“勒索软件”带来的影响仍在中国高校中蔓延,不少学生因病毒攻击,包括毕业设计、论文及大学社会实践成果在内的重要资料丢失,影响科研及毕业。
攻击发生后,大量高校发布预警信息,提示校园网用户做好预防,并有学校“安排专人拉网式排查公共机房电脑、所有公共区域非个人使用的电脑”。
也有声音认为,高校成为此次病毒攻击重灾区,暴露出来的校园网络安全问题值得重视,尤其是部分高校出于成本考虑,尚未安装正版的新操作系统,这为勒索病毒攻击提供了可乘之机。
病毒攻击影响学生论文答辩
“勒索软件”病毒攻击让部分高校遭受重创,尤其是一些面临毕业的学生,毕业设计、论文等重要资料被强制锁定,难以找回。
静宜(化名)是南昌大学新闻系大四的学生,下个月初她就要进行论文答辩。在这个节骨眼上,她的电脑受到了“onion病毒”的攻击,已经改了部分的论文二稿被强制锁定,只能重新进行论文修改。
静宜告诉记者,她的电脑受到病毒攻击是在5月12号的下午。“我的校园网还没过期,所以一直连的NCU,下午电脑一直开的联网状态,但是突然发现网页打不开,一直显示请稍后,我就开了电脑管家修复联网。”
5月12号晚上7点多,为了在教务系统内确认学费缴费,静宜再次试图打开网页,依旧未能成功。此时,电脑管家提示静宜她的电脑存在木马病毒。按照电脑管家的指示,静宜开始查杀病毒。“过了一个多小时才杀完,然后就看到桌面的文档都打不开了。我就看f盘的论文,在f盘发现了一个名为“please read me”的记事本。”
静宜说,这个“please read me”的记事本就是勒索信。在勒索信的下方还有一个叫“wanadecryptor”应用程序,将这个程序打开就能看到中文勒索信。“我的论文一稿在邮箱里有,但是改了部分的二稿只有电脑里有。”提到此事,静宜显然心有余悸,她告诉记者,不仅论文的二稿需要再次修改,论文的参考资料和相关数据也得再次下载。
除了论文受到影响,静宜平时的作业以及出去旅游的照片也都无法打开,值得庆幸的是,重要的实习作品已经提交。“文件被黑客加密是没办法解的,我这些个人资料相对企业什么的机密文件算没那么重要的,只能自己解决。”静宜十分无奈,“我的电脑已经送去格式化重装系统了,好怕又中毒。”
而对于山东大学环境科学与工程研一的学生萧炜(化名)来说,这已经不是他第一次听到电脑受到“onion病毒”受到攻击的新闻。
萧炜向澎湃记者透露,在课题组的办公室里,上周五就有几台电脑受到了“onion病毒”的攻击,本周又有2/3台电脑中招。“当时就只能是拔了网线,也不知道应该怎么解决。”发生电脑中病毒之后,萧炜他们向学校反映了相关情况,但学校也解决不了,说是学生自己的问题,“只能及时备份了。”
萧炜告诉记者,办公室的师兄师姐们的科研资料以及数据都无法打开,论文答辩也因此受到了影响。“研三的师兄在准备毕业,研二的师姐在开题。”萧炜说,“之前有的会在U盘里有备份,但是近期的就只能重做了。”
他认为,此次受到影响的多为办公室的电脑,“onion病毒”针对的是教育网的漏洞,个人的电脑因为大多是win10的系统,受到攻击的概率比较小。
浙江某高校学生5月13日告诉澎湃新闻,病毒攻击导致“所有东西都没了,各种作品、照片……这些都没毕业设计重要”。“后天(5月15日)答辩,结果出这档子事。”这位学生称,幸运的是,病毒一开始先侵入桌面上所有文件,存放论文的e盘并未受到波及,自己便把毕业设计拷了出来。“今天(5月13日)早上把电脑拿去修,所有的东西都沦陷了。”
拉网式排查预防“勒索”
国家互联网应急中心5月13日通告称,此次攻击主要基于445端口,互联网上共900余万台主机IP暴露该端口(端口开放),中国大陆地区有300余万台。早在4月中旬,该中心即对此发出预警信息,提示病毒将对使用“Windows XP和Windows Server 2003等微软不再提供安全更新的系统”的用户构成攻击威胁。
据新华网报道,中国高等教育学会教育信息化分会网络信息安全工作组发布声明,经初步调查,此类勒索病毒利用了基于445端口传播扩散的SMB漏洞,部分学校感染台数较多,大量重要信息被加密。
中国信息安全研究院副院长左晓栋称,国内曾多次出现利用445端口传播的蠕虫病毒,因此部分运营商对个人用户封掉该端口。但教育网并无此限制,存在大量暴露该端口的机器,成为被攻击的重灾区。
据澎湃新闻了解,4月15日,清华大学为防止校园网内部主机受攻击,信息化工作办公室率先发布了《关于校园网出口封禁TCP端口139、445、3389的通知》(以下简称《通知》)。
《通知》称:“由于近日有黑客组织放出针对windows操作系统的攻击代码,使得window操作系统面临入侵风险,被攻击的结果可能导致windows操作系统重要文件被修改,威胁等级较高。”
因此,该《通知》提出,“基于上述原因,为防止校园网内部主机收到外部攻击,校园网出口将暂时封禁TCP协议139端口、445端口、3389端口的入校访问。”
5月13日,清华大学发布通知称,最近两次全球大规模网络安全疫情,均未大面积危害校园网络和用户。
陕西中医药大学同样是因此“避难”。5月13日,该校发布的通知称,因“校园网长期按照国家互联网应急中心发布的安全信息采取规范的安全策略,禁止了该病毒利用校园网出口从校外进入校内的途径,因此我校目前未出现被该病毒感染的案例”。
目前,包括天津大学、山东大学、太原理工大学等在内的受攻击高校均已封禁相关端口。
鉴于病毒攻击规模进一步扩大的趋势仍然存在,越来越多的高校拉响预警。同济大学在5月13日的紧急通知中称,此次勒索软件感染事件针对微软的Windows操作系统,扩散速度快、影响力度大、破坏性强,如感染该病毒,电脑终端里的数据将产生不可逆的损坏和丢失,学校将“安排专人拉网式排查公共机房电脑、所有公共区域非个人使用的电脑”。
也有声音认为,高校成为此次病毒攻击重灾区,暴露出来的校园网络安全问题值得重视,尤其是很多高校出于成本考虑,安全意识淡薄,不安装正版的新操作系统,老旧的盗版windows xp等系统在校园里大行其道,这为勒索病毒攻击提供了可乘之机。
校园网受病毒攻击后,山东大学信息化工作办公室在通知中建议用户在学校官网上免费下载、安装正版的windows操作系统。但江苏某高校信息化办公室一名工作人员5月13日告诉澎湃新闻,该校没有免费的正版系统供用户下载,据其了解,学校里的工作电脑,“盗版的居多”。
(澎湃新闻记者)