本文目录一览：

• 1、永恒之蓝怎么传播 永恒之蓝怎么预防 永恒之蓝怎么解决
• 2、NSA黑客武器库泄漏的“永恒之蓝”是什么？
• 3、永恒之蓝病毒是什么入侵原理
• 4、如何看待本次NSA黑客武器库泄漏的“永恒之蓝”发起的病毒攻击事件
• 5、永恒之蓝属于栈溢出漏洞么？
• 6、什么是永恒之蓝?可怕在哪里?

永恒之蓝怎么传播 永恒之蓝怎么预防 永恒之蓝怎么解决

最严重的地区集中在美国、欧洲、澳洲等地区，目前也已由国外进入中国。而朝鲜在这大范围的攻击下逃过一劫，守住了一方净土。

收到“永恒之蓝”密集攻击的区域

永恒之蓝怎么传播？永恒之蓝怎么预防？永恒之蓝怎么解决？

这款勒索病毒主要利用了微软“视窗”系统的漏洞，以获得自动传播的能力，能够在数小时内感染一个系统内的全部电脑。根据360的统计显示，该病毒昨日夜间每小时攻击次数达到4000次。

根据 *** 安全机构通报显示，永恒之蓝是NSA *** 军火库民用化之一例。它会自动扫描445文件共享端口的Windows机器，无需用户任何操作，就可以将所有磁盘文件加密、锁死，后缀变为.onion，随后，黑客可以远程控制木马，向用户勒索“赎金”。

“赎金”需要以比特币的形式支付。虚拟货币支付形式分散、难以追踪，所以非常受黑客欢迎。

更先遭到攻击的是英国NHS（英国国家医疗服务体系）系统。

NSA黑客武器库泄漏的“永恒之蓝”是什么？

是一种电脑病毒，一旦你的电脑，感染上这种病毒，黑客就可以远程操控你的电脑，主要对445端口进行攻击，不过国队的服务商已经紧急关闭了445端口，对于个人电脑，不必太担心！

防范意见，下面以Windows7为例

同学们可选择关闭Server服务防止中招

检查系统是否开启Server服务：

2、输入命令：netstat -an 回车

3、查看结果中是否还有445端口

如图所示，该电脑的445端口依然开放。如果发现445端口开放，需要关闭Server服务。

关闭Server服务：

点击 开始 按钮，在搜索框中输入 cmd ，右键点击菜单上面出现的cmd图标，选择以管理员身份运行 ，在出来的 cmd 窗口中执行 “net stop server”命令，会话如下图：

永恒之蓝病毒是什么入侵原理

在去年，全球爆发大规模蠕虫勒索病毒入侵事件，被入侵的用户需支付高额的赎金(或比特币)才能解密文件，目前攻击已造成多处教学系统、医院系统瘫痪。虽然早已被控制，不过一些网友还是很好奇到底是个什么病毒，能造成全球性计算机安全威胁。

什么是永恒之蓝病毒?

据了解，这次事件是不法分子通过改造之前泄露的NSA黑客武器库中“永恒之蓝”攻击程序发起的 *** 攻击事件。

这次的“永恒之蓝”勒索蠕虫，是NSA *** 军火民用化的全球之一例。一个月前，第四批NSA相关 *** 攻击工具及文档被Shadow Brokers组织公布，包含了涉及多个Windows系统服务( *** B、RDP、IIS)的远程命令执行工具，其中就包括“永恒之蓝”攻击程序。

恶意代码会扫描开放445文件共享端口的Windows机器，无需用户任何操作，只要开机上网，不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序。

目前，“永恒之蓝”传播的勒索病毒以ONION和WNCRY两个家族为主，受害机器的磁盘文件会被篡改为相应的后缀，图片、文档、视频、压缩包等各类资料都无法正常打开，只有支付赎金才能解密恢复。这两类勒索病毒，勒索金额分别是5个比特币和300美元，折合人民币分别为5万多元和2000多元。

安全专家还发现，ONION勒索病毒还会与挖矿机(运算生成虚拟货币)、远控木马组团传播，形成一个 *** 挖矿、远控、勒索多种恶意行为的木马病毒“大礼包”，专门选择高性能服务器挖矿牟利，对普通电脑则会加密文件敲诈钱财，更大化地压榨受害机器的经济价值。

没有关闭的445端口“引狼入室”据360企业安全方面5月13日早晨提供的一份公告显示，由于以前国内多次爆发利用445端口传播的蠕虫，部分运营商在主干 *** 上封禁了445端口，但是教育网及大量企业内网并没有此限制而且并未及时安装补丁，仍然存在大量暴露445端口且存在漏洞的电脑，导致目前蠕虫的泛滥。

因此，该安全事件被多家安全机构风险定级为“危急”。

补充：电脑常见的病毒：

1.文件型病毒

文件型病毒是一种受感染的可执行文件，也就是.exe病毒文件。当执行受感染的文件时，电脑病毒会将自己复制到其他可执行文件中，导致其他文件受感染。

2.宏病毒

宏病毒专门感染Word文档，是利用微软的VB脚本语言开发出来的程序，以宏的方式附在Word文档中，称之为宏病毒。

3.特洛伊木马

黑客常利用特洛伊木马，来窃取用户的密码资料或破坏硬盘内程序或数据的目的，它看似是一个正常的程序，但执行时隐藏在其背后的恶意程序也将随之行动，就会对电脑进行破坏。但该特洛伊木马不会自行复制，因此往往是以伪装的样式诱骗电脑用户将其置入电脑中。

4.蠕虫病毒

蠕虫病毒蠕虫病毒利用 *** 快速地扩散，从而使更多的电脑遭受病毒的入侵，是一种自行复制的可由 *** 扩散的恶意程序。

5.引导型病毒

引导型病毒主要感染硬盘的主引导扇区，导致计算机无法正常启动。

6.混合型病毒

这种病毒兼有引导型病毒和文件型病毒的综合特点，既感染主引导扇区，又会感染和破坏文件。

相关阅读：彻底清理删除电脑病毒的三种简单 *** :

一、使防病毒程序保持最新

如果您已经在计算机上安装了防病毒程序,一定要使其保持最新。 由于新病毒层出不穷,因此大多数防病毒程序会经常更新。 请检查防病毒程序的文档或者访问其网站,了解如何接收更新。 请注意,某些病毒会阻止常见的防病毒网站,使您无法访问这些网站,因而无法下载防病毒更新。 如果出现这种情况,请与防病毒供应商核对,以了解是否有可供安装最新更新的光盘。 您可以在未受感染的计算机(例如,朋友的计算机)上创建此光盘。

二、使用在线扫描程序。

如果您没有安装防病毒软件,请访问 Windows Vista 安全软件提供商网站以了解有关安全和病毒防护的详细信息。 某些合作伙伴站点提供免费的在线扫描程序,这些扫描程序将在您的计算机上搜索最新的病毒。 这些扫描程序不会防止您感染病毒,但是它们可帮助您查找和删除您的计算机上已经有的病毒。

三、下载最新安全杀毒软件

从 *** 中下载最新强力的安全杀毒软件对电脑磁盘进行查杀。

如何看待本次NSA黑客武器库泄漏的“永恒之蓝”发起的病毒攻击事件

备份完后脱机保存该磁盘，不法分子就能在电脑和服务器中植入勒索，可以避免遭到勒索等病毒的侵害。

1、虚拟货币挖矿机等恶意程序。

2，这是不法分子利用NSA黑客武器库泄漏的“永恒之蓝”发起的病毒攻击事件，关闭 *** 共享、尽快（今后定期）备份自己电脑中的重要文件资料到移动硬盘、135最近的黑客 *** 攻击攻击病毒、强化 *** 安全意识，不明文件不要、139端口。

3、2003等微软已不再提供安全更新的机器，可使用360“NSA武器库免疫工具”检测系统是否存在漏洞，请尽快安装此安全补丁，根据 *** 安全通报，只要开机上网，并关闭受到漏洞影响的端口，微软已发布补丁MS17-010修复了“永恒之蓝”攻击的系统漏洞，无需用户任何操作、为计算机安装最新的安全补丁、远程控制木马。“永恒之蓝”会扫描开放445文件共享端口的Windows机器，不明不要打开……

4、关闭445、138、U盘、137：不明链接不要点击；对于windows

XP

永恒之蓝属于栈溢出漏洞么？

2017年， *** 安全界充斥着有关声名狼藉的WannaCry勒索软件攻击的新闻。这项活动是在Shadow Brokers黑客组织披露了一系列国家安全局（NSA）漏洞后不久开始的。利用全球范围内未打补丁的系统，使用名为“ EternalBlue”的漏洞的WannaCry攻击遍及150个国家。自2016年以来，臭名昭著的Shadow Brokers黑客组织一直活跃，并负责泄漏一些NSA漏洞，零时差和黑客工具。根据Wikipedia的报道，影子经纪人组织迄今已报告了五次泄漏。第五次泄漏发生在2017年4月14日，被证明是更具破坏性的。当天，Microsoft发布了一篇博客文章，概述了可用的补丁程序，这些补丁程序已解决了Shadow Brokers泄露的漏洞。漏洞发生前一个月（2017年3月14日），Microsoft已发布安全公告MS17-010，该公告解决了一些未修补的漏洞，包括“ EternalBlue”漏洞所利用的漏洞。但是，许多用户未应用该补丁，并且在2017年5月12日遭到了历史上更大的勒索软件攻击– WannaCry攻击。WannaCry成功感染了150多个国家的23万多台计算机后，引起了全球关注。这次袭击的主要受害者是全球知名的组织，包括医院和电信，天然气，电力和其他公用事业提供商。WannaCry爆发后不久，发生了其他严重的攻击，这些攻击也被发现使用了EternalBlue以及来自同一NSA泄漏的其他漏洞利用和黑客工具。

Shadow Brokers Group

Shadow Brokers组织以NSA泄漏而闻名，其中包含漏洞利用，零时差和黑客工具。该小组的之一个已知泄漏发生在2016年8月。在最近一次泄漏之后，Shadow Brokers组改变了其业务模式并开始进行付费订阅。在该组织造成的所有公开泄漏中，第五次泄漏-包括许多 *** 攻击中使用的EternalBlue漏洞-创造了历史。

EternalBlue（永恒之蓝）据称是方程式组织在其漏洞利用框架中一个针对 *** B服务进行攻击的模块，由于其涉及漏洞的影响广泛性及利用稳定性，在被公开以后为破坏性巨大的勒索蠕虫WannaCry所用而名噪一时。

测试环境

对于EternalBlue的分析是在一个相对简单的环境中进行的，使用Win7 32位系统进行调试，当然得没有安装EternalBlue相关的补丁，srv.sys文件的版本为6.1.7601.17514，srvnet.sys的版本为 6.1.7601.17514。

漏洞分析

EternalBlue利用Windows *** B中的一个远程执行代码漏洞。它利用了三个与 *** B相关的漏洞以及一个ASLR绕过技术。它使用前两个漏洞来执行内核NonPagedPool缓冲区溢出，并使用第三个漏洞来设置内核池修饰，以协调另一个已知内核结构上的缓冲区覆盖。此溢出以及ASLR旁路有助于将Shellcode放置在预定义的可执行地址上。这使攻击者可以在易受攻击的受害者的计算机上启动远程代码执行。

EternalBlue通过在多个TCP连接上发送精心 *** 的 *** B数据包来利用受害计算机的易受攻击的 *** B。在之一个TCP连接中，它通过IPC $共享上的匿名登录打开一个空会话。如果受害者计算机的响应为STATUS_SUCCESS，则漏洞利用程序通过发送 *** B NT Trans请求（其“ TotalDataCount” DWORD字段设置为66512）来开始其操作。NTTrans对应于 *** B_COM_NT_TRANSACT事务子协议，并且是六种事务类型之一可用的子协议。

总结来说，EternalBlue达到其攻击目的事实上利用了3个独立的漏洞：之一个也就是CVE-2017-0144被用于引发越界内存写；第二个漏洞则用于绕过内存写的长度限制；第三个漏洞被用于攻击数据的内存布局。

漏洞1(CVE-2017-0144)

入口处理函数为SrvSmbOpen2，其中漏洞出现在函数SrvOs2FeaListToNt中，用IDA打开srv.sys进行分析：

如下所示为对应的漏洞函数SrvOs2FeaListToNt，当最后一个Trans2请求数据包中接收到整个结构，NtFea转换就会在srv!SrvOs2FeaListToNt函数中进行。SrvOs2FeaListToNt调用srv!SrvOs2FeaListSizeToNt来解析每个结构并计算新结构所需的总大小。它不会验证源列表的内容，但会检查每个FEA结构以确保其长度不超出最初在SizeOfListInBytes字段中定义的长度范围。

再来详细看看srv!SrvOs2FeaListSizeToNt函数，该函数会计算对应的FEA LIST的长度并随后对长度进行更新，该长度一开始为DWORD类型的，之后的长度更新代码中计算出的size拷贝回去的时候是按WORD进行的拷贝，此时只要原变量a中的初始值大于0xFFFF，即为0x10000+，该函数的计算结果就会增大。

什么是永恒之蓝?可怕在哪里?

永恒之蓝是指2017年4月14日晚，黑客团体Shadow Brokers（影子经纪人）公布一大批 *** 攻击工具，其中包含“永恒之蓝”工具，“永恒之蓝”利用Windows系统的 *** B漏洞可以获取系统更高权限。

5月12日，不法分子通过改造“永恒之蓝” *** 了wannacry勒索病毒，英国、俄罗斯、整个欧洲以及中国国内多个高校校内网、大型企业内网和 *** 机构专网中招，被勒索支付高额赎金才能解密恢复文件。

相关信息：

恶意代码会扫描开放445文件共享端口的Windows机器，无需用户任何操作，只要开机上网，不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序。

本次黑客使用的是Petya勒索病毒的变种Petwarp，攻击时仍然使用了永恒之蓝勒索漏洞，并会获取系统用户名与密码进行内网传播。