一夜之間，身邊的好多同學的電腦都中病毒了，特別是許多正在寫畢業論文的同學可真是坑大了，磁碟檔案會被病毒加密為.onion字尾，只有支付高額贖金才能解密恢復檔案，對學習資料和個人資料造成嚴重損失。根據網路安全機構通報，這是不法分子利用NSA黑客武器庫洩漏的“永恆之藍”發起的病毒攻擊事件。“永恆之藍”會掃描開放445檔案共享埠的Windows機器，無需使用者任何操作，只要開機上網，不法分子就能在電腦和伺服器中植入勒索軟體、遠端控制木馬、虛擬貨幣挖礦機等惡意程式。

下面提供一些解決辦法：

1、為計算機安裝最新的安全補丁，微軟已釋出補丁MS17-010修復了“永恆之藍”攻擊的系統漏洞，請儘快安裝此安全補丁，網址為:

https://technet.microsoft.com/zh-cn/library/security/MS17-010。

2、關閉445、135、137、138、139埠，關閉網路共享。

3、強化網路安全意識：不明連結不要點選，不明檔案不要下載，不明郵件不要開啟。   

4、定期備份自己電腦中的重要檔案資料到行動硬碟、U盤，備份完後離線儲存該磁碟。

5、建議仍在使用windows xp作業系統的使用者儘快升級到 window 7/windows 10，如不便升級，推薦使用360“NSA武器庫免疫工具”檢測系統是否存在漏洞，並關閉受到漏洞影響的埠，可以避免遭到勒索軟體等病毒的侵害。NSA武器庫免疫工具下載地址：dl.360safe.com/nsa/nsatool.exe

注意：

 1最近不要在宿舍區登入教育網。2，儘量用正版wps 。不要用盜版office ，被感染的主要是office 檔案。3.及時對防毒軟體升級，做好資料備份。

5月12日晚，新型“蠕蟲式”勒索病毒軟體 WannaCry 在全球爆發，攻擊各國政府，學校，醫院等網路。我國眾多行業大規模受到感染，其中教育網受損最為嚴重，攻擊造成大量教學系統癱瘓。國內部分高校學生反映電腦被病毒攻擊，被攻擊的文件將被加密。

據統計，病毒是全國性的。5月13 日凌晨 1 時許，記者從山東大學官方微博看到，微博中釋出了一條"關於防範 ONION 勒索軟體病毒攻擊的緊急通知 "。

金山毒霸安全中心監測到Onion/ wncry敲詐者蠕蟲病毒在全國大範圍內出現爆發傳播趨勢，併發布緊急預防措施。

針對境外黑客組織Shadow Brokers爆出微軟高危方程式漏洞，天翼雲也發出Windows高危漏洞通知，強調WannaCry等攻擊者可以利用工具對通過135、137、139、445、3389埠獲取Windows系統的操作許可權，為保證您的資料及業務安全，強烈建議您使用者進行安全整改，以保證您的伺服器安全。

WannaCry 事件描述

經過分析，WannaCry 勒索軟體是不法分子通過改造之前洩露的NSA黑客武器庫中“永恆之藍”攻擊程式發起的網路攻擊事件，利用了微軟基於445 埠傳播擴散的 SMB 漏洞MS17-010，微軟已在今年3月份釋出了該漏洞的補丁。

Win7以上所有版本目前已有補丁，但是Win7以下的Windows XP/2003目前沒有補丁。對於開放445 SMB服務埠的終端和伺服器，確認是否安裝了MS17-010補丁，如沒有安裝則受威脅影響。

Windows系統一旦被WannaCry病毒感染後，會彈出一下對話方塊，攻擊者需要支付比特幣來恢復檔案。

目前，國內多個政府網和教育網大量出現WannaCry勒索軟體感染情況，一旦磁碟檔案被病毒加密，只有支付高額贖金才能解密恢復檔案，目前技術還無法解密該勒索軟體加密的檔案。

WannaCry 漏洞介紹

這種攻擊應該是利用了微軟系統的一個漏洞。該漏洞其實最早是美國國安局發現的，他們還給漏洞取名為EternalBlue(永恆之藍)。

Microsoft 伺服器訊息塊 (SMB) 協議是 Microsoft Windows 中使用的一項 Microsoft 網路檔案共享協議。在大部分 windows 系統中都是預設開啟的，用於在計算機間共享檔案、印表機等。Windows SMB遠端提權漏洞，NSA 洩露工具EternalBlue利用 SMB可以攻擊開放了445 埠的 Windows 系統並提升至系統許可權。

攻擊者與TCP協議的445埠建立請求連線，獲得指定區域網內的各種共享資訊，並對檔案施行加密等破壞性攻擊。深信服安全雲早在一個月前已更新微軟SMB漏洞檢測方案，並提供了安全應對方案。

在剛剛結束的RSA2017大會上，勒索軟體的防禦依然是一個熱門話題，RSA大會專門安排了一天的勒索軟體專題研討。儘管勒索軟體有愈演愈烈的趨勢，危害也越來越大，但是無論個人使用者還是企業使用者，很多人並不是完全的瞭解勒索軟體，重視程度也不夠，甚至還沒有找到正確的防禦方式。這個系列的軟文，希望在以往針對勒索軟體防禦分析的基礎上，能夠進一步深度分析勒索軟體，探討勒索軟體防禦的最佳實踐。

什麼是勒索軟體

首先需要明確的是，勒索軟體是一種典型的惡意程式碼，當電腦被感染了這種惡意程式碼之後，電腦中的某些檔案被加密處理，比如Office文件、圖片、視訊檔案等，造成使用者無法訪問這些檔案。由於勒索軟體是通過對檔案進行加密達到勒索金錢的目的，因此又稱為加密勒索軟體。

在上圖中，一種名為CryptolLocker的勒索軟體某些權威，已經將電腦上的檔案完成了加密，並提醒受害者，唯一的解密方式，就是通過付費來獲取解密的金鑰，而且必須在規定時間付費，否則將銷燬金鑰。

勒索軟體作為惡意程式碼的一種型別，已經存在很多年了，惡意程式碼通常是在系統後臺偷偷地執行，比如竊取資料或者進行遠端控制，使用者很難發覺，也沒有發生明顯的後果，很多時候都不去理睬。然而，勒索軟體的出現，直接造成了檔案被加密，無法訪問和使用，受害者遇到了這種情況，必須想辦法來解決。

加密勒索軟體如何工作

加密勒索軟體的傳播有多種方式，最常見的是利用了社會工程的攻擊方法，即通過釣魚郵件包含惡意程式碼，或者利用網站的釣魚連結，那麼當用戶點選了郵件包含的惡意程式碼，或者釣魚連結後，惡意程式碼利用電腦系統本身存在的漏洞，侵入系統，並在後臺開始執行。我們通過下面的示意圖，簡單描述了勒索軟體的傳播過程。

• 1. 攻擊者利用社會工程的方法，含有勒索軟體或釣魚連結的郵件傳送到使用者的郵箱，或者在某些網站通過掛馬的方式，誘騙使用者點選。

• 2. 使用者執行惡意檔案或點選釣魚連結後，勒索程式將利用終端系統存在的漏洞，在終端安裝並執行，並且有可能向C&C主機發起連線請求。

• 3. 惡意程式連線到C&C主機後，基於受害者終端的特定資訊生成RSA金鑰對，並將RSA公鑰下載到終端上。

• 4. 勒索軟體在後臺檢索檔案，同時生成一個AES金鑰，對檢索到的檔案進行加密處理；加密完成後，用RSA的公鑰再將AES金鑰進行加密，並儲存到檔案中。

• 5. 攻擊者發出勒索資訊，以各種方式通知使用者支付贖金。

勒索軟體在對檔案進行查詢和加密進行過程中，使用者往往沒有感知，只有當檔案無法訪問後才發現，很多檔案已經被加密，已經無法訪問了。通常攻擊者會通過郵件或者替換牆紙的方式，通知受害者來支付贖金。

值得一提，有些攻擊者還提供了加密原理的知識介紹，告知受害者，如果檔案被加密後，唯一的解決方式，就是要拿到金鑰才能解密，通過這種方式去促使受害者儘快支付贖金，才可以拿到金鑰來解密檔案。

加密勒索軟體演變

勒索軟體的歷史，最早可以追溯到1989年，當時出現了一種被稱為PCCyborg的惡意程式碼，對電腦的檔名稱或資料夾進行加密，或者隱藏資料夾，造成使用者無法訪問檔案，必須支付189美元的贖金後，才能夠被解密。

我們看到，隨著時間推移，各種各樣的加密勒索軟體不斷出現，就如最新的WannaCry及其變種，伴隨著勒索軟體防禦技術的發展，攻擊者從加密技術到勒索金錢的支付方式，也在不斷開發更加複雜的勒索軟體。

加密勒索軟體使用的加密方式，從最初的對稱加密方式，發展到非對稱加密，現在更多的採取了混合加密的方式，並且加密強度也越來越高。例如，2013年出現的Cryptolocker，2016年出現的Locky都採用了混合加密的方式，金鑰長度達到了2048位。從加密原理來講，除非拿到金鑰，否則無法實現解密。

為了逃避追蹤，攻擊者從2008年開始採用數字貨幣的方式來索取贖金，比如比特幣，這樣做的目的，就是利用比特幣難以追溯的特性，逃避執法部門的追蹤，而且比特幣方便支付，便於受害者快速支付贖金。

加密勒索軟體的攻擊物件也在發生變化，從原來的以個人為攻擊目標，開始逐漸轉向企業。攻擊者這樣做的目的是，由於企業的資料的重要性，一旦被加密成功，企業迫於自身業務運營的壓力，通常會更快的支付勒索金錢，而且數額也更大。根據公開報道，在北美地區有學校、醫院等機構感染了勒索軟體後，迫於業務運營的壓力，不得不支付了數萬美元的勒索金。