近期國內(nèi)多所院校出現(xiàn)遠程漏洞攻擊感染勒索病毒情況，磁盤文件會被病毒加密為.onion后綴，索要300個比特幣才能解鎖電腦文件，造成大量師生資料丟失。這個病毒何方神圣？該怎么預防？

5月12日起，全球范圍內(nèi)爆發(fā)基于Windows網(wǎng)絡共享協(xié)議進行攻擊傳播的蠕蟲惡意代碼，這是不法分子通過改造之前泄露的NSA黑客武器庫中“永恒之藍”攻擊程序發(fā)起的網(wǎng)絡攻擊事件，用戶只要開機上網(wǎng)就可被攻擊。五個小時內(nèi)，包括英國、俄羅斯、整個歐洲以及國內(nèi)多個高校校內(nèi)網(wǎng)、大型企業(yè)內(nèi)網(wǎng)和政府機構專網(wǎng)中招，被勒索支付高額贖金才能解密恢復文件，對重要數(shù)據(jù)造成嚴重損失。

最可怕的是，這是不法分子利用NSA黑客武器庫泄漏的“永恒之藍”發(fā)起的蠕蟲病毒攻擊傳播勒索惡意事件。惡意代碼會掃描開放445文件共享端口的Windows機器，無需用戶任何操作，只要開機上網(wǎng)，不法分子就能在電腦和服務器中植入勒索軟件、遠程控制木馬、虛擬貨幣挖礦機等惡意程序。

永恒之藍來源

為何這個病毒如此迅猛？到底什么來頭？那么事情就要追溯到2016年8月，一個名為 “Shadow Brokers（影子經(jīng)紀人）” 的黑客組織號稱入侵另一個黑客組織“Equation（方程式）”，并且竊取了大量機密文件。那么這個方程式又是什么來頭，為何值得另一個黑客組織大費周章去入侵呢？原來方程式黑客組織具有國家背景，據(jù)稱是 NSA（美國國家安全局）下屬的黑客組織，對于Windows系統(tǒng)漏洞有著深入的研究。

影子經(jīng)紀人將其中部分神器級0day漏洞黑客工具公開開放下載，至此互聯(lián)網(wǎng)的噩夢才剛剛開始。同時自己還保留了部分漏洞工具，以公開拍賣的形式出售， 預期的價格是100萬比特幣（可怕的100億人民幣）。

泄露的漏洞攻擊文件包含多個Windows漏洞的利用工具，只要Windows服務器開了135、445、3389端口中的一個，那么就會“中招” 。本次病毒很可能主要利用了其中的ETERNALBLUE(永恒之藍)攻擊工具，感染病毒的電腦，磁盤文件會被病毒加密為.onion后綴，只有支付高額贖金才能解密恢復文件，對個人數(shù)據(jù)造成嚴重損失。（小編畫外音：贖金高達320萬人民幣啊，交了錢都不一定給你恢復�。�

按照微軟3月14日公布的漏洞詳情：“當 Microsoft 服務器消息塊 1.0 (SMBv1) 服務器處理某些請求時，存在多個遠程執(zhí)行代碼漏洞。成功利用這些漏洞的攻擊者可以獲取在目標系統(tǒng)上執(zhí)行代碼的能力。為了利用此漏洞，在多數(shù)情況下，未經(jīng)身份驗證的攻擊者可能向目標 SMBv1 服務器發(fā)送經(jīng)特殊設計的數(shù)據(jù)包”。同時微軟已經(jīng)發(fā)出補丁MS17-010。

為什么中招的大部分都是校園網(wǎng)用戶？因為早前已經(jīng)有過幾波利用445端口的大范圍病毒攻擊，大部分網(wǎng)絡運營商都選擇禁止該端口來防止病毒感染，而大學所使用的教育網(wǎng)不在此列，而且服務器安全維護工作落后，導致此次大量學生感染勒索病毒。

如何防范：

1、關閉445、135、137、138、139端口，關閉網(wǎng)絡共享。 關閉方法 傳送門

2、為計算機安裝最新的安全補丁，微軟已發(fā)布補丁MS17-010修復了“永恒之藍”攻擊的系統(tǒng)漏洞，請盡快安裝此安全補丁。微軟補丁MS17-010 下載地址

3、對于windows XP、2003等微軟已不再提供安全更新的機器，可使用360“NSA武器庫免疫工具”檢測系統(tǒng)是否存在漏洞，并關閉受到漏洞影響的端口，可以避免遭到勒索軟件等病毒的侵害。360“NSA武器庫免疫工具”下載地址先拔網(wǎng)線再開機，確認360運轉(zhuǎn)正常，office正常。

4、盡快（今后定期）備份自己電腦中的重要文件資料到移動硬盤、U盤，備份完后脫機保存該磁盤。

5、建議仍在使用windows xp，windows 2003操作系統(tǒng)的用戶盡快升級到window 7/windows 10，或windows 2008/2012/2016操作系統(tǒng)。