勒索病毒來襲 金融系統急自查

　　原標題：勒索病毒來襲 銀監會、證監會發文金融系統急自查        

　　上周末，一場大規模的勒索病毒肆虐全球。受害者的電腦會被病毒鎖定，需向黑客支付比特幣之后才能解開。

　　5月14日，新京報記者從證監會、銀監會、券商、銀行等機構證實，證監會和銀監會均針對近日全球爆發的大規模比特幣勒索病毒感染事件發文要求各地證監局、銀監局以及券商、銀行、基金等機構進行自查并做好防護。

　　有消息稱，在這場病毒侵襲中，高校受到的攻擊最為嚴重，金融系統的安全也引發了廣泛關注。這場病毒來自何方？為何會選擇比特幣作為解鎖手段？高校為何“首當其沖”？金融系統是否將遭受沖擊？新京報記者采訪相關監管部門和企業，追問這場病毒帶來的影響。

　　證監會內部人士稱14日停網待打補丁

　　昨日，監管部門內部人士向新京報記者表示證監會和銀監會首先要求自查并做好技術防護，同時，發文到地方監管局要求其落實文件，并將文件轉給分管金融機構自查并做好防護。

　　證監會內部人士對新京報記者表示，5月14日，會里已下發文件要求自查并做好防護。為了隔離比特幣勒索病毒，證監會于5月14日全天停網，并將于15日上班時間進行全方位打“補丁”。不過，“每個電腦安裝補丁應該很快就能好”。

　　昨晚，多地銀監局人士向新京報記者確認，5月14日已經收到銀監會統一下發的文件，要求銀監局做好部署防范。同時，根據批示，在自查自護的同時，要求銀監局將文件轉給分管金融機構。

　　新京報記者另從多家銀行獲悉，銀行已經下發《關于防范“蠕蟲”式勒索軟件（ONION）病毒攻擊的通知》（下稱《通知》），要求提前做好病毒的防范工作，仔細逐一排查各項信息系統的漏洞隱患，防微杜漸，將信息科技風險降到最低。

　　新京報記者拿到的多份《通知》顯示，多家銀行主要采取了網絡安全防護措施及終端和數據安全防護措施：檢查互聯網出口和各區域網絡防火墻是否關閉或禁用445端口的訪問。要求各個機構電腦聯絡員第一時間將病毒感染信息發送給所在機構的微信群，并通知所在機構的所有員工，近期盡量避免接入互聯網。

　　同時，上述銀行科技信息部為所有Windows操作系統的電腦終端下載安裝微軟發布的補丁，修復病毒攻擊的漏洞。

　　此外，上述銀行還要求，做好備份電腦中的重要文件資料到移動存儲介質，備份后脫機保存存儲介質。如果發生“蠕蟲”中毒事件，科技部第一時間隔離感染，關閉銀行互聯網出口和445端口，避免“蠕蟲”在內網的快速傳播。

　　新京報記者從某券商信息技術總部接到的《通知》看出，證監會機構部、當地證監局和證券業協會已要求券商自查并做好預防保護，并于5月14日中午12點前反饋。

　　為了應對證監會的《通知》，該券商也發了應對通知，制定相關技術應急處置方案，并進行各業務系統的檢查和持續加固。應急處置方案通過郵件、短信、OA系統等發出，提醒各部門、各分公司、子公司、營業部老總安排人員14日中午前完成協同檢查，落實防護措施。

　　支付寶微信稱未受影響

　　相較于傳統端口，比特幣病毒席卷之下，主要依賴網絡進行支付的機構是否受到影響？14日下午，多家網絡支付機構向新京報記者表示，目前沒有受到病毒的影響。

　　支付寶方面表示，支付寶“沒有受到任何影響”。支付寶相關負責人也向記者回應稱，“中石油斷網確切原因我們尚不清楚，但可以確認的是支付寶與中石油的支付接口目前無任何問題，可正常提供支付服務。”

　　相關人士所稱的“斷網”，源自5月14日，中石油在官網發布公告確認，因受比特幣勒索病毒影響，5月12日晚間，公司所屬部分加油站正常運行受到波及，導致只能使用加油卡和現金進行支付。

　　上述支付寶相關負責人表示，支付寶目前并沒有受到該病毒任何影響。“支付寶及時發現了此威脅并進行了全面保護。我們會一直為用戶提供最好的安全保護。”

　　此外，騰訊財付通相關人士當日也向記者表示，“沒有影響”。

　　該人士向記者提供一份騰訊安全團隊的舉措材料顯示，在防范上，騰訊安全聯合實驗室反病毒實驗室負責人、騰訊電腦管家安全技術專家馬勁松指出，可采取幾種手段。一是臨時關閉端口；同時，及時更新Windows已發布的安全補丁。此外，可利用騰訊電腦管家“勒索病毒免疫工具”進行修復。另外，重要的資料一定要備份。

　　5月14日下午，記者分別通過支付寶和微信進行一筆消費支付，支付過程中均未出現異常。

　　另外，將蘋果iTunes作為最大客戶的易聯支付董事長朱啟文對新京報記者表示，目前公司沒有受到影響。在辦公環境，易聯支付不會接受任何從外界發起的連接。

　　中石油加油站系統遭攻擊，昨起部分恢復

　　全球比特幣勒索病毒爆發，國內部分加油站也成為受害者。

　　中石油5月14日下午在官網發布公告確認，因全球比特幣勒索病毒爆發，公司所屬部分加油站正常運行受到波及。截至14日12時80%以上加油站已恢復網絡連接，受病毒感染的加油站陸續恢復加油卡、銀行卡、第三方支付功能。

　　中石油稱，5月12日22時30分左右，因全球比特幣勒索病毒爆發，公司所屬部分加油站正常運行受到波及，病毒導致加油站加油卡、銀行卡、第三方支付等網絡支付功能無法使用。

　　在國內，中石油為僅次于中石化的第二大加油站運營企業，其他同業企業并未發生被攻擊事件。

　　在加油站管控系統服務商喂車科技官微發布的一篇文章中，喂車科技表示，傳統油站系統更容易遭受病毒攻擊的原因在于時間久遠，缺乏有效的安全維護，更容易被病毒利用，而且網絡方案陳舊，隔離度不足，更容易引起病毒傳播。

　　不過，另一位加油站行業人士表示，客觀而言，如果沒有這次攻擊的話，中石油的系統在行業內并不算太差。這次中石油支付系統出事其實有些“倒霉”，因為跟別的同行業企業相比，就他們使用了Windows系統。

　　5月14日，一位加油站企業負責人對新京報記者表示，中石油支付系統，因為建立在Windows系統上，未做相關端口的安全防范及補丁修復，由漏洞工具“永恒之藍”攻擊導致中毒。喂車科技等其他同業企業也有部分服務建立在Windows系統之上，不過其及時關注到漏洞發布并做了防范，所以未受影響。

　　面對突發事件，5月13日，中石油緊急中斷所有加油站上連網絡端口，并會同有關網絡安全專家連夜開展處置工作，全面排查風險，制定技術解決方案。截至14日12時80%以上加油站已恢復網絡連接。

　　5月14日，新京報記者來到位于大興區小紅門路的中石油加油站，有車主正在使用現金支付。工作人員告訴記者，14日上午本站恢復微信等支付功能正常使用，中午時候中石油其他加油站也恢復正常。

　　對于加油站未來如何規避病毒攻擊，上述加油站企業負責人建議，系統安全是支付系統關注的重點，首先秉著最小權限和最小開放的原則，需要對整個系統進行權限設置管理，關閉不必要的端口及服務。其次，對于運行程序的基礎系統需要隨時關注其動態與世界同步信息，第一時間發現問題解決問題。

　　■ 抗毒一線

　　“開始很蒙，不知病毒怎么進來的”

　　外界意識到永恒之藍病毒是在上周末，對于從事安全工作的工程師，早在上周前兩天，就已經開始忙碌起來了。

　　在最近一周的病毒狙擊戰中，安全工程師們歷經失落與興奮，心情會隨著病毒的一波波攻擊而跌宕。

　　“失落感是上周前幾天，從對系統日志等的觀察中已經發現了一些異常，但那段時間很蒙，不知道病毒怎么進來的，經過幾天跟蹤后查到原因，反而豁然開朗，因為這就有目標了，只要找到原因，一步一步向前推導來排查，就不害怕了”，在一家互聯網安全軟件公司工作的反病毒人員劉海粟，向新京報記者講述了他近一周的病毒狙擊戰的過程。

　　在病毒爆發的周五（12日）晚上，劉海粟接到同事朋友的求助，朋友遭遇的這場嚴重的入侵行為，恰好是之前該公司團隊就已經在跟進的入侵方法，那時候覺得“這已經是不幸中的萬幸”，知道病毒是如何來的，不用再從零開始復盤，可以有的放矢，跟團隊一起提出應對策略。

　　在與勒索病毒交戰過程中，劉海粟還記得曙光乍現的那一刻。在幫助用戶遠程看電腦Windows系統日志的過程中，因為日志很粗略，起初沒抱太大希望，但突然看到服務啟動這一項，憑經驗看不是正常程序，從而鎖定病毒樣本。鎖定病毒樣本之后，后續的分析就有跡可循，相對簡單多了。

　　據該公司團隊中的首席安全工程師回憶，公司在12日晚就緊急連夜成立聯合指揮部，很多安全領域員工24小時都守在公司，“包括查殺蠕蟲，幫助用戶防護，給用戶免疫，用戶已經中招的，要給用戶恢復。”

　　劉海粟2010年開始從事計算機安全相關領域的工作，此次遭遇的病毒是他職業生涯中遇到的最大規模的一次。與2006年流行的熊貓燒香相比，熊貓燒香通過殺毒打補丁就可以解決，而這次增加了勒索軟件，即便查殺木馬之后，文件被加密了，依然無法恢復，損失更為嚴重。

　　“其實安全工程師的工作挺不被理解的。很多中小企業老板認為安全就是花錢后沒收益，能達到的極限就是不出事，很多人認為進行安全防護沒必要。但這次病毒給他們敲了警鐘，一旦公司內部有人中招，網絡系統全部崩潰，就什么都來不及了”，劉海粟總結自己的安全防護戰時說。

　　追問1 黑客為何選擇比特幣？

　　在本次襲擊中，黑客指明要求用比特幣進行匯款，為什么選擇比特幣？

　　比特幣是一種基于區塊鏈技術的“數字貨幣”，還有去中心化、匿名性的特點。2013年，央行曾明確比特幣系一種特定的虛擬商品，不具有與貨幣等同的法律地位，不能且不應作為貨幣在市場上流通使用。

　　在此次病毒傳播中，不少人把矛頭指向了比特幣匿名、能夠快速全球轉賬的特征。“比特幣一開始也是流通于計算機社區的交易，黑客更能清楚原理。”一位分析人士對新京報記者解釋。

　　浙江大學互聯網金融研究院張瑞東教授指出，這種匿名性相對于普通匯款而言，增加了監管對流向監管的難度。

　　有比特幣玩家對記者介紹，實際操作上，在一些平臺上用比特幣交易，只需輸入一串數字地址，等待確認交易后，通過少數幾步即可完成提幣（將比特幣直接從一家平臺轉移到另外一家平臺，目前多家國內平臺已經暫停）操作。

　　相對于傳統銀行匯款而言，這種匯款方式要比通過銀行跨境支付、通過層層機構便捷得多。去年，央行還下調了大額現金交易的申報額度，超過后需向外匯局等部門報備，且個人換匯還有1年5萬美元的額度限制。

　　對此，也有平臺人士稱，“100%匿名并不準確”。幣行一位分析師對新京報記者解釋，對于比特幣來說，涉及比特幣的錢包的每一項交易都將永久保存在相應的區塊鏈中。

　　“發送和接收比特幣就像作者用筆名發表作品一樣，如果一個作者的化名和他們的身份聯系在一起，他們曾經寫下的任何東西都會與他們聯系在一起。”他解釋，交易并非無法完全追溯，Haobtc一位挖礦負責人也對記者表達了同樣看法。

　　不過，也有分析人士認為，如果勒索者收到比特幣后并不使用和交易，追蹤身份仍然具有相當難度。

　　昨日，在病毒傳播影響下，比特幣仍保持了穩健態勢，長時間在1萬元／人民幣的價位上游走，截至記者發稿報10771元／枚。據幣行的行情顯示，從4月開始比特幣“牛市”啟動，從4月上旬的一枚比特幣兌換7000元人民幣的價位，火箭般沖破1萬人民幣兌換1枚比特幣的大關。

　　今年1、2月份，比特幣曾經遭遇了監管風暴。央行對幣行、比特幣中國以及火幣網（據稱占領了國內95%市場的三家平臺）進行了現場檢查，并直指融資融幣等違規問題。

　　在監管風暴過后，幾家平臺陸續暫停了融資融幣和提幣業務，并宣布開始征收交易費。

　　追問2 中國高校何以成重災區？

　　互聯網分析人士何帥認為，從本次中國高校成勒索病毒重災區可以反映出我國信息化建設中出現的兩個極端現象，即信息化程度高，但缺乏統一規劃和科學管理。

　　有一個不容忽視的現象是，XP系統在中國高校以及民企、國企、大型機構有很高的市場占有率。盡管微軟操作系統早已推出Vista、7、8、10四代，國際權威評測機構StatCounter統計，2017年1月份XP系統依然在中國市場保持17.79%的占有率，其中大部分份額集中在上述提到的機構。

　　360反病毒人員劉海粟認為，上述分析有一定道理，但版本陳舊并不是這次病毒蔓延的全部原因，用戶不重視更新同樣是不可忽略的原因。這次受到病毒感染的也有一些XP以后的系統，Windows7用戶量很大，但如果用戶對打補丁等安全措施不敏感，沒有及時更新，也依然可能遭遇病毒攻擊。

　　那么，Windows系統是否需要反思呢？

　　在此次勒索病毒規模爆發后,5月13日，微軟發言人稱，所有使用最新操作系統（含免費殺毒軟件）并開啟Windows更新的用戶都已經得到保護，不被此次攻擊影響。與此同時，為了更好地保護所有Windows用戶，我們也已經特別為使用早期軟件的用戶，包括WindowsXP、Windows8和Windows Server2003提供了緊急更新。此外，其表示已在第一時間，將更新分享給國內所有殺毒軟件和安全軟件公司。以便于他們為所有Windows的用戶提供保護。

　　在劉海粟看來，微軟在這次病毒大爆發之后雖然采取了特事特辦的措施，但是從重視安全角度方面也有一定責任。

　　這次的漏洞從Windows XP版本時就已經存在，而微軟不再給XP系統更新，宣布停止服務，在這次如此嚴重的漏洞面前沒有及時給XP系統提供補丁，而是在病毒大爆發之后才給XP用戶追加補丁，有點后知后覺的感覺。微軟不是專業安全公司，作為普通公司，在這點上沒有過錯可言，但是確實存在一些疏忽。

　　就此次事件，對于用戶而言，要提高安全防護意識。很多人認為殺毒軟件、打補丁會拖慢系統，所以不做相關的安全措施。這樣盡管系統感覺清爽，但一旦出現問題，結果就不可挽回。（記者 金彧 陳鵬 宓迪 劉素宏 趙毅波）