比特幣病毒已停止傳播（附關閉危險埠方法），原因是一個空域名

先看事件回顧

北京時間2017年5月12日20時左右，全球爆發大規模ONION勒索軟體感染事件，我國大量行業企業內網大規模感染，教育網受損嚴重，攻擊造成了教學系統癱瘓，甚至包括校園一卡通系統。

據BBC報導，今天全球很多地方爆發一種軟體勒索病毒，只有繳納高額贖金（有的要比特幣）才能解密資料和數據，英國多家醫院中招，病人資料威脅外泄，同時俄羅斯，義大利，整個歐洲包括中國很多高校……

經過緊急分析，工程師判定該勒索軟體是一個名稱為「onion」的新家族，目前無法解密該勒索軟體加密的文件。

該勒索軟體迅速感染全球大量主機的原因是利用了基於445埠傳播擴散的SMB漏洞MS17-101，微軟在今年3月份發布了該漏洞的補丁。

2017年4月14日黑客組織Shadow Brokers（影子經紀人）公布的Equation Group（方程式組織）使用的「網絡軍火」中包含了該漏洞的利用程序，而該勒索軟體的攻擊者或攻擊組織在借鑑了該「網絡軍火」後進行了這次全球性的大規模攻擊事件。

工程師依託對「勒索軟體」的分析和預判，不僅能夠有效檢測防禦目前「勒索軟體」的樣本和破壞機理，還對後續「勒索軟體」可能使用的技巧進行了布防。

具體分析

當系統被該勒索軟體入侵後，彈出勒索對話框：

被劫持的桌面

這是不法分子利用NSA黑客工具「永恆之藍」發起的病毒攻擊事件。

「永恆之藍」會掃描開放445文件共享埠的Windows機器，無需用戶任何操作，只要開機上網，不法分子就能在電腦和伺服器中植入勒索軟體、遠程控制木馬等惡意程序。

由於教育網有很多暴露445埠的機器，也很容易遭到遠程攻擊。

正處畢業季，要是畢業班的小夥伴們忘了備份畢業論文/設計，那就真的要哭了...

黑客通過設置電腦開機密碼、登錄密碼等對電腦鎖屏；加密用戶用戶文件和數據等形式，敲詐勒索用戶。

而比特幣難以被追蹤，也成為黑客青睞的贖金方式。

然而，事情出現了轉機

雖然對被感染的機器已經無能為了，但發現這麼一個緊急停止開關，已經阻止了進一步大範圍爆發的可能。

但是這個病毒可能很快推出一個變種，繞開這個域名，這個緊急停止機制就會失效。

不過已經足夠讓大家普遍提高意識，關閉埠，打上補丁了，有效地避免病毒的攻擊。

感謝那些在幕後奮戰的安全小哥們.......

特別提醒

所有身在大陸並且中了加密勒索病毒的同學，別再想付贖金了！現在已經確定病毒的加密鑰匙是通過tor網絡發送給病毒製作者的伺服器（以及交錢後的密鑰發送也是通過tor）。

中國大陸境內早就完全屏蔽了tor網絡。

也就是說當電腦螢幕跳出提示框說你電腦文件被加密的時候，密鑰已經因為tor連接失敗而完全丟失了

不能掉以輕心

有一些專家稱：這個其實並不是關閉鍵，是病毒設計者用來反破譯的工具。

有個疑問，他做這個緊急開關為了啥，這個簡單的判斷語句是個程式設計師都能看得懂吧？

因為通常電腦安全專家對電腦病毒進行破譯，會通過沙盤虛擬一個系統出來，把病毒放進沙盤進行模擬和分析，而大部分沙盤會對病毒對外發出的所有網絡訪問請求（即使那個網站不存在）回復成功，而真實的宿主電腦則會對不存在的網站回復訪問失敗。

那麼病毒如果發現這個網站訪問成功了，就說明自己正在被破譯解讀中，所以就要停止傳播，防止被進一步破譯。

病毒設計者只要推送一個更新，去掉這個段代碼和網站，又可以繼續傳播的了。

關閉埠的方法

Win7、Win8、Win10的處理流程

1、打開控制面板-系統與安全-Windows防火牆，點擊左側啟動或關閉Windows防火牆

2、選擇啟動防火牆，並點擊確定

3、點擊高級設置

4、點擊入站規則，新建規則

5、選擇埠，下一步