每經記者 蘇杰德 每經編輯 王嘉琦

醫院癱瘓、加油站斷網、畢業論文被篡改……

就當巴菲特剛剛說出了“網絡攻擊比核武器還可怕”之后沒多久，黑客就在全世界面前秀了一次肌肉。

近日，全球上百個國家和地區都有電腦系統遭受一個名為WannaCry的病毒攻擊，被攻擊者被要求支付比特幣才能解鎖。5月14日，據BBC最新報道，全球已有150個國家，超過20萬臺計算機遭到感染。

最近幾天，因為勒索病毒在全球擴散，各國很多機構的正常辦公受到影響，但目前情況似乎有所好轉。5月14日，每日經濟新聞（微信號：nbdnews）記者獨家獲悉，中石油超八成加油站已重新連網，第三方支付也正陸續恢復之中。

在這次全球的網絡危機中，一位22歲的英國人立下了大功，他/她僅僅用10美元，就阻止了病毒的擴散。可是，就在國外各大媒體開始以“英雄”來稱呼這位神秘人之時，勒索病毒卻出現了變種！

中石油超八成加油站已重新連網

5月13日上午，每日經濟新聞（微信號：nbdnews）記者獨家報道，全國包括北京、上海、重慶、成都等多個城市的部分中國石油旗下加油站在當日凌晨突然出現斷網，而因斷網一時無法使用支付寶、微信、銀聯卡等聯網支付方式，只能使用現金支付，不過，加油站加油業務可正常運行。

▲5月13日上午，成都一家加油站貼出充值業務暫定辦理的通知。每經記者 朱萬平 攝

5月14日午間，中國石油相關負責人向每日經濟新聞（微信號：nbdnews）記者回應稱，中國石油緊急應對比特幣勒索病毒影響。5月12日22:30左右，因全球比特幣勒索病毒爆發，該公司所屬部分加油站正常運行受到波及。病毒導致加油站加油卡、銀行卡、第三方支付等網絡支付功能無法使用，加油及銷售等基本業務運行正常，加油卡賬戶資金安全不受影響。

5月13日1：00，為確保用戶數據安全和防止病毒擴散，中國石油緊急中斷所有加油站上連網絡端口，并會同有關網絡安全專家連夜開展處置工作，全面排查風險，制定技術解決方案。5月13日13:00，根據現場驗證過的技術解決方案，開始逐站實施恢復工作。

中國石油方面稱，截至5月14日12：00，中國石油80%以上加油站已經恢復網絡連接，受病毒感染的加油站正在陸續恢復加油卡、銀行卡、第三方支付功能。14日13：00左右，記者從北京中國石油華威路加油站了解到，該站已經恢復了第三方支付。

值得注意的是，加油站外部支付需使用外網，而加油業務在內網運行。有網絡安全專家分析稱，從理論上，這次攻擊只針對windows系統，石油系統及工業互聯網不會被波及，除非有專門的針對這一系統的病毒被開發。

阻止病毒擴散，神秘“英雄”只花了10美元

雖然這次勒索病毒波及范圍很廣，但暫時還沒有泛濫。這得感謝一位神秘的英國研究員。

當地時間周六（5月13日）早上，一個網名為MalwareTech的網友在自己的同名網站MalwareTech上發布了一篇文章，講述了自己如何“一不小心”就防止了勒索病毒的擴散。

13日，MalwareTech接受了國內外媒體的郵件采訪，但沒有透露自己的真實身份和性別。

根據紅星新聞和CNN等媒體報道，MalwareTech表示，其實在這場全球“浩劫”剛開始時，他就已經從英國的一個論壇上得到了消息。但不巧的是，他當時正在外面。

等我回家后，我在WannaCry病毒中發現了一個未注冊的域名，并因此決定注冊該域名，以便追蹤這一病毒。

其實，這個域名就是該病毒的“刪除開關”。為此，MalwareTech花了10.69美元的費用注冊購買了這一域名。

事實上，MalwareTech找到的，就是該病毒中隱藏的“刪除開關”。

后來在一些分析員的幫助下，我們終于確認，在注冊了這一域名后，這一感染停止了。

MalwareTech解釋說，通常情況下，在注冊該域名后，他將擁有WannaCry病毒的運行權，他們經常采用這種方式來追蹤惡意病毒軟件，“或者用來阻止犯罪分子控制該病毒”。

這一“開關”被編碼隱藏在惡意軟件中，如果惡意軟件的制造者希望停止該病毒的傳播，那么只要激活這一開關即可。這里的開關機制為，該惡意軟件將會向任何網站，包括這個非常長的毫無感官意義的域名網站發送請求，而一旦該請求得到回應，就意味著該域名上線，“刪除開關”就會生效，惡意軟件也會停止傳播。

別大意，病毒已出現變體！

雖然外國媒體紛紛將這位神秘的研究員奉為英雄，可是，MalwareTech發現的的“刪除開關”只針對一個版本的WannaCry勒索病毒。事實上，還有很多版本的勒索病毒存在，只有找到各個版本的“開關”，才能徹底防止擴散。

更恐怖的事，就在MalwareTech找到遏制勒索病毒擴散的方法后第二天，WannaCry勒索病毒就出現了變體，“刪除開關”已經不起作用了！

千龍網5月14日報道，北京市委網信辦、北京市公安局、北京市經信委聯合發出《關于WannaCry勒索蠕蟲出現變種及處置工作建議的通知》。《通知》指出，有關部門監測發現，WannaCry勒索蠕蟲出現了變種：WannaCry2.0，與之前版本的不同是，這個變種取消了所謂的KillSwitch（刪除開關），不能通過注冊某個域名來關閉變種勒索蠕蟲的傳播。該變種的傳播速度可能會更快，該變種的有關處置方法與之前版本相同，建議立即進行關注和處置。

《通知》還給出了相關的處置建議：

一、請立即組織內網檢測，查找所有開放445SMB服務端口的終端和服務器，一旦發現中毒機器，立即斷網處置，目前看來對硬盤格式化可清除病毒。

二、目前微軟已發布補丁MS17-010修復了“永恒之藍”攻擊的系統漏洞，請盡快為電腦安裝此補丁，網址為https://technet.microsoft.com/zh-cn/library/security/MS17-010；對于XP、2003等微軟已不再提供安全更新的機器，建議升級操作系統版本，或關閉受到漏洞影響的端口，可以避免遭到勒索軟件等病毒的侵害。

三、一旦發現中毒機器，立即斷網。

四、啟用并打開“Windows防火墻”，進入“高級設置”，在入站規則里禁用“文件和打印機共享”相關規則。關閉UDP135、445、137、138、139端口，關閉網絡文件共享。

五、嚴格禁止使用U盤、移動硬盤等可執行擺渡攻擊的設備。

六、盡快備份自己電腦中的重要文件資料到存儲設備上。

七、及時更新操作系統和應用程序到最新的版本。

八、加強電子郵件安全，有效地阻攔掉釣魚郵件，可以消除很多隱患。

九、安裝正版操作系統、Office軟件等。