教育网各高校用户感染病毒的比例很低, 仅占国内感染病毒总量的1%, 未出现大规模勒索病毒感染, 更谈不上是重灾区。

  2、本次感染勒索病毒的最主要原因是用户Windows系统没有及时升级存在漏洞造成的, 而不是由于主干网没有封堵445端口造成的。

  按照国际互联网技术规范, 互联网TCP端口应为众多互联网应用提供开放的接口能力, 除非紧急情况需要, 互联网运营商一般不应该、也不会随意封堵主干网TCP端口。 即便封堵, 一般运营商也不会在主干网, 而是由用户(如校园网或企业网)根据自身需要在接入主干网的边缘采取访问控制措施(例如封堵某些TCP端口)。 另外, 目前用户上网具有非常强的移动性, 指望在运营商主干网上封堵某个端口就能保护用户计算机安全, 是不现实和不专业的。

  事实上, 目前确有一些高校使用445端口提供网络信息服务, 因此教育网尽管没有在今年4月后封堵主干网445端口, 但是一直在密切监测主干网445端口的流量变化情况。 一批连接教育网的高校在今年4月发现Windows某些版本漏洞后, 是在封堵445等端口的同时迅速组织力量修补Windows某些版本漏洞, 确保不被感染。 而另一些仅连接运营商主干网的高校由于没有及时修补Windows某些版本漏洞, 还是被感染了勒索病毒。

  可见, 并不是封堵445端口, 而是尽快完成各类用户Windows系统软件的升级或修复漏洞才是防范勒索病毒的根本措施。

  在此我们要求相关安全厂商本着实事求是的态度, 澄清事实并承认错误;希望媒体在报道时, 慎重援引厂商言论, 加强与报道所涉单位的核实采访工作;呼吁广大社会公众, 坚决抵制有意无意制造社会安全恐慌而达到商业目的厂商。 我们将保留采取进一步法律手段的权利。

  中国教育和科研计算机网CERNET网络中心

  2017年05月15日

  相关背景新闻报道:教育网大量电脑445端口暴露, 导致中招

  据360安全中心分析, 此次校园网勒索病毒是由NSA泄漏的“永恒之蓝”黑客武器传播的。 “永恒之蓝”可远程攻击Windows的445端口(文件共享), 如果系统没有安装今年3月的微软补丁, 无需用户任何操作, 只要开机上网, “永恒之蓝”就能在电脑里执行任意代码, 植入勒索病毒等恶意程序。

  由于国内曾多次出现利用445端口传播的蠕虫病毒, 部分运营商对个人用户封掉了445端口。 但是教育网并无此限制, 存在大量暴露着445端口的机器, 因此成为不法分子使用NSA黑客武器攻击的重灾区。 正值高校毕业季, 勒索病毒已造成一些应届毕业生的论文被加密篡改, 直接影响到毕业答辩。

  目前, “永恒之蓝”传播的勒索病毒以ONION和WNCRY两个家族为主, 受害机器的磁盘文件会被篡改为相应的后缀, 图片、文档、视频、压缩包等各类资料都无法正常打开, 只有支付赎金才能解密恢复。 这两类勒索病毒, 勒索金额分别是5个比特币和300美元, 折合人民币分别为5万多元和2000多元。

  360针对校园网勒索病毒事件的监测数据显示, 国内首先出现的是ONION病毒, 平均每小时攻击约200次, 夜间高峰期达到每小时1000多次;WNCRY勒索病毒则是5月12日下午新出现的全球性攻击, 并在中国的校园网迅速扩散, 夜间高峰期每小时攻击约4000次。

  安全专家发现, ONION勒索病毒还会与挖矿机(运算生成虚拟货币)、远控木马组团传播, 形成一个集合挖矿、远控、勒索多种恶意行为的木马病毒“大礼包”, 专门选择高性能服务器挖矿牟利, 对普通电脑则会加密文件敲诈钱财, 最大化地压榨受害机器的经济价值。

  针对NSA黑客武器利用的Windows系统漏洞, 微软在今年3月已发布补丁修复。 此前360安全中心也已推出“NSA武器库免疫工具”(下载连接:xxxx), 能够一键检测修复NSA黑客武器攻击的漏洞;对XP、2003等已经停止更新的系统, 免疫工具可以关闭漏洞利用的端口, 防止电脑被NSA黑客武器植入勒索病毒等恶意程序。

  给大家几点提示:

  1. 重要文件提前备份。

  2. 开启360安全卫士防勒索服务。

  3. 加强安全意识, 不明链接不要点, 不明文件不要下载, 不明邮件不要点开。

  2017年05月13

网友评论
评论(...
全部评论