那是一个再普通不过的周二下午,诸暨某中学的机房管理员李老师正准备下班,却突然接到了学生打来的求助电话:“老师,电脑屏幕变了,所有文件都打不开了,还弹出一个红色的对话框,要我们支付0.5个比特币!”李老师赶到现场,发现整个计算机教室的30台学生机,无一幸免,全部被勒索病毒加密。屏幕上的“赎金通知”赫然在目,所有课件、学生作品和考试数据,瞬间变成了无法读取的乱码。
这起事件的根源其实并不复杂。通过事后日志分析发现,问题出在一台教师机上。该教师长期使用弱密码“123456”,且开启了远程桌面服务。攻击者通过暴力破解该账号后,利用这台教师机作为“跳板”,在内网中横向移动,最终通过共享文件夹将病毒传播到了所有学生终端。更致命的是,学校没有对重要数据进行离线备份的习惯,这意味着即使支付赎金,也不敢保证数据能100%恢复。这一夜,李老师和他的团队在恐慌和自责中度过了漫长的排查时光。
复盘这次“惨痛”的经历,我们总结了三个关键教训。第一,弱密码是内网安全的“放大镜”,攻击者往往从最薄弱的入口突破。学校应立即启用强密码策略,并强制开启双因素认证。第二,网络分段至关重要,教师办公网和学生教学网应该物理隔离或通过VLAN逻辑隔离,防止病毒“一锅端”。第三,“3-2-1”备份原则是最后的救命稻草,即数据至少保留三份副本,存放在两种不同介质上,其中一份必须离线存放。事后,该校重新部署了上网行为管理系统,并建立了每月一次的漏洞扫描机制,才真正从“被动挨打”转向了“主动防御”。