NSA永恒之蓝是啥，ONION蠕虫病毒如何查杀

WannaCry比特币病毒感染全球的电脑，ONION勒索病毒已经感染多个校园网的电脑，磁盘文件会被病毒加密为.onion后缀，索要300个比特币才能解锁电脑文件，造成大量师生资料丢失。这个病毒何方神圣？该怎么预防？

WannaCry勒索病毒怎么解决，ONION勒索病毒破解方法

近期国内多所院校出现ONION勒索软件感染情况，磁盘文件会被病毒加密为.onion后缀，该勒索软件运用了高强度的加密算法难以破解，被攻击者除了支付高额赎金外，往往没有其他办法解密文件，只有支付高额赎金才能解密恢复文件，对学习资料和个人数据造成严重损失。

根据网络安全机构通报，这是不法分子利用NSA黑客武器库泄漏的“永恒之蓝”发起的病毒攻击事件。

5月12日起，全球范围内爆发基于Windows网络共享协议进行攻击传播的蠕虫恶意代码，这是不法分子通过改造之前泄露的NSA黑客武器库中“永恒之蓝”攻击程序发起的网络攻击事件，用户只要开机上网就可被攻击。五个小时内，包括英国、俄罗斯、整个欧洲以及国内多个高校校内网、大型企业内网和政府机构专网中招，被勒索支付高额赎金才能解密恢复文件，对重要数据造成严重损失。

最可怕的是，这是不法分子利用NSA黑客武器库泄漏的“永恒之蓝”发起的蠕虫病毒攻击传播勒索恶意事件。恶意代码会扫描开放445文件共享端口的Windows机器，无需用户任何操作，只要开机上网，不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序。

永恒之蓝来源

为何这个病毒如此迅猛？到底什么来头？那么事情就要追溯到2016年8月，一个名为 “Shadow Brokers（影子经纪人）” 的黑客组织号称入侵另一个黑客组织“Equation（方程式）”，并且窃取了大量机密文件。那么这个方程式又是什么来头，为何值得另一个黑客组织大费周章去入侵呢？原来方程式黑客组织具有国家背景，据称是 NSA（美国国家安全局）下属的黑客组织，对于Windows系统漏洞有着深入的研究。

影子经纪人将其中部分神器级0day漏洞黑客工具公开开放下载，至此互联网的噩梦才刚刚开始。同时自己还保留了部分漏洞工具，以公开拍卖的形式出售， 预期的价格是100万比特币（可怕的100亿人民币）。

泄露的漏洞攻击文件包含多个Windows漏洞的利用工具，只要Windows服务器开了135、445、3389端口中的一个，那么就会“中招” 。本次病毒很可能主要利用了其中的ETERNALBLUE(永恒之蓝)攻击工具，感染病毒的电脑，磁盘文件会被病毒加密为.onion后缀，只有支付高额赎金才能解密恢复文件，对个人数据造成严重损失。（小编画外音：赎金高达320万人民币啊，交了钱都不一定给你恢复啊）

按照微软3月14日公布的漏洞详情：“当 Microsoft 服务器消息块 1.0 (SMBv1) 服务器处理某些请求时，存在多个远程执行代码漏洞。成功利用这些漏洞的攻击者可以获取在目标系统上执行代码的能力。为了利用此漏洞，在多数情况下，未经身份验证的攻击者可能向目标 SMBv1 服务器发送经特殊设计的数据包”。同时微软已经发出补丁MS17-010。

为什么中招的大部分都是校园网用户？因为早前已经有过几波利用445端口的大范围病毒攻击，大部分网络运营商都选择禁止该端口来防止病毒感染，而大学所使用的教育网不在此列，而且服务器安全维护工作落后，导致此次大量学生感染勒索病毒。

如何防范：

1、关闭445、135、137、138、139端口，关闭网络共享。 关闭方法 传送门

2、为计算机安装最新的安全补丁，微软已发布补丁MS17-010修复了“永恒之蓝”攻击的系统漏洞，请尽快安装此安全补丁。微软补丁MS17-010 下载地址

3、对于windows XP、2003等微软已不再提供安全更新的机器，可使用360“NSA武器库免疫工具”检测系统是否存在漏洞，并关闭受到漏洞影响的端口，可以避免遭到勒索软件等病毒的侵害。360“NSA武器库免疫工具”下载地址先拔网线再开机，确认360运转正常，office正常。

4、尽快（今后定期）备份自己电脑中的重要文件资料到移动硬盘、U盘，备份完后脱机保存该磁盘。

5、建议仍在使用windows xp，windows 2003操作系统的用户尽快升级到window 7/windows 10，或windows 2008/2012/2016操作系统。