一般是什么情况下会有勒索病毒?怎么预防?

根据事件数据统计，数据量大、数据越重要、业务不能中断的医院、企业更容易被黑客盯上，除了做好防火墙防护准备，业界普遍还是认为备份是预防勒索病毒的最好方式，比如云祺科技的容灾备份解决方案，自动检查文件的合法性，当文件类型被修改或文件被加密时能够及时发现，不会同步变化数据到备份服务器，从而有效防止勒索病毒再入侵。同时，也能在中毒后，采用瞬时恢复功能恢复备份数据，拉起业务运行，勒索病毒毫无用处

手机中毒一般是在陌生网页下载软件，点击陌生链接等导致的。可以使用安全软件对手机进行检测，请尝试按照以下步骤进行清除：

安装一个安全类软件，以手机管家为例，打开手机管家。点击首页上的一键体检即可自动查杀系统中的病毒，并自动彻底清除。

若提示无法删除很可能是权限不足导致的，病毒一般都是存在于系统分区中，正常的卸载方式无法卸载，即使是恢复出厂设置也无法将其删除，必须有ROOT权限才能卸载。

2021年5月28日，星期五早晨，像往常一样，照例打开电脑准备工作。突然发现桌面有几个莫名其妙的DOS运行窗口，虽有疑惑但并未仔细确认。将几个窗口直接关闭。关闭窗口几秒钟后,突然发现桌面上的图标或文件突然都变成了灰色。再仔细一查看。变成了灰色的文件后缀都莫名其妙加了一串值，在最后的后缀为Devos。突然惊醒，这东西似曾相识。预感到了事情不妙。

对于眼前的一切，我立即意识到了这是勒索病毒。然后我马上查看了一下除了桌面以外的其它盘符的文件。 一确认，我心都凉了半截。整个电脑大部分文件都变成了灰色状态（被加密后添加了文件后缀）。

我深知这种病毒的厉害。很害怕病毒在公司局域网持续传播，我立即拔掉了自己电脑的网线。拔掉网线后我想结束掉病毒程序，防止自己电脑文件都被加密。打开任务管理器想结束掉病毒程序，但不知道病毒的进程到底是哪一条，无法结束。后来眼睁睁的看着文件被逐步加密（中毒）。

由于电脑文件都被逐步加密（中毒），自己手头上确还有很多工作要做。只有想办法快速恢复工作。很无奈的决定重装系统，格式化整个硬盘。

在我重装系统的过程中，有同事在讨论某些文件无法访问和使用。 后来经过我确认发现都是Phobos家族的Devos勒索病毒。我意识到了事情的严重性。立马找来公司前台发了一个紧急通知。通知如下：

打开内网某台服务器，发现桌面上的文件都被加密了。并且在桌面上有我早上自己电脑上看到过的类似DOS窗口。

下午工作工程中再次发现某台内部用的服务器异常卡顿，桌面上也有超熟悉的DOS窗口，而这些运行文件的存放位置也异常诡异。存放位置位于用户账户下的music目录内。

由于服务器是公司内部公用电脑，有多个同事可以访问。于是将刚才几个异常目录下的文件调出来让同事确认是否是同事存放的。经过确认所有人都说这些文件不是他们存放的。因此我将这几个可疑程序进行了加密拷贝。方便后续的相应分析。

后续将这些异常文件拷贝到虚拟机进行运行，发现无论是否断网。这些病毒程序都可以大概十几秒钟时间里感染桌面及系统盘大部分文件。

中此病毒症状就是有电脑文件被加密。

病毒的研发者最终目的是勒索钱财（比特币），所以在加密一定文件后会给你提醒交付赎金的。如下：

当发现自己电脑中毒后，为了保证局域网更多电脑不被受损，请按照以下流程依次 *** 作

个人认为此次我经历的传播方式就是共享文件传播，下图反映的就是中毒的某台电脑对整个局域网进行扫描。扫描出哪些电脑开启了文件共享，然后将没有密码共享的电脑及有密码共享但之前进行过连接的电脑文件夹建立成“映射磁盘”。然后将病毒程序放置在这些共享文件里。然后通过这些共享文件进行进一步的病毒扩散。

杀毒软件1：win10 自带 Windows Defender 软件
杀毒软件2：360安全卫士

经过确认，2款软件只要病毒库是最新版都可以进行相应的拦截与提醒。

其中：Fast \ NS-v2 \ Loggy cleaner3款软件为病毒文件，其它文件疑似属于病毒文件扩散用的配套软件。

勒索病毒Devos中毒过程演示mp4
相关资料引用与学习：
1 2021年最猖狂的勒索病毒之一 devos后缀勒索病毒是什么？如何应对处理？
2 勒索病毒为什么那么难破解mp4
3 遇到勒索软件千万别关机！被黑客勒索怎么破？
4 B站知名UP主 视频素材被勒索（视频75万人点赞、4万转发）

从2017年5月12日开始，一款名为“想解密”，又称“想哭”的勒索病毒在全球范围内疯狂传播。

欧洲刑警组织14日称，已经有上百个国家和地区，数十万台电脑被感染，勒索病毒，从发现到大面积传播，仅仅用了几个小时，其中高校成为了重灾区。

“想哭”病毒来源于美国国家安全局的病毒武器库“永恒之蓝”。

4月，美国国安局遭遇泄密事件，其研发的黑客攻击工具被公之于众。

那么，这款病毒是一个什么样的病毒，如何传播，何以造成如此严重的后果呢？

这个名为“想哭”的病毒在加密了受害者的文件后会进行勒索，让受害者将价值300美元以上的比特币转到黑客的账户上，交了赎金才能解锁文件，还对交付提出了时间限制。

它的承诺是三天，以后赎金翻倍，一周以后你就没有机会再进行解密了，相当于你失去了文件。

这个病毒利用了一个漏洞，如果用户没有打补丁的习惯，没有及时修复这次漏洞，这个病毒样本通过漏洞攻击了非常多的电脑。

这款勒索蠕虫病毒是针对微软的永恒之蓝的漏洞进行传播和攻击的。

一旦电脑感染该病毒，被感染电脑会主动对局域网内的其他电脑进行随机攻击，局域网内没有修补漏洞的电脑理论上将无一幸免的感染该病毒。

如果咱们支付了赎金，可能会记录咱们的个人信息，包括咱们的账户等等个人信息，这些信息被他们利用之后，可能会变成二次进行攻击的目标。

wanacry勒索病毒本身没什么不一样，但是Wana系列敲诈者木马的传播渠道是利用了445端口传播扩散的SMB漏洞MS17-101且ms17-010覆盖Windows全部系列 *** 作系统，受众群体特别庞大

微软在17年3月发布了该漏洞的补丁。2017年4月，黑客组织Shadow Brokers公布的Equation Group（方程式组织）使用的“网络军火库”中包含了该漏洞的利用程序，而该勒索软件的攻击者或者攻击组织就是在借鉴了“网络军火库”后进行了这次全球大规模的攻击，主要影响校园网，医院、事业单位等内网用户。

目前wana勒索病毒已经被初步控制。

Windows用户可以通过杀毒软件协助或者前往micsoft官网安装ms17-010补丁，同时尽量避免高危 *** 作(访问钓鱼网页，下载非正规视频资源，连接局域网游戏等)，若不幸中毒切勿支付赎金，联系安全厂商协助恢复数据，或格式化硬盘彻底在设备上消灭病毒。

勒索病毒一般指WannaCry。

WannaCry（想哭，又叫Wanna Decryptor），一种“蠕虫式”的勒索病毒软件，大小33MB，由不法分子利用NSA（National Security Agency，美国国家安全局）泄露的危险漏洞“EternalBlue”（永恒之蓝）进行传播。

该恶意软件会扫描电脑上的TCP 445端口(Server Message Block/SMB)，以类似于蠕虫病毒的方式传播，攻击主机并加密主机上存储的文件，然后要求以比特币的形式支付赎金。勒索金额为300至600美元。

2017年5月14日，WannaCry 勒索病毒出现了变种：WannaCry 20，取消Kill Switch 传播速度或更快。截止2017年5月15日，WannaCry造成至少有150个国家受到网络攻击，已经影响到金融，能源，医疗等行业，造成严重的危机管理问题。中国部分Window *** 作系统用户遭受感染，校园网用户首当其冲，受害严重，大量实验室数据和毕业设计被锁定加密。

目前，安全业界暂未能有效破除该勒索软件的恶意加密行为。微软总裁兼首席法务官Brad Smith称，美国国家安全局未披露更多的安全漏洞，给了犯罪组织可乘之机，最终带来了这一次攻击了150个国家的勒索病毒。

当用户主机系统被该勒索软件入侵后，d出如下勒索对话框，提示勒索目的并向用户索要比特币。而对于用户主机上的重要文件，如：照片、、文档、压缩包、音频、视频、可执行程序等几乎所有类型的文件，都被加密的文件后缀名被统一修改为“WNCRY”。目前，安全业界暂未能有效破除该勒索软的恶意加密行为，用户主机一旦被勒索软件渗透，只能通过重装 *** 作系统的方式来解除勒索行为，但用户重要数据文件不能直接恢复。

目前，安全业界暂未能有效破除该勒索软件的恶意加密行为。网络安全专家建议，用户要断网开机，即先拔掉网线再开机，这样基本可以避免被勒索软件感染。开机后应尽快想办法打上安全补丁，或安装各家网络安全公司针对此事推出的防御工具，才可以联网。建议尽快备份电脑中的重要文件资料到移动硬盘、U 盘，备份完后脱机保存该磁盘，同时对于不明链接、文件和邮件要提高警惕，加强防范。

临时解决方案：

开启系统防火墙

利用系统防火墙高级设置阻止向445端口进行连接（该 *** 作会影响使用445端口的服务）

打开系统自动更新，并检测更新进行安装

Win7、Win8、Win10的处理流程

1、打开控制面板-系统与安全-Windows防火墙，点击左侧启动或关闭Windows防火墙。

2、选择启动防火墙，并点击确定

3、点击高级设置

4、点击入站规则，新建规则

5、选择端口，下一步

6、特定本地端口，输入445，下一步

7、选择阻止连接，下一步

8、配置文件，全选，下一步

9、名称，可以任意输入，完成即可。

XP系统的处理流程

1、依次打开控制面板，安全中心，Windows防火墙，选择启用

2、点击开始，运行，输入cmd，确定执行下面三条命令：net stop rdr 、net stop srv 、net stop netbt

已经中了勒索病毒的话，需要马上隔离被感染的服务器主机、确定被感染的范围、进行系统修复等。

1、马上隔离被感染的服务器主机

计算机中毒重要是跟外部的网络保持连接接触，中了病毒的网络设备，要及时切断网络连接。拔掉中毒主机网线，断开主机与网络的连接，同时还要注意关闭主机的无线网络、蓝牙连接等，并拔掉连接在主机上的所有外部存储设备。

2、确定被感染的范围

切断服务器主机与外界的连接后，接下来需要查看主机中的所有文件夹、网络共享文件目录、外置硬盘、USB驱动器，以及主机上云存储中的文件等，是否已经全部被加密了，检查确定哪些文件还没有被加密处理。

3、进行系统修复

在确定了病毒样式，提取主机日志，进行溯源分析之后，找到相应的漏洞，则要进行系统的修复工作。彻底清除病毒，安装高强度防火墙，防病毒软件等。关闭不必要的端口、网络共享、打上相应的漏洞补丁，同时也需要及时修改主机密码，防止被二次感染勒索病毒。

勒索病毒是什么？

勒索软件，又称勒索病毒，是一种特殊的恶意软件，又被人归类为“阻断访问式攻击”（denial-of-access attack），其与其他病毒最大的不同在于手法以及中毒方式。主要以邮件、程序木马、网页挂马的形式进行传播，该病毒性质恶劣、危害极大。

一旦感染将给用户带来无法估量的损失。这种病毒利用各种加密算法对文件进行加密，被感染者一般无法解密，必须拿到解密的私钥才有可能破解。据“火绒威胁情报系统”监测和和评估，从2018年初到9月中旬，勒索病毒总计对超过200万台终端发起过攻击。

---