ms17-010(ms17-010原理)

前沿拓展：

ms17-010

微软更新补丁：m传企给但片s17-010

5月12日，全球99个国家和地区发生超过7.5万起遭受到一种勒索蠕虫**的攻击**，**、英国、**、乌克兰等国纷纷“中招”，被攻击的电脑一旦感染这种**，电脑中的文件就会被加密锁住，只有在支付攻击者所要求的赎金之后（用户被要求支付价值300美元或以上的比特币。），才能解密恢复。几个私立网络安全公司表示，这种勒索软件是利用了微软“视窗”**作系统，也就是Windows一个名为“永恒之蓝”的漏洞。目前全球已经至少发生了约7万5千起此类网络攻击**。

勒索**短时间内在全球范围爆发，多国**机构和大企业都纷纷中招。不过，这种**软件并非没有弱点，英国一名年轻网络工程师13日“无意中”阻拦了勒索软件的疯狂传播。

英国小伙意外阻挡**

据英国媒体13日报道，这名22岁的英国网络工程师当地时间12日晚注意到，这一勒索软件正不断尝试进入一个极其特殊、尚不存在的网址，于是他顺手花了8.5英镑（约合75元**币）注册了这个域名，试图借此网址获取勒索软件的相关数据，了解传播范围。令人不可思议的是，此后勒索软件在全球的进一步蔓延竟然得到了阻拦。

他和同事分析，这个奇怪的网址很可能是勒索软件开发者为避免被网络安全人员捕获所设定的“检查站”，而注册网址的行为无意触发了程序自带的“**开关”。也就是说，勒索软件在每次发作前都要访问这个不存在的网址，如果网址继续不存在，说明勒索软件尚未引起安全人员注意，可以继续在网络上畅行无阻；而一旦网址存在，意味着软件有被拦截并分析的可能。在这种情况下，勒索软件会停止传播。

这位年轻的工程师在推特发帖说：“我坦白，在我注册这个域名之前，完全不知道它能停止这次恶意软件的传播，事情的开始完全是个意外！”

意外阻拦勒索软件传播的英国网络工程师：这就是我随手发现的，我已经把相关的信息反馈给英国和美国相关部门，反馈给那些能处理这事的人。

后来，英国网络工程师根据此开发出了这么一个攻击地图。

地图上的每一个蓝点，不止代表着一台被感染了**的机器，还代表着这是一台访问了英国网络工程师设立的这个域名，决定停止继续攻击的其他电脑的机器。如果不是英国网络工程师发现了这么一个紧急停止的开关，这其中的每一个蓝点，都有可能继续攻击同一个网络里的其他电脑，每一个蓝点，都有可能成为更多机器被入侵的来源。

英国网络工程师表示，只要该域名不被撤销，就不必担心。不过，他还是提醒大家要尽快对**作系统进行补丁，因为不知道黑客什么时候会再发起进攻。

如何防范勒索**？

尽管勒索**暂时大多数对教育网以上的网络进行勒索，但是不能保证以后事态发展，根据微软最新发布的公告，决定对已经停止支持的Windows XP和Windows 2003发布特别补丁。目前，腾讯电脑管家已能支持特别补丁，用户可直接进行下载更新。

(微软发布公告推出特别补丁)

(腾讯电脑管家支持特别补丁更新)

据腾讯安全反**实验室分析发现，此次“Wannacry”勒索蠕虫**与以往相比最大的区别在于，勒索**结合了蠕虫的方式进行传播，传播方式采用了前不久NSA被泄漏出来的MS17-010漏洞。据了解，MS17-010漏洞指的是攻击者利用该漏洞，向用户机器的445端口发送精心设计的网络数据包文，实现远程代码执行。如果用户电脑开启防火墙，也会阻止电脑接收445端口的数据。但是在**高校内，同学之间为了打局域网游戏，有时需要关闭防火墙，这也是此次**在**高校内大肆传播的原因。

目前，包括贺州学院、桂林电子科技大学、桂林航天工业学院以及广西地区部分大学连接校园网的电脑用户均遭到该**攻击，导致电脑文件全部被锁，需要缴纳赎金才能解锁。由于当下处在高校毕业季，很多学子精心制作的毕业设计在此次全国范围内的**攻击**当中被锁，影响极其严重。

腾讯安全反**实验室安全研究人员表示，用Windows系统远程漏洞进行传播，是此次勒索软件的一大特点，也是在高校爆发的根本原因，所以开启防火墙是简单直接的方法。具体**作步骤如下：

以Windows 7，通过图例简单介绍如何关闭445端口。

1、打开控制面板点击“防火墙”;