先看事件回顾

北京时间2017年5月12日20时左右，全球爆发大规模ONION勒索软件感染事件，我国大量行业企业内网大规模感染，教育网受损严重，攻击造成了教学系统瘫痪，甚至包括校园一卡通系统。

据BBC报道，今天全球很多地方爆发一种软件勒索病毒，只有缴纳高额赎金（有的要比特币）才能解密资料和数据，英国多家医院中招，病人资料威胁外泄，同时俄罗斯，意大利，整个欧洲包括中国很多高校……

经过紧急分析，工程师判定该勒索软件是一个名称为“onion”的新家族，目前无法解密该勒索软件加密的文件。该勒索软件迅速感染全球大量主机的原因是利用了基于445端口传播扩散的SMB漏洞MS17-101，微软在今年3月份发布了该漏洞的补丁。2017年4月14日黑客组织Shadow Brokers（影子经纪人）公布的Equation Group（方程式组织）使用的“网络军火”中包含了该漏洞的利用程序，而该勒索软件的攻击者或攻击组织在借鉴了该“网络军火”后进行了这次全球性的大规模攻击事件。

工程师依托对“勒索软件”的分析和预判，不仅能够有效检测防御目前“勒索软件”的样本和破坏机理，还对后续“勒索软件”可能使用的技巧进行了布防。

具体分析

当系统被该勒索软件入侵后，弹出勒索对话框：

被劫持的桌面

这是不法分子利用NSA黑客工具“永恒之蓝”发起的病毒攻击事件。“永恒之蓝”会扫描开放445文件共享端口的Windows机器，无需用户任何操作，只要开机上网，不法分子就能在电脑和服务器中植入勒索软件、远程控制木马等恶意程序。

由于教育网有很多暴露445端口的机器，也很容易遭到远程攻击。正处毕业季，要是毕业班的小伙伴们忘了备份毕业论文/设计，那就真的要哭了...

黑客通过设置电脑开机密码、登录密码等对电脑锁屏；加密用户用户文件和数据等形式，敲诈勒索用户。而比特币难以被追踪，也成为黑客青睐的赎金方式。