教育部否認大規(guī)模感染勒索病毒：安全廠商惡意放大病毒影響

針對網(wǎng)傳“中國此次遭受攻擊的主要是教育網(wǎng)用戶”消息，中國教育和科研計算機網(wǎng)CERNET網(wǎng)絡(luò)中心15日公布聲明稱，“教育網(wǎng)并未出現(xiàn)大規(guī)模勒索病毒感染，也不是重災區(qū)?！币韵聻槁暶鲀?nèi)容：

5月12日開始，因Windows漏洞導致的勒索蠕蟲病毒在全球爆發(fā)。正當我們積極防范和應對這次大規(guī)模網(wǎng)絡(luò)病毒攻擊的時候，國內(nèi)某些安全廠商卻出于自己的商業(yè)目的，連續(xù)發(fā)表不實言論和所謂技術(shù)報告，或無中生有，捏造事實，或惡意放大該病毒的影響，主要包括“中國此次遭受攻擊的主要是教育網(wǎng)用戶”，原因是“教育網(wǎng)節(jié)點之間對445端口訪問操縱 不夠嚴格，造成病毒在校園網(wǎng)和教育科研網(wǎng)中大量傳播，呈現(xiàn)爆發(fā)的態(tài)勢”，“整個教育行業(yè)損失非常嚴峻 ”。并稱“大量準畢業(yè)生的畢業(yè)設(shè)計，論文材料被加密，導致無法完成論文答辯”。部分媒體也在沒有調(diào)查的情況下，引用或轉(zhuǎn)載這些不實言辭，“高校成為重災區(qū)”，“教育網(wǎng)成為重災區(qū)”見諸許多媒體的報道。

這些失實的言論已經(jīng)嚴峻 誤導輿論，引起部分高校師生的恐慌，影響了正常的教學和生活秩序。鑒于此，我們嚴正聲明如下：

1、教育網(wǎng)并未出現(xiàn)大規(guī)模勒索病毒感染，也不是重災區(qū)。

截止14日中午，根據(jù)我們對各高校用戶的不完全統(tǒng)計，在近1600個高校用戶中，確認感染病毒的高校僅66所，占比4%，僅涉及數(shù)百個IP地址。由于連接教育網(wǎng)的各高校校園網(wǎng)大多采納多出口模式，在被病毒感染的66所高校中，通過教育網(wǎng)感染病毒的高校僅有5所，通過其他運營商網(wǎng)絡(luò)感染病毒的高校39所，無法確定感染病毒途徑的高校22所。

經(jīng)教育網(wǎng)安全應急響應小組CCERT對國際相關(guān)權(quán)威數(shù)據(jù)的分析表明，教育網(wǎng)各高校用戶感染病毒的比例很低，僅占國內(nèi)感染病毒總量的1%，未出現(xiàn)大規(guī)模勒索病毒感染，更談不上是重災區(qū)。

2、本次感染勒索病毒的最主要原因是用戶Windows系統(tǒng)沒有及時升級存在漏洞造成的，而不是由于主干網(wǎng)沒有封堵445端口造成的。

按照國際互聯(lián)網(wǎng)技術(shù)規(guī)范，互聯(lián)網(wǎng)TCP端口應為眾多互聯(lián)網(wǎng)應用提供開放的接口能力，除非緊急情況需要，互聯(lián)網(wǎng)運營商一般不應該、也不會隨意封堵主干網(wǎng)TCP端口。即便封堵，一般運營商也不會在主干網(wǎng)，而是由用戶（如校園網(wǎng)或企業(yè)網(wǎng)）根據(jù)自身需要在接入主干網(wǎng)的邊緣采取訪問操縱 措施（例如封堵某些TCP端口）。另外，目前用戶上網(wǎng)具有非常強的移動性，盼望 在運營商主干網(wǎng)上封堵某個端口就能保護用戶計算機安全，是不現(xiàn)實和不專業(yè)的。

事實上，目前確有一些高校使用445端口提供網(wǎng)絡(luò)信息服務，因此教育網(wǎng)盡管沒有在今年4月后封堵主干網(wǎng)445端口，但是一直在緊密監(jiān)測主干網(wǎng)445端口的流量變化情況。一批連接教育網(wǎng)的高校在今年4月發(fā)現(xiàn)Windows某些版本漏洞后，是在封堵445等端口的同時迅速組織力量修補Windows某些版本漏洞，確保不被感染。而另一些僅連接運營商主干網(wǎng)的高校由于沒有及時修補Windows某些版本漏洞，還是被感染了勒索病毒。

可見，并不是封堵445端口，而是盡快完成各類用戶Windows系統(tǒng)軟件的升級或修復漏洞才是防范勒索病毒的根本措施。

在此我們要求相關(guān)安全廠商本著實事求是的態(tài)度，澄清事實并承認錯誤；希望媒體在報道時，慎重援引廠商言論，加強與報道所涉單位的核實采訪工作；呼吁廣大社會公眾，堅決抵制有意無意制造社會安全恐慌而達到商業(yè)目的廠商。我們將保留采取進一步法律手段的權(quán)利。

中國教育和科研計算機網(wǎng)CERNET網(wǎng)絡(luò)中心

2017年05月15日

相關(guān)背景新聞報道：教育網(wǎng)大量電腦445端口暴露，導致中招

據(jù)360安全中心分析，此次校園網(wǎng)勒索病毒是由NSA泄漏的“永恒之藍”黑客武器傳播的?！坝篮阒{”可遠程攻擊Windows的445端口（文件共享），如果系統(tǒng)沒有安裝今年3月的微軟補丁，無需用戶任何操作，只要開機上網(wǎng)，“永恒之藍”就能在電腦里執(zhí)行任意代碼，植入勒索病毒等惡意程序。

由于國內(nèi)曾多次出現(xiàn)利用445端口傳播的蠕蟲病毒，部分運營商對個人用戶封掉了445端口。但是教育網(wǎng)并無此限制，存在大量暴露著445端口的機器，因此成為不法分子使用NSA黑客武器攻擊的重災區(qū)。正值高校畢業(yè)季，勒索病毒已造成一些應屆畢業(yè)生的論文被加密篡改，直接影響到畢業(yè)答辯。

目前，“永恒之藍”傳播的勒索病毒以O(shè)NION和WNCRY兩個家族為主，受害機器的磁盤文件會被篡改為相應的后綴，圖片、文檔、視頻、壓縮包等各類資料都無法正常打開，只有支付贖金才能解密恢復。這兩類勒索病毒，勒索金額分別是5個比特幣和300美元，折合人民幣分別為5萬多元和2000多元。

360針對校園網(wǎng)勒索病毒事件的監(jiān)測數(shù)據(jù)顯示，國內(nèi)首先出現(xiàn)的是ONION病毒，平均每小時攻擊約200次，夜間高峰期達到每小時1000多次；WNCRY勒索病毒則是5月12日下午新出現(xiàn)的全球性攻擊，并在中國的校園網(wǎng)迅速擴散，夜間高峰期每小時攻擊約4000次。

安全專家發(fā)現(xiàn)，ONION勒索病毒還會與挖礦機（運算生成虛擬貨幣）、遠控木馬組團傳播，形成一個集合挖礦、遠控、勒索多種惡意行為的木馬病毒“大禮包”，專門選擇高性能服務器挖礦牟利，對一般 電腦則會加密文件敲詐錢財，最大化地壓榨受害機器的經(jīng)濟價值。

針對NSA黑客武器利用的Windows系統(tǒng)漏洞，微軟在今年3月已公布補丁修復。此前360安全中心也已推出“NSA武器庫免疫工具”（下載連接：xxxx），能夠一鍵檢測修復NSA黑客武器攻擊的漏洞；對XP、2003等已經(jīng)停止更新的系統(tǒng)，免疫工具可以關(guān)閉漏洞利用的端口，防止電腦被NSA黑客武器植入勒索病毒等惡意程序。

給大家?guī)c提示：

1. 重要文件提前備份。

2. 開啟360安全衛(wèi)士防勒索服務。

3. 加強安全意識，不明鏈接不要點，不明文件不要下載，不明郵件不要點開。