因?yàn)樵诙潭處滋鞎r(shí)間內(nèi)一舉進(jìn)犯了全球70多個(gè)國(guó)家并且在我國(guó)給各大高校狠狠的上了一課，最新的敲詐病毒近期在中文互聯(lián)網(wǎng)上刷屏了。這次敲詐病毒大面積爆發(fā)事情的影響，堪比此前令人喪魂落魄的熊貓燒香病毒，在我國(guó)真正遍及了“網(wǎng)絡(luò)安全”的概念。

小編為大家整理了本次事件中出現(xiàn)一些有價(jià)值的信息供大家參考，限于小編的技術(shù)水平有限，部分內(nèi)容可能存在疏漏，希望大家在評(píng)論區(qū)指出。

病毒勒索事件概況

從5月12日開始，勒索病毒在全球范圍內(nèi)爆發(fā)。

首先中招的是大英帝國(guó)。全英國(guó)上下多達(dá)25家醫(yī)院和醫(yī)療組織遭到大范圍網(wǎng)絡(luò)攻擊。醫(yī)院的網(wǎng)絡(luò)被攻陷，電腦被鎖定，電話打不通.......黑客向每家醫(yī)院索要300比特幣（接近400萬(wàn)人民幣）的贖金，如果3天之內(nèi)沒有交上，贖金翻倍，如果7天內(nèi)沒有支付，黑客將刪除所有資料....

隨后攻擊面積不斷擴(kuò)大，中國(guó)大批高校也出現(xiàn)感染情況。眾多師生的電腦文件被病毒加密，只有支付贖金才能恢復(fù)。作為985院校之一的山東大學(xué)也沒能幸免于難。

目前在傳播的勒索病毒以O(shè)NION和WNCRY兩個(gè)家族為主，中毒后的表現(xiàn)是：受害機(jī)器的磁盤文件會(huì)被篡改為相應(yīng)的后綴，圖片、文檔、視頻、壓縮包等各類資料都無(wú)法正常打開，只有支付贖金才能解密恢復(fù)。這兩類勒索病毒，勒索金額分別是5個(gè)比特幣和300美元，折合人民幣分別為5萬(wàn)多元和2000多元。

勒索事件的起源

事情起源于兩個(gè)頂級(jí)黑客組織的撕X:

NSA（美國(guó)國(guó)家安全局）的最強(qiáng)黑客組織“方程組”和專門販賣重磅信息的頂級(jí)黑客組織“暗影經(jīng)紀(jì)人”。

事件時(shí)間軸1. 在2016 年 8 月有一個(gè)“Shadow Brokers”的黑客組織號(hào)稱入侵了方程式組織竊取了大量機(jī)密文件，并將部分文件公開到了互聯(lián)網(wǎng)上，方程式(Equation Group)據(jù)稱是 NSA(美國(guó)國(guó)家安全局)下屬的黑客組織，有著極高的技術(shù)手段。

這部分被公開的文件包括不少隱蔽的地下的黑客工具。另外 “Shadow Brokers” 還保留了部分文件，打算以公開拍賣的形式出售給出價(jià)最高的競(jìng)價(jià)者，“Shadow Brokers” 預(yù)期的價(jià)格是 100 萬(wàn)比特幣(價(jià)值接近5億美元)。而“Shadow Brokers” 的工具一直沒賣出去。

2. 北京時(shí)間 2017 年 4 月 8 日，“Shadow Brokers” 公布了保留部分的解壓縮密碼，有人將其解壓縮后的上傳到Github網(wǎng)站提供下載。3. 北京時(shí)間 2017 年 4 月 14 日晚，繼上一次公開解壓密碼后，“Shadow Brokers” ，在推特上放出了第二波保留的部分文件。?此次發(fā)現(xiàn)其中包括新的23個(gè)黑客工具。這些黑客工具被命名為OddJob，EasyBee，EternalRomance，F(xiàn)uzzBunch，EducatedScholar，EskimoRoll，EclipsedWing，EsteemAudit，EnglishMansDentist，MofConfig，ErraticGopher，EmphasisMine，EmeraldThread，EternalSynergy，EternalBLUE，EwokFrenzy，ZippyBeer，ExplodingCan，DoublePulsar等。

再后來的事情，就是EternalBLUE（永恒之藍(lán)）被黑客利用來進(jìn)行敲詐。

所以總結(jié)起來就是：

Shadow Brokers這家黑客組織公布了NSA的一些黑客工具，“永恒之藍(lán)”只是其中一個(gè)利用445端口進(jìn)行攻擊的工具。這些工具被人利用，所以導(dǎo)致此病毒爆發(fā)。

勒索病毒的機(jī)制？

勒索病毒是由NSA泄漏的“永恒之藍(lán)”黑客武器傳播的。“永恒之藍(lán)”可遠(yuǎn)程攻擊Windows的445端口（文件共享），如果系統(tǒng)沒有安裝今年3月的微軟補(bǔ)丁，無(wú)需用戶任何操作，只要開機(jī)上網(wǎng)，“永恒之藍(lán)”就能在電腦里執(zhí)行任意代碼，植入勒索病毒等惡意程序。

受害機(jī)器的磁盤文件會(huì)被篡改為相應(yīng)的后綴，圖片、文檔、視頻、壓縮包等各類資料都無(wú)法正常打開，只有支付贖金才能解密恢復(fù)。

為什么此次病毒受害者多為高校、醫(yī)院等機(jī)構(gòu)？

前面已經(jīng)說過，病毒是利用445端口進(jìn)行攻擊。由于國(guó)內(nèi)曾多次出現(xiàn)利用445端口傳播的蠕蟲病毒，部分運(yùn)營(yíng)商對(duì)個(gè)人用戶封掉了445端口。但是教育網(wǎng)并無(wú)此限制，存在大量暴露著445端口的機(jī)器，因此成為不法分子使用NSA黑客武器攻擊的重災(zāi)區(qū)。

中毒后如何解除？

很抱歉，目前幾乎無(wú)解。

先不說高昂的勒索金額，有網(wǎng)友表示即使支付了勒索金額也無(wú)法解除。

如何防范勒索病毒？

1.備份重要文件

病毒以加密文件為手段進(jìn)行勒索，倘若重要文件均已備份，用戶就可以無(wú)所畏懼了。

2.更新補(bǔ)丁

微軟發(fā)布了新的系統(tǒng)補(bǔ)丁幫助用戶防范本次大范圍病毒攻擊，甚至連被拋棄N年的Windows XP 系統(tǒng)都得到更新補(bǔ)丁，這也從側(cè)面證明了本次事件的影響有多惡劣。

3.關(guān)閉網(wǎng)絡(luò)端口（應(yīng)急）

3.1鍵盤Win + R運(yùn)行，輸入“CMD”，啟動(dòng)命令行窗口，注意，Win 8以上版本用戶，需要按Win + X，選擇“命令提示符（管理員）A”。接著輸入：netstat -an 命令，檢查打開的端口中，是否有445端口。

3.22.如果出現(xiàn)上圖式樣，就需要把445端口關(guān)閉，需要依次輸入以下命令：

net stop rdr

net stop srv

net stop netbt

4.針對(duì)某域名進(jìn)行設(shè)定（應(yīng)急）

安全人員發(fā)現(xiàn)，病毒在勒索行為開始前，會(huì)嘗試訪問

www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com這個(gè)網(wǎng)址，一旦病毒無(wú)法訪問到網(wǎng)址，就會(huì)開始勒索行為。好消息是，該域名現(xiàn)在已被注冊(cè)，所以病毒的傳播有望停止。

由于眾所周知的原因，建議大家修改一下HOST，將此網(wǎng)址指向國(guó)內(nèi)可以穩(wěn)定訪問的目標(biāo)網(wǎng)址。

當(dāng)然，這種方法在黑客花幾分鐘修改一下訪問域名后就會(huì)失效，所以還是建議大家采取前兩條方法。

什么人可以不受影響？

目前尚未發(fā)現(xiàn)Windows系統(tǒng)以外的人受到攻擊的消息。也就是說，對(duì)于大部分Linux用戶來說，暫時(shí)沒有必要擔(dān)心受到此次事件的影響。

本次事件的啟示？

1.信息安全是一個(gè)永恒的話題，總是在不斷地演進(jìn)中。道高一尺，魔高一丈，就是在不斷斗法中不斷深入。

2.感謝三大運(yùn)營(yíng)商，漏洞泄露的第一時(shí)間（3月份）就封鎖了個(gè)人用戶的445端口，否則現(xiàn)在受影響的就不僅限于高校用戶了。

3.關(guān)于一部分人來說，遷移到別的操作系統(tǒng)比方Linux真的十分必要，即使只是是為了維護(hù)自個(gè)的資料安全也該進(jìn)行遷移了。

4.今后的IT學(xué)習(xí)路途中，必不可少的學(xué)習(xí)模塊必定是安全。雖然這次Linux未受沖擊，但將來進(jìn)犯必定會(huì)不斷增加，安全也將越來越重要。