近期國(guó)內(nèi)多所院校出現(xiàn)遠(yuǎn)程漏洞攻擊感染勒索病毒情況，磁盤文件會(huì)被病毒加密為.onion后綴，索要300個(gè)比特幣才能解鎖電腦文件，造成大量師生資料丟失。這個(gè)病毒何方神圣？該怎么預(yù)防？

5月12日起，全球范圍內(nèi)爆發(fā)基于Windows網(wǎng)絡(luò)共享協(xié)議進(jìn)行攻擊傳播的蠕蟲惡意代碼，這是不法分子通過改造之前泄露的NSA黑客武器庫中“永恒之藍(lán)”攻擊程序發(fā)起的網(wǎng)絡(luò)攻擊事件，用戶只要開機(jī)上網(wǎng)就可被攻擊。五個(gè)小時(shí)內(nèi)，包括英國(guó)、俄羅斯、整個(gè)歐洲以及國(guó)內(nèi)多個(gè)高校校內(nèi)網(wǎng)、大型企業(yè)內(nèi)網(wǎng)和政府機(jī)構(gòu)專網(wǎng)中招，被勒索支付高額贖金才能解密恢復(fù)文件，對(duì)重要數(shù)據(jù)造成嚴(yán)重?fù)p失。

最可怕的是，這是不法分子利用NSA黑客武器庫泄漏的“永恒之藍(lán)”發(fā)起的蠕蟲病毒攻擊傳播勒索惡意事件。惡意代碼會(huì)掃描開放445文件共享端口的Windows機(jī)器，無需用戶任何操作，只要開機(jī)上網(wǎng)，不法分子就能在電腦和服務(wù)器中植入勒索軟件、遠(yuǎn)程控制木馬、虛擬貨幣挖礦機(jī)等惡意程序。

永恒之藍(lán)來源

為何這個(gè)病毒如此迅猛？到底什么來頭？那么事情就要追溯到2016年8月，一個(gè)名為 “Shadow Brokers（影子經(jīng)紀(jì)人）” 的黑客組織號(hào)稱入侵另一個(gè)黑客組織“Equation（方程式）”，并且竊取了大量機(jī)密文件。那么這個(gè)方程式又是什么來頭，為何值得另一個(gè)黑客組織大費(fèi)周章去入侵呢？原來方程式黑客組織具有國(guó)家背景，據(jù)稱是 NSA（美國(guó)國(guó)家安全局）下屬的黑客組織，對(duì)于Windows系統(tǒng)漏洞有著深入的研究。

影子經(jīng)紀(jì)人將其中部分神器級(jí)0day漏洞黑客工具公開開放下載，至此互聯(lián)網(wǎng)的噩夢(mèng)才剛剛開始。同時(shí)自己還保留了部分漏洞工具，以公開拍賣的形式出售， 預(yù)期的價(jià)格是100萬比特幣（可怕的100億人民幣）。

泄露的漏洞攻擊文件包含多個(gè)Windows漏洞的利用工具，只要Windows服務(wù)器開了135、445、3389端口中的一個(gè)，那么就會(huì)“中招” 。本次病毒很可能主要利用了其中的ETERNALBLUE(永恒之藍(lán))攻擊工具，感染病毒的電腦，磁盤文件會(huì)被病毒加密為.onion后綴，只有支付高額贖金才能解密恢復(fù)文件，對(duì)個(gè)人數(shù)據(jù)造成嚴(yán)重?fù)p失。（小編畫外音：贖金高達(dá)320萬人民幣啊，交了錢都不一定給你恢復(fù)啊）

按照微軟3月14日公布的漏洞詳情：“當(dāng) Microsoft 服務(wù)器消息塊 1.0 (SMBv1) 服務(wù)器處理某些請(qǐng)求時(shí)，存在多個(gè)遠(yuǎn)程執(zhí)行代碼漏洞。成功利用這些漏洞的攻擊者可以獲取在目標(biāo)系統(tǒng)上執(zhí)行代碼的能力。為了利用此漏洞，在多數(shù)情況下，未經(jīng)身份驗(yàn)證的攻擊者可能向目標(biāo) SMBv1 服務(wù)器發(fā)送經(jīng)特殊設(shè)計(jì)的數(shù)據(jù)包”。同時(shí)微軟已經(jīng)發(fā)出補(bǔ)丁MS17-010。

為什么中招的大部分都是校園網(wǎng)用戶？因?yàn)樵缜耙呀?jīng)有過幾波利用445端口的大范圍病毒攻擊，大部分網(wǎng)絡(luò)運(yùn)營(yíng)商都選擇禁止該端口來防止病毒感染，而大學(xué)所使用的教育網(wǎng)不在此列，而且服務(wù)器安全維護(hù)工作落后，導(dǎo)致此次大量學(xué)生感染勒索病毒。

如何防范：

1、關(guān)閉445、135、137、138、139端口，關(guān)閉網(wǎng)絡(luò)共享。 關(guān)閉方法 傳送門

2、為計(jì)算機(jī)安裝最新的安全補(bǔ)丁，微軟已發(fā)布補(bǔ)丁MS17-010修復(fù)了“永恒之藍(lán)”攻擊的系統(tǒng)漏洞，請(qǐng)盡快安裝此安全補(bǔ)丁。微軟補(bǔ)丁MS17-010 下載地址

3、對(duì)于windows XP、2003等微軟已不再提供安全更新的機(jī)器，可使用360“NSA武器庫免疫工具”檢測(cè)系統(tǒng)是否存在漏洞，并關(guān)閉受到漏洞影響的端口，可以避免遭到勒索軟件等病毒的侵害。360“NSA武器庫免疫工具”下載地址先拔網(wǎng)線再開機(jī)，確認(rèn)360運(yùn)轉(zhuǎn)正常，office正常。

4、盡快（今后定期）備份自己電腦中的重要文件資料到移動(dòng)硬盤、U盤，備份完后脫機(jī)保存該磁盤。

5、建議仍在使用windows xp，windows 2003操作系統(tǒng)的用戶盡快升級(jí)到window 7/windows 10，或windows 2008/2012/2016操作系統(tǒng)。