全球性的黑客攻擊，比特幣勒索病毒來襲！

02-01

中國各地許多高校學生突然發現自己電腦中了一種神秘的病毒。病毒是全全球性的，就中國來說疑似通過校園網傳播，十分迅速。目前受影響的有賀州學院、桂林電子科技大學、桂林航天工業學院、浙江傳媒學院、杭州電子科技大學以及廣西等地區的大學。網友反映，大連海事大學、山東大學等也受到了病毒攻擊。

幾個小時之前，中國各地許多高校學生突然發現自己電腦中了一種神秘的病毒。這些用戶只要連上校園網，自己磁碟中所有的文件都會被病毒加密為.onion後綴並且無法使用。除此之外，自己電腦的壁紙也會被改為這樣：

根據BBC的報道，這類網路攻擊近期在全球範圍內都有愈演愈烈之勢，而醫院往往成為了這些攻擊的「重點照顧對象」。究其原因，則是由於醫院的信息系統往往相對老舊，並且在近些年來越來越依賴電子智能醫療系統。

同樣沒有逃過黑客毒手的是俄羅斯內務部，然而根據戰鬥民族的一位發言人表示，在所有的1000台電腦中只有0.1%的電腦遭受了攻擊，伺服器完好無損。受到病毒的那位同學，請問你是不是用公家電腦偷偷下載什麼不乾不淨的東西了……

雖然我們反覆提到說，要預防電腦、手機被黑客侵入，雖然我們在上網中，電腦或者是手機仍然被黑客侵入了，一般來說普通的重裝系統都可以解決，不嚴重的用殺毒軟體也可以解決，如果你再繼續使用這台電腦上網的話，你的隱私就會被竊取，就沒有什麼隱私而言了。

黑客一般攻擊的電腦，都是比較有價值的，所以你應該立即檢查一下你的銀行卡和支付寶等中的錢財是否還在，定時的查殺木馬，修補補丁。

攻擊來源

據悉，這些病毒來自於上個月泄漏出來的美國國家安全局NAS的黑客武器庫，這些工具能夠遠程攻破全球約70%的windows系統。

經過簡單的調查我們發現：現在你可以在暗網上非常輕鬆的購買到這些武器，並且在售的竟然還有MAC版本（雖然我們並沒有辦法分辨這些listing的真假）。

根據網路安全機構通報，這是不法分子利用NSA黑客武器庫泄漏的「永恆之藍」發起的病毒攻擊事件。「永恆之藍」會掃描開放445文件共享埠的Windows機器，無需用戶任何操作，只要開機上網，不法分子就能在電腦和伺服器中植入勒索軟體、遠程控制木馬、虛擬貨幣挖礦機等惡意程序。

由於以前國內多次爆發利用445埠傳播的蠕蟲，運營商對個人用戶已封掉445埠，但是教育網並沒有此限制，仍然存在大量暴露445埠的機器。據有關機構統計，目前國內平均每天有5000多台機器遭到NSA「永恆之藍」黑客武器的遠程攻擊，所以教育網就是受攻擊的重災區。

在過去的兩年中隨著比特幣交易的越來越普及，這類的惡意軟體也必然會越來越多。往往黑客們會將病毒腳本寫進一些被大量下載的文件（比如泄露版的電影），當你下載電影后就會自動激活病毒。

如果你不幸中招，那麼從理論上來說不存在能夠自己解鎖的可能。所以大家及時的備份重要文件，就目前的狀況來看，給黑客支付贖金可能是唯一的解決方式。「但是，你也並不能保證黑客收到贖金後一定就會兌現諾言。」

【比特幣病毒】【勒索病毒】這個病毒八點開始有爆發的趨勢，看勢頭比當年熊貓燒香還猛。關於如何抵抗病毒：

解釋一下：

1、不要給錢。贖金很貴並且交了之後未必能恢復。

2、未中毒的電腦迅速多次備份數據。已中毒的，重裝系統前把硬碟低格，然後安操作系統。

3、安裝反勒索防護工具，但僅在病毒侵入前有作用，但對已經中病毒的電腦無能為力，還是要做好重要文檔備份工作。不要訪問可以網站、不打開可疑郵件和文件

4、關閉電腦包括TCP和UDP協議135和445埠

5、還看不懂的，把網掐了。

今天收到很多關於ONION勒索軟體病毒攻擊的私信，其中絕大多數是使用校園網的學生，但不僅僅是學生，磁碟文件會被病毒加密為.onion後綴，中毒後被要求支付贖金才能解密恢復文件，對個人資料造成嚴重損失。

由於以前國內多次爆發利用445埠傳播的蠕蟲，運營商對個人用戶已封掉445埠，但是教育網並沒有此限制，仍然存在大量暴露445埠的機器。據有關機構統計，目前國內平均每天有5000多台機器遭到NSA「永恆之藍」黑客武器的遠程攻擊，教育網是受攻擊的重災區。

目前微軟已發布補丁MS17-010修復了「永恆之藍」攻擊的系統漏洞，請儘快為電腦安裝此補丁；對於XP、2003等微軟已不再提供安全更新的機器，推薦使用「NSA武器庫免疫工具」檢測系統是否存在漏洞，並關閉受到漏洞影響的埠，可以避免遭到勒索軟體等病毒的侵害。

自己電腦有沒有被黑客木馬入侵：（比較基礎的）

1.用CTRL＋ALT＋DEL調出任務管理器，查看有什麼程序在運行，如發現陌生的程序就要多加註意，大家可以關閉一些可疑的程序來看看，如果發現一些不正常的情況恢復了正常，那麼就可以初步確定是中了木馬了，發現有多個名字相同的程序在運行，而且可能會隨時間的增加而增多，這也是一種可疑的現象也要特別注意，你這時是在連入Internet網或是區域網後才發現這些現象的話，不要懷疑，動手查看一下吧（註：也有可能是其它一些病毒在作怪）2.在「開始」→「運行」中輸入「MSCONFIG」查看是否有可疑的啟動項。

3.查看註冊表。在「開始」→「運行」中輸入「REGEDIT」。先對註冊表進行備份，再對註冊表查看。（一定要養成一個習慣，在修改木文件時，對自己沒有把握的需要先進行備份）查看HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices和Run項，看看有沒有可疑的程序。

4.在「開始」→「運行」中輸入「CMD」啟動CMD，輸入NETSTAT-AN查看有沒有異常的埠。

5.在Windows目錄下，看看有無一個名為Winstart.bat的文件。這個文件也是與Autoexec.bat類似的一個自動批處理文件，不過，它只能在Windows工作而不能在DOS下使用。仔細看看有沒有什麼你不知道的驅動程序，把它記錄下來，到百度查一下，一般這個自動批處理文件是不會被用到的。（只能憑經驗判斷了）6.查看c：autoexec.bat與c：config.sys，這兩個文件里有一些系統所需的驅動程序。看看有沒有什麼可疑的驅動程序。

7.右擊「我的電腦」→事件查看器查看安全日誌，看看裡面有沒有可疑的內容。

8.啟動CMD，然後輸入「NETUSER」看看有沒有可疑的用戶，出現自己不曾設立的用戶，馬上用NETUSER****/DEL把它刪除（這裡的****是用戶名，只要把它改成想要刪除的用戶就行了）