新京报快讯(记者赵蕾 曾金秋 实习生 刘经宇)今天(5月13日)，国家互联网应急中心(CNCERT)发布《关于重点防范Windows操作系统勒索软件攻击的情况公告》。《公告》对近日出现的校园网遭勒索软件病毒攻击进行了详细的说明。

　　昨日下午起，浙江大学、山东大学、南昌大学等多所高校的校园网遭到病毒入侵，部分学生在链接校园网后，电脑中部分文档被锁定，无法打开。有黑客留下联系方式，表示要回复文档必须支付赎金。这种病毒致使许多高校毕业生的毕业论文(设计)被锁，需要支付赎金后才能解密。

　　山东大学的同学介绍，昨晚，病毒入侵了中心校区和千佛山校区的电子阅览室，当时一些学生正连接校园网的端口查询论文资料，电脑和U盘中的文件忽然被锁定，界面出现一个红色的对话框，黑客留下联系方式，要求支付比特币才可提供解密服务，超过三天未支付还会涨价。

　　淮阴工学院一名同学表示，自己通过网线连接的校园网，昨天下午6时许，正在写毕业论文时，突然电脑出现了弹窗，后来自己的论文，知网下载的caj文档都被变成不可读。其尝试去淘宝购买修复服务，淘宝店家告知“最近勒索病毒猖獗，本店咨询暴增”，因为修复价格太高，最终选择重写论文。

　　近日，据外媒报道，全球许多国家的医院及科研机构遭受网络攻击。

　　CNCERT发布的公告称，5月13日，互联网上出现针对Windows操作系统的勒索软件的攻击案例，勒索软件利用此前披露的Windows SMB服务漏洞(对应微软漏洞公告：MS17-010)攻击手段，向终端用户进行渗透传播，并向用户勒索比特币或其他价值物，涉及到国内用户(已收到多起高校案例报告)，已构成较为严重的攻击威胁。

　　公告指出，综合CNVD技术组成员单位已获知的样本情况和分析结果，该勒索软件在传播时基于445端口并利用SMB服务漏洞(MS17-010)，总体可以判断是由于此前“Shadow Brokers”披露漏洞攻击工具而导致的后续黑攻击威胁。当用户主机系统被该勒索软件入侵后，弹出勒索对话框，提示勒索目的并向用户索要比特币。而用户主机上的重要数据文件，如：照片、图片、文档、压缩包、音频、视频、可执行程序等多种类型的文件，都被恶意加密且后缀名统一修改为“.WNCRY”。目前，安全业界暂未能有效破除该勒索软件的恶意加密行为，用户主机一旦被勒索软件渗透，只能通过重装操作系统的方式来解除勒索行为，但用户重要数据文件不能直接恢复。

　　根据CNVD秘书处普查的结果，互联网上共900余万台主机IP暴露445端口(端口开放)，而中国大陆地区主机IP有300余万台。CNCERT已经着手对勒索软件及相关网络攻击活动进行监测，目前共发现有向全球70多万个目标直接发起的针对MS17-010漏洞的攻击尝试。建议广大用户及时更新Windows已发布的安全补丁，同时在网络边界、内部网络区域、主机资产、数据备份方面做好如下工作：

　　(一)关闭445等端口(其他关联端口如: 135、137、139)的外部网络访问权限，在服务器上关闭不必要的上述服务端口;

　　(二)加强对445等端口(其他关联端口如: 135、137、139)的内部网络区域访问审计，及时发现非授权行为或潜在的攻击行为;

　　(三)由于微软对部分操作系统停止安全更新，建议对Window XP和Windows server 2003主机进行排查(MS17-010更新已不支持)，使用替代操作系统。

　　(四)做好信息系统业务和个人数据的备份。