青青子衿, 悠悠我心, 但为君故, 沉吟至今
« 预防新型勒索病毒“永恒之蓝”的方法微软指责美国政府私藏系统漏洞 »

教育部否认大规模感染勒索病毒:安全厂商恶意放大病毒影响

  针对网传“中国此次遭受攻击的主要是教育网用户”消息,中国教育和科研计算机网CERNET网络中心15日发布声明称,“教育网并未出现大规模勒索病毒感染,也不是重灾区。”以下为声明内容:

  5月12日开始,因Windows漏洞导致的勒索蠕虫病毒在全球爆发。正当我们积极防范和应对这次大规模网络病毒攻击的时候,国内某些安全厂商却出于自己的商业目的,连续发表不实言论和所谓技术报告,或无中生有,捏造事实,或恶意放大该病毒的影响,主要包括“中国此次遭受攻击的主要是教育网用户”,原因是“教育网节点之间对445端口访问控制不够严格,造成病毒在校园网和教育科研网中大量传播,呈现爆发的态势”,“整个教育行业损失非常严重”。并称“大量准毕业生的毕业设计,论文材料被加密,导致无法完成论文答辩”。部分媒体也在没有调查的情况下,引用或转载这些不实言辞,“高校成为重灾区”,“教育网成为重灾区”见诸许多媒体的报道。

  这些失实的言论已经严重误导舆论,引起部分高校师生的恐慌,影响了正常的教学和生活秩序。鉴于此,我们严正声明如下:

  1、教育网并未出现大规模勒索病毒感染,也不是重灾区。

  截止14日中午,根据我们对各高校用户的不完全统计,在近1600个高校用户中,确认感染病毒的高校仅66所,占比4%,仅涉及数百个IP地址。由于连接教育网的各高校校园网大多采用多出口模式,在被病毒感染的66所高校中,通过教育网感染病毒的高校仅有5所,通过其他运营商网络感染病毒的高校39所,无法确定感染病毒途径的高校22所。

  经教育网安全应急响应小组CCERT对国际相关权威数据的分析表明,教育网各高校用户感染病毒的比例很低,仅占国内感染病毒总量的1%,未出现大规模勒索病毒感染,更谈不上是重灾区。

  2、本次感染勒索病毒的最主要原因是用户Windows系统没有及时升级存在漏洞造成的,而不是由于主干网没有封堵445端口造成的。

  按照国际互联网技术规范,互联网TCP端口应为众多互联网应用提供开放的接口能力,除非紧急情况需要,互联网运营商一般不应该、也不会随意封堵主干网TCP端口。即便封堵,一般运营商也不会在主干网,而是由用户(如校园网或企业网)根据自身需要在接入主干网的边缘采取访问控制措施(例如封堵某些TCP端口)。另外,目前用户上网具有非常强的移动性,指望在运营商主干网上封堵某个端口就能保护用户计算机安全,是不现实和不专业的。

  事实上,目前确有一些高校使用445端口提供网络信息服务,因此教育网尽管没有在今年4月后封堵主干网445端口,但是一直在密切监测主干网445端口的流量变化情况。一批连接教育网的高校在今年4月发现Windows某些版本漏洞后,是在封堵445等端口的同时迅速组织力量修补Windows某些版本漏洞,确保不被感染。而另一些仅连接运营商主干网的高校由于没有及时修补Windows某些版本漏洞,还是被感染了勒索病毒。

  可见,并不是封堵445端口,而是尽快完成各类用户Windows系统软件的升级或修复漏洞才是防范勒索病毒的根本措施。

  在此我们要求相关安全厂商本着实事求是的态度,澄清事实并承认错误;希望媒体在报道时,慎重援引厂商言论,加强与报道所涉单位的核实采访工作;呼吁广大社会公众,坚决抵制有意无意制造社会安全恐慌而达到商业目的厂商。我们将保留采取进一步法律手段的权利。

  中国教育和科研计算机网CERNET网络中心

  2017年05月15日

  相关背景新闻报道:教育网大量电脑445端口暴露,导致中招

  据360安全中心分析,此次校园网勒索病毒是由NSA泄漏的“永恒之蓝”黑客武器传播的。“永恒之蓝”可远程攻击Windows的445端口(文件共享),如果系统没有安装今年3月的微软补丁,无需用户任何操作,只要开机上网,“永恒之蓝”就能在电脑里执行任意代码,植入勒索病毒等恶意程序。

  由于国内曾多次出现利用445端口传播的蠕虫病毒,部分运营商对个人用户封掉了445端口。但是教育网并无此限制,存在大量暴露着445端口的机器,因此成为不法分子使用NSA黑客武器攻击的重灾区。正值高校毕业季,勒索病毒已造成一些应届毕业生的论文被加密篡改,直接影响到毕业答辩。

  目前,“永恒之蓝”传播的勒索病毒以ONION和WNCRY两个家族为主,受害机器的磁盘文件会被篡改为相应的后缀,图片、文档、视频、压缩包等各类资料都无法正常打开,只有支付赎金才能解密恢复。这两类勒索病毒,勒索金额分别是5个比特币和300美元,折合人民币分别为5万多元和2000多元。

  360针对校园网勒索病毒事件的监测数据显示,国内首先出现的是ONION病毒,平均每小时攻击约200次,夜间高峰期达到每小时1000多次;WNCRY勒索病毒则是5月12日下午新出现的全球性攻击,并在中国的校园网迅速扩散,夜间高峰期每小时攻击约4000次。

  安全专家发现,ONION勒索病毒还会与挖矿机(运算生成虚拟货币)、远控木马组团传播,形成一个集合挖矿、远控、勒索多种恶意行为的木马病毒“大礼包”,专门选择高性能服务器挖矿牟利,对普通电脑则会加密文件敲诈钱财,最大化地压榨受害机器的经济价值。

  针对NSA黑客武器利用的Windows系统漏洞,微软在今年3月已发布补丁修复。此前360安全中心也已推出“NSA武器库免疫工具”(下载连接:xxxx),能够一键检测修复NSA黑客武器攻击的漏洞;对XP、2003等已经停止更新的系统,免疫工具可以关闭漏洞利用的端口,防止电脑被NSA黑客武器植入勒索病毒等恶意程序。

  给大家几点提示:

  1. 重要文件提前备份。

  2. 开启360安全卫士防勒索服务。

  3. 加强安全意识,不明链接不要点,不明文件不要下载,不明邮件不要点开。

  2017年05月13



  除非注明,月光博客文章均为原创,转载请以链接形式标明本文地址

  本文地址:http://www.williamlong.info/archives/4975.html
  • 文章排行:
  • 1.xixinjie
  • 教育网出来辟谣了。。。我就放心了 那肯定是真的
  • 2017-5-16 10:10:24   支持(25)反对(8) 回复
  • 2.风无向
  • 教育部不要脸。(昨天本人正好去云南省教育厅去查询档案,被两只苍蝇恶心的告知,教育系统网络瘫痪,何时恢复需要等通知,看着那两只苍蝇满脸幸福的笑,我就知道打老虎是没JB毛用的)
  • 2017-5-16 14:06:50   支持(13)反对(0) 回复
  • 3.双子座之圣灵
  • 惯用手法又使出来了
  • 2017-5-16 12:05:05   支持(8)反对(0) 回复
  • 4.飞云零狼
  • 惯用手法,推卸责任,真的很靠谱,很给力!
  • 2017-5-16 12:08:05   支持(7)反对(1) 回复
  • 5.文申特大举进攻
  • 教育网最无辜,360最坏
  • 2017-5-16 12:08:05   支持(6)反对(1) 回复
  • 6.欧润网
  • 嗯,安全商家的惯用伎俩。
  • 2017-5-16 14:52:40   支持(4)反对(0) 回复
  • 7.Wulizz
  • 不客气的讲,大部分电脑都安装有某品牌卫士或管家的,这次大规模爆发,跟这些软件取代微软只按照自己逻辑推送补丁不无关系。
  • 2017-5-16 22:20:29   支持(5)反对(1) 回复
  • 8.去屑不留头
  • 话说这几天 360 的份额估计猛涨,昨天 CCTV 新闻采访 360,太心机婊了,本应品牌回避,360 工作人员却用前面的示范电脑挡住后面屏保上的 logo,只露出前面360这个数字,狂刷一波存在感,不过还是觉得用 360 这种东西的人,活该中病毒,不毒你毒谁啊!
  • 2017-5-16 22:31:00   支持(5)反对(1) 回复
  • 9.李效乾
  • 有新系统,有补丁,你们都不上。天天守着老东西,迟早翻车。
  • 2017-5-16 12:11:06   支持(4)反对(1) 回复
  • 10.譚揚贊
  • 我不用卫士与管家之类的东西 我就问一下 微软3月推送的补丁 ,以及刚刚的xp补丁 它们有没有及时推送 我昨天刷不出xp的补丁 帮别人搞防护 最后还是手动安装了 要它何用
  • 2017-5-16 22:43:02   支持(2)反对(0) 回复
  • 11.指尖网络科技
  • 其实你们都忽略了,影响最深的是公安内网
  • 2017-5-16 22:26:30   支持(1)反对(0) 回复
  • 12.山口唐意
  • 我广西的一个朋友学校就有电脑中招了,这次高校确实是重灾区,周五那天全国各高校都发紧急通知了。安天、360这么说没啥大错误,领导们是急着撇清责任吧。
  • 2017-5-16 22:28:30   支持(1)反对(0) 回复
  • 13.蝉噤
  • 我记得新闻联播一直说网络长城是保护公民信息的免受病毒侵害的!可是呢?哈工大那姓方的教授在家里把脸打的啪啪地!
  • 2017-5-16 22:32:31   支持(1)反对(0) 回复
  • 14.达叔是一种沧桑
  • 行内人士认为……确实责任不在教育部。主干网怎么能随便封端口
  • 2017-5-16 22:41:32   支持(1)反对(0) 回复
  • 16.marshall4484
  • 这种情况下可是炒作的最佳时机啊,能忽悠多少人装机是多少人
  • 2017-5-17 22:20:10   支持(1)反对(0) 回复
  • 17.Hahaf
  • 我擦,这么牛逼,以后俺也转型去开发病毒算了,太暴利了简直是
  • 2017-5-16 16:04:58   支持(0)反对(0) 回复
  • 18.ahdu
  • 不过,骨干网不应随意封445端口吧。这个事应该是用户自己去做。
  • 2017-5-16 22:17:59   支持(0)反对(0) 回复
  • 19.lawrencewen_
  • 这说的大实话啊 是安全厂商恶意放大
  • 2017-5-16 22:18:59   支持(0)反对(0) 回复
  • 20.胖七--RUN
  • 说的是360吧?这垃圾玩意儿
  • 2017-5-16 22:23:30   支持(0)反对(0) 回复
  • 21.小余er
  • 本次感染勒索病毒的最主要原因是用户Windows系统没有及时升级存在漏洞,实力甩锅。。。。
  • 2017-5-16 22:34:01   支持(0)反对(0) 回复
  • 22.我叫宋承苟
  • 主要责任不在校园网,该打的补丁不打,最后出事了谁也保不了你。出了这种事把主要责任推给校园网不就是巨婴逻辑吗?也对,毕竟巨婴。。。。。。
  • 2017-5-16 22:35:31   支持(0)反对(0) 回复
  • 23._Ivly
  • 有企业为盈利恶意冠名公立名校建分校抬高房价!教育部清楚怎么回事么?
  • 2017-5-16 22:38:31   支持(0)反对(0) 回复
  • 24.leo_st_i_n
  • 塔斯托效应,否认的影响力有限
  • 2017-5-16 22:46:32   支持(0)反对(1) 回复
  • 25.老紫红
  • 一遇事先撇清责任,然后找背锅的,呵呵
  • 2017-5-17 10:18:04   支持(0)反对(1) 回复
  • 26.群里的三野
  • 以前我老是说过:能用钱解决的问题就不算问题!

    呵呵,这个公告,辟谣引人遐想!
  • 2017-5-17 13:57:39   支持(0)反对(1) 回复

发表评论:

 请勿发送垃圾信息、广告、推广信息或链接,这样的信息将会被直接删除。

订阅博客

  • 订阅我的博客:订阅我的博客
  • 关注新浪微博:关注新浪微博
  • 关注腾讯微博:关注腾讯微博
  • 关注认证空间:关注QQ空间
  • 通过电子邮件订阅
  • 通过QQ邮件订阅

站内搜索

相关文章

热文排行


月度排行

本站采用创作共用版权协议, 要求署名、非商业用途和相同方式共享. 转载本站内容必须也遵循“署名-非商业用途-相同方式共享”的创作共用协议.
This site is licensed under a Creative Commons Attribution-NonCommercial-ShareAlike 3.0 License.