打补丁封端口对防治勒索病毒效果怎么样？

在5月12日20:00左右，WannaCry勒索病毒登陆并袭击中国。

截至目前，已有央企、医院、学校、能源、政府机关等在内的主机受损严重，虽然中央网信办对外称传播的速度放缓，但恐慌还在持续。

针对WannaCry的来袭，各家反病毒及网络安全厂商都在彻夜奋战，积极行动。

目前看到大家的主要手段有两种：首先是关闭445端口；其次是打补丁。

不过，这两种方法都比较被动，而且作用和效果有限。只打补丁封端口无法彻底根治勒索者。

此次WannaCry勒索病毒之所以在全球传播如此迅猛，主要的原因是病毒制作者利用的漏洞等级高、危害大。

此次WanaCry勒索病毒利用了MS17-010中的SMB协议漏洞， 该协议漏洞在微软的官方漏洞披露中定义为最高严重级别， 而且利用能力为“可远程执行恶意代码”。

更为关键的是该漏洞的影响，基本覆盖了所有Windows *** 作系统。

其次的原因为：虽然微软在本年度3月份已经发布了这一漏洞的补丁，但恶意软件制作者充分利用了人们打补丁延迟的时机， 并且有演练的推进了全球漏洞扫描采样， 确认了此漏洞目前尚未修补的情况， 从而非常精准有效的发动了一次全球规模的勒索袭击。

截至目前，市场中有模有样的各类厂商推出了各类的免疫工具、修补工具、应急工具甚至是查杀工具。这些工具的核心功能就是帮助用户打补丁。

打补丁是必要的，但打补丁只能降低中招的几率和传播的能力，并不能彻底根治。

但是没有人敢对外承诺：打了补丁，就能彻底预防勒索者病毒。

另外，445端口作为文件共享和打印机共享经常使用的端口， 在企业内部使用程度非常高。
但本次事件利用的是SMB协议漏洞， 而不是开着445就一定会借此传播。

虽然SMB使用了445， 但445端口是无辜的。 很多企业为了图方便，
直接封闭了445端口。封闭445端口，可以减少或降低局域网内WannaCry这些蠕虫病毒的传播性，但无法解决单一主机是否中勒索者病毒的问题，更谈不上彻底根治。

本次WannaCry勒索者病毒的爆发，是近10年中国所面对的最大的网络安全大事件。

对国内的反病毒软件厂商来说，WannaCry勒索者病毒就是一块试金石，用来检验产品是否可以支持用户实现防御，产品技术是否过关。而在本次事件爆发后，有不少厂商露出了之前频繁炒作、不重视产品与技术的原形。

此次勒索软件较大范围传播是近年来少有的，也再一次给人们敲响了警钟。

互联网等信息技术的快速发展，在给人们带来巨大福祉的同时，也带来了前所未有的网络安全挑战。该负责人建议，各方面都要高度重视网络安全问题，及时安装安全防护软件，及时升级 *** 作系统和各种应用的安全补丁，设置高安全强度口令并定期更换，不要下载安装来路不明的应用软件，对特别重要的数据采取备份措施等。

第一步：开启windows防火墙

第二步：建立入站规则阻止勒索蠕虫病毒

以win7为例，进入控制面板-系统和安全-windows防火墙

1新建入站规则

“高级安全windows防火墙”，右击“入站规则”，选择“新规则”；

2选择防火墙规则类型

在规则类型页面中选择“端口”，单击“下一步”；

3选择协议和端口

在协议和端口页面中选择“TCP”和“特定本地端口”，并输入“137-139”，单击“下一步”；

4指定要执行的 *** 作

在 *** 作页面中选择“阻止连接”，单击“下一步”；

5选择配置文件

在配置文件页面中选择“域”、“专用”、“公用”，单击“下一步”；

6指定入站规则名称

在名称页面中输入名称和描述，然后单击“完成按钮”；

按照相同的办法依次分别添加TCP和UDP的135、137-139、445端口，如下：

5月12日开始散播的勒索蠕虫病毒，从发现到大面积传播，仅仅用了几个小时，其中高校成为了重灾区。那么，这款病毒究竟要如何防范呢下面我就带大家一起来详细了解下吧。

勒索蠕虫病毒预防处理方法

1、关闭危险埠已制作一键关闭批处理

2、更新安全补丁已提供各版本作业系统补丁下载

3、安装防毒软体推荐：微软防毒软体已提供软体包及病毒库升级包

2017年5月12日起，全球范围内爆发基于Windows网路共享协议进行攻击传播的蠕虫恶意程式码，这是不法分子通过改造之前泄露的NSA黑客武器库中“永恒之蓝”攻击程式发起的网路攻击事件，使用者只要开机上网就可被攻击。五个小时内，影响覆盖美国、俄罗斯、整个欧洲等100多个国家，国内多个高校校内网、大型企业内网和 机构专网中招，被勒索支付高额赎金才能解密恢复档案，对重要资料造成严重损失。这次的“永恒之蓝”勒索蠕虫，是NSA网路军火民用化的全球第一例。一个月前，第四批NSA相关网路攻击工具及文件被ShadowBrokers组织公布，包含了涉及多个Windows系统服务SMB、RDP、IIS的远端命令执行工具，其中就包括“永恒之蓝”攻击程式。

漏洞描述

近期国内多处高校网路和企业内网出现WannaCry勒索软体感染情况，磁碟档案会被病毒加密，只有支付高额赎金才能解密恢复档案，对重要资料造成严重损失。

根据网路安全机构通报，这是不法分子利用NSA黑客武器库泄漏的“永恒之蓝”发起的蠕虫病毒攻击传播勒索恶意事件。恶意程式码会扫描开放445档案共享埠的Windows机器，无需使用者任何 *** 作，只要开机上网，不法分子就能在电脑和伺服器中植入勒索软体、远端控制木马、虚拟货币挖矿机等恶意程式。

由于以前国内多次爆发利用445埠传播的蠕虫，部分运营商在主干网路上封禁了445埠，但是教育网及大量企业内网并没有此限制而且并未及时安装补丁，仍然存在大量暴露445埠且存在漏洞的电脑，导致目前蠕虫的泛滥。

风险等级

360安全监测与响应中心对此事件的风险评级为：危急

影响范围

扫描内网，发现所有开放445SMB服务埠的终端和伺服器，对于Win7及以上版本的系统确认是否安装了MS17-010补丁，如没有安装则受威胁影响。Win7以下的WindowsXP/2003目前没有补丁，只要开启SMB服务就受影响。

应急处置方法

目前利用漏洞进行攻击传播的蠕虫开始氾滥，360企业安全强烈建议网路管理员在网路边界的防火墙上阻断445埠的访问，如果边界上有IPS和360新一代智慧防火墙之类的装置，请升级装置的检测规则到最新版本并设定相应漏洞攻击的阻断，直到确认网内的电脑已经安装了MS17-010补丁或关闭了Server服务。

终端层面

暂时关闭Server服务。

检查系统是否开启Server服务：

1、开启开始按钮，点选执行，输入cmd，点选确定

2、输入命令：netstat-an回车

3、检视结果中是否还有445埠

感染处理

对于已经感染勒索蠕虫的机器建议隔离处置。

根治方法

对于Win7及以上版本的作业系统，目前微软已释出补丁MS17-010修复了“永恒之蓝”攻击的系统漏洞，请立即电脑安装此补丁。出于基于许可权最小化的安全实践，建议使用者关闭并非必需使用的Server服务， *** 作方法见“应急处置方法”部分。

对于WindowsXP、2003等微软已不再提供安全更新的机器，推荐使用360“NSA武器库免疫工具”检测系统是否存在漏洞，并关闭受到漏洞影响的埠，以避免遭到勒索蠕虫病毒的侵害。免疫工具下载地址：

恢复阶段

建议针对重要业务系统立即进行资料备份，针对重要业务终端进行系统映象，制作足够的系统恢复盘或者装置进行替换。

关于 WannaCry/Wcry 勒索蠕虫病毒的具体防范措施建议

一、个人计算机使用者的预防措施

1、使用Widnows Vista、Windows 7、Windows 81、Windows 10、Windows Server 2008、Windows Server 2012、Windows Server 2016 系统的使用者，请启用系统自带的更新功能将补丁版本升级到最新版本;

2、仍然使用Windows XP、Windows 8 及 Windows Server 2003 系统使用者，建议升级作业系统到 Windows 7 及以上，如果因为特殊原因无法升级作业系统版本的，请手动下载补丁程式进行安装，补丁下载地址：

3、升级电脑上的防毒软体病毒库到最新版本。

二、校园网预防措施

在校园网装置上阻断TCP 135、137、139、445 埠的连线请求，将会有效防止该病毒的传播，但是同时也阻断了校内外使用者正常访问使用Windows系统相应档案共享机制的资讯系统和网路服务。因此，必须谨慎使用下列预付措施：

1、在网路边界如校园网出口上阻断 TCP 135、137、139、445 埠的连线请求。这个 *** 作可有效阻断病毒从外部传入内部网路，但无法阻止病毒在内部网路传播。

2、在校园网的核心交换装置处阻断 TCP 135、137、139、445 埠的连线请求，该 *** 作可阻断病毒在校内的区域网间进行传播，但无法阻止病毒在区域网内传播。

3、在区域网子网边界处阻断 TCP 135、137、139、445 埠的连线请求，该 *** 作可最大限度保护子网的安全，但是无法阻挡该病毒在同台交换机下传播。

综上所述，阻断网路的TCP 135、137、139、445 埠连线请求只是临时措施，尽快完成各类使用者Windows系统软体的升级或修复漏洞才是防范该病毒的根本措施。

看过的人还：

分类: 电脑/网络 >> 反病毒
问题描述:

电脑蠕虫病毒是怎样出现的它会带给电脑怎样的危害怎样防范,辨认和解除它的威胁

解析:

预防方法就是及时升级杀毒软件

蠕虫病毒

蠕虫病毒和一般的计算机病毒有着很大的区别，对于它，现在还没有一个成套的理论体系，但是一般认为：蠕虫病毒是一种通过网络传播的恶性病毒，它除具有病毒的一些共性外，同时具有自己的一些特征，如不利用文件寄生（有的只存在于内存中），对网络造成拒绝服务，以及与黑客技术相结合等等。蠕虫病毒主要的破坏方式是大量的复制自身，然后在网络中传播，严重的占用有限的网络资源，最终引起整个网络的瘫痪，使用户不能通过网络进行正常的工作。每一次蠕虫病毒的爆发都会给全球经济造成巨大损失，因此它的危害性是十分巨大的；有一些蠕虫病毒还具有更改用户文件、将用户文件自动当附件转发的功能，更是严重的危害到用户的系统安全。
传播方式：

蠕虫病毒常见的传播方式有2种：

1利用系统漏洞传播——蠕虫病毒利用计算机系统的设计缺陷，通过网络主动的将自己扩散出去。

2利用电子邮件传播——蠕虫病毒将自己隐藏在电子邮件中，随电子邮件扩散到整个网络中，这也是是个人计算机被感染的主要途径。

感染对象：

蠕虫病毒一般不寄生在别的程序中，而多作为一个独立的程序存在，它感染的对象是全网络中所有的计算机，并且这种感染是主动进行的，所以总是让人防不胜防。在现今全球网络高度发达的情况下，一种蠕虫病毒在几个小时之内蔓延全球并不是什么困难的事情。

病毒典型代表——震荡波

震荡波（WormSasser）病毒仅感染Windows 2000,Windows XP *** 作系统。病毒发作时，在本地开辟后门，监听TCP 5554端口，做为FTP服务器等待远程控制命令，黑客可以通过这个端口偷窃用户机器的文件和其他信息。同时，病毒开辟128个扫描线程，以本地IP地址为基础，取随机IP地址，疯狂的试探连接445端口，试图利用windows的LSASS 中存在一个缓冲区溢出漏洞进行攻击，一旦攻击成功会导致对方机器感染此病毒并进行下一轮的传播，攻击失败也会造成对方机器的缓冲区溢出,导致对方机器程序非法 *** 作,以及系统异常等。

---