因為在短短幾天時間內一舉進犯了全球70多個國家并且在我國給各大高校狠狠的上了一課，最新的敲詐病毒近期在中文互聯網上刷屏了。這次敲詐病毒大面積爆發(fā)事情的影響，堪比此前令人喪魂落魄的熊貓燒香病毒，在我國真正遍及了“網絡安全”的概念。

小編為大家整理了本次事件中出現一些有價值的信息供大家參考，限于小編的技術水平有限，部分內容可能存在疏漏，希望大家在評論區(qū)指出。

病毒勒索事件概況

從5月12日開始，勒索病毒在全球范圍內爆發(fā)。

首先中招的是大英帝國。全英國上下多達25家醫(yī)院和醫(yī)療組織遭到大范圍網絡攻擊。醫(yī)院的網絡被攻陷，電腦被鎖定，電話打不通.......黑客向每家醫(yī)院索要300比特幣（接近400萬人民幣）的贖金，如果3天之內沒有交上，贖金翻倍，如果7天內沒有支付，黑客將刪除所有資料....

隨后攻擊面積不斷擴大，中國大批高校也出現感染情況。眾多師生的電腦文件被病毒加密，只有支付贖金才能恢復。作為985院校之一的山東大學也沒能幸免于難。

目前在傳播的勒索病毒以ONION和WNCRY兩個家族為主，中毒后的表現是：受害機器的磁盤文件會被篡改為相應的后綴，圖片、文檔、視頻、壓縮包等各類資料都無法正常打開，只有支付贖金才能解密恢復。這兩類勒索病毒，勒索金額分別是5個比特幣和300美元，折合人民幣分別為5萬多元和2000多元。

勒索事件的起源

事情起源于兩個頂級黑客組織的撕X:

NSA（美國國家安全局）的最強黑客組織“方程組”和專門販賣重磅信息的頂級黑客組織“暗影經紀人”。

事件時間軸1. 在2016 年 8 月有一個“Shadow Brokers”的黑客組織號稱入侵了方程式組織竊取了大量機密文件，并將部分文件公開到了互聯網上，方程式(Equation Group)據稱是 NSA(美國國家安全局)下屬的黑客組織，有著極高的技術手段。

這部分被公開的文件包括不少隱蔽的地下的黑客工具。另外 “Shadow Brokers” 還保留了部分文件，打算以公開拍賣的形式出售給出價最高的競價者，“Shadow Brokers” 預期的價格是 100 萬比特幣(價值接近5億美元)。而“Shadow Brokers” 的工具一直沒賣出去。

2. 北京時間 2017 年 4 月 8 日，“Shadow Brokers” 公布了保留部分的解壓縮密碼，有人將其解壓縮后的上傳到Github網站提供下載。3. 北京時間 2017 年 4 月 14 日晚，繼上一次公開解壓密碼后，“Shadow Brokers” ，在推特上放出了第二波保留的部分文件。?此次發(fā)現其中包括新的23個黑客工具。這些黑客工具被命名為OddJob，EasyBee，EternalRomance，FuzzBunch，EducatedScholar，EskimoRoll，EclipsedWing，EsteemAudit，EnglishMansDentist，MofConfig，ErraticGopher，EmphasisMine，EmeraldThread，EternalSynergy，EternalBLUE，EwokFrenzy，ZippyBeer，ExplodingCan，DoublePulsar等。

再后來的事情，就是EternalBLUE（永恒之藍）被黑客利用來進行敲詐。

所以總結起來就是：

Shadow Brokers這家黑客組織公布了NSA的一些黑客工具，“永恒之藍”只是其中一個利用445端口進行攻擊的工具。這些工具被人利用，所以導致此病毒爆發(fā)。

勒索病毒的機制？

勒索病毒是由NSA泄漏的“永恒之藍”黑客武器傳播的。“永恒之藍”可遠程攻擊Windows的445端口（文件共享），如果系統沒有安裝今年3月的微軟補丁，無需用戶任何操作，只要開機上網，“永恒之藍”就能在電腦里執(zhí)行任意代碼，植入勒索病毒等惡意程序。

受害機器的磁盤文件會被篡改為相應的后綴，圖片、文檔、視頻、壓縮包等各類資料都無法正常打開，只有支付贖金才能解密恢復。

為什么此次病毒受害者多為高校、醫(yī)院等機構？

前面已經說過，病毒是利用445端口進行攻擊。由于國內曾多次出現利用445端口傳播的蠕蟲病毒，部分運營商對個人用戶封掉了445端口。但是教育網并無此限制，存在大量暴露著445端口的機器，因此成為不法分子使用NSA黑客武器攻擊的重災區(qū)。

中毒后如何解除？

很抱歉，目前幾乎無解。

先不說高昂的勒索金額，有網友表示即使支付了勒索金額也無法解除。

如何防范勒索病毒？

1.備份重要文件

病毒以加密文件為手段進行勒索，倘若重要文件均已備份，用戶就可以無所畏懼了。

2.更新補丁

微軟發(fā)布了新的系統補丁幫助用戶防范本次大范圍病毒攻擊，甚至連被拋棄N年的Windows XP 系統都得到更新補丁，這也從側面證明了本次事件的影響有多惡劣。

3.關閉網絡端口（應急）

3.1鍵盤Win + R運行，輸入“CMD”，啟動命令行窗口，注意，Win 8以上版本用戶，需要按Win + X，選擇“命令提示符（管理員）A”。接著輸入：netstat -an 命令，檢查打開的端口中，是否有445端口。

3.22.如果出現上圖式樣，就需要把445端口關閉，需要依次輸入以下命令：

net stop rdr

net stop srv

net stop netbt

4.針對某域名進行設定（應急）

安全人員發(fā)現，病毒在勒索行為開始前，會嘗試訪問

www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com這個網址，一旦病毒無法訪問到網址，就會開始勒索行為。好消息是，該域名現在已被注冊，所以病毒的傳播有望停止。

由于眾所周知的原因，建議大家修改一下HOST，將此網址指向國內可以穩(wěn)定訪問的目標網址。

當然，這種方法在黑客花幾分鐘修改一下訪問域名后就會失效，所以還是建議大家采取前兩條方法。

什么人可以不受影響？

目前尚未發(fā)現Windows系統以外的人受到攻擊的消息。也就是說，對于大部分Linux用戶來說，暫時沒有必要擔心受到此次事件的影響。

本次事件的啟示？

1.信息安全是一個永恒的話題，總是在不斷地演進中。道高一尺，魔高一丈，就是在不斷斗法中不斷深入。

2.感謝三大運營商，漏洞泄露的第一時間（3月份）就封鎖了個人用戶的445端口，否則現在受影響的就不僅限于高校用戶了。

3.關于一部分人來說，遷移到別的操作系統比方Linux真的十分必要，即使只是是為了維護自個的資料安全也該進行遷移了。

4.今后的IT學習路途中，必不可少的學習模塊必定是安全。雖然這次Linux未受沖擊，但將來進犯必定會不斷增加，安全也將越來越重要。