勒索病毒WannaCry怎么解决

方法/步骤

1、系统中招后，病毒会加密系统中的照片、、文档、压缩包、音频、视频、可执行程序等几乎所有类型的文件，被加密的文件后缀名被统一修改为“WNCRY”，病毒更改终端背景提出勒索要求，如下：

2、隔离受感染主机

全部服务器断开网络，如：拔掉网线、 *** 作系统内禁用网络连接。对于已经感染病毒的服务，目前业界暂无有效解决方案，建议隔离放置，暂时不要做任何 *** 作。

3、切断内网传播途径

内网交换机上配置访问控制策略，禁止内网之间的135、137、139、445端口的访问权限。具体 *** 作方案可参照对应交换机产品的 *** 作手册。

1）建议核心交换、汇聚交换机、接入层交换机等具备访问控制策略功能的交换机全部开启。

2）445等端口为网上邻居、共享应用的端口，禁用端口后对应的应用将无法

对外系统服务。例如：打印机、共享文件夹等应用。

4、切断外网传播途径

使用安全设备开启漏洞防护功能，或者在安全网关上限制135、138、139、445等访问端口进行防护。具体 *** 作可与安全设备对应厂商进行确认。

1）安全网关设备开启对应防护规则

应用层防火墙、IPS等安全网关可能集成相应的防护功能，可以通过其应用层防火的功能阻止外网到内网的传播，具体建议与对应厂商进行确认。

2）安全网关通过限制访问端口进行防护

如果无法通过上述第一点进行防护，可以在边界防火墙设备上禁止对网络中135/137/139/445端口的访问，切断外部传播途径。

5、修复或规避潜在的漏洞

1、关闭潜在服务器的SMB服务及端口 ,开启服务器防火墙，

2、服务器重要数据做好备份处理，

3、安装微软系统补丁，修复系统漏洞。

敲诈者木马名称WannaCry新家族

该木马通加密形式锁定用户电脑txt、doc、ppt、xls等缀名类型文档导致用户使用程序进行勒索要求用户提交赎金才解锁

目前内各安全厂商均启东相关安全控件补丁修复

若幸毒切勿支付赎金联系安全厂商恢复您数据

永恒之蓝漏洞补丁卸载掉的步骤如下。

1、打开“控制面板”，选择“程序和功能”。

2、在列表中找到安装了永恒之蓝漏洞补丁的程序，右键单击它，选择“卸载”。

3、接下来，系统会提示您是否确认卸载该程序，点击“是”即可。

4、等待程序卸载完成后，可能需要重启计算机才能生效。

1、不要轻易下载小网站的软件与程序。

2、不要光顾那些很诱惑人的小网站，因为这些网站很有可能就是网络陷阱。

3、不要随便打开某些来路不明的E-mail与附件程序。

4、安装正版杀毒软件公司提供的防火墙，并注意时时打开着。

5、不要在线启动、阅读某些文件，否则您很有可能成为网络病毒的传播者。

6、安装腾讯电脑管家保护电脑安全，云查杀引擎——率先引入全球领先的安全产品小红伞查杀引擎。“鹰眼”反病毒引擎——管家第二代反病毒引擎“鹰眼”，采用新一代机器学习技术，顺应了本地杀毒引擎的未来发展趋势。资源占用少，病毒识别率提高10%。

WannaCry病毒的一个进程名叫mssecsvcexe

原病毒文件mssecsvcexe:

①会释放并执行taskscheexe文件，然后检查kill switch域名。

②之后它会创建mssecsvc20服务。该服务会使用与初次执行不同的入口点执行mssecsvcexe文件。

③第二次执行会检查被感染电脑的IP地址，并尝试联接到相同子网内每个IP地址的TCP 445端口。

④当恶意软件成功联接到一台电脑时，将会建立联接并传输数据。

WannaCry（想哭，又叫Wanna Decryptor），一种“蠕虫式”的勒索病毒软件，大小33MB，由不法分子利用此前披露的Windows SMB服务漏洞（对应微软漏洞公告：MS17-010）攻击手段，向终端用户进行渗透传播。该恶意软件会扫描电脑上的TCP 445端口(Server Message Block/SMB)，以类似于蠕虫病毒的方式传播，攻击主机并加密主机上存储的文件，然后要求以比特币的形式支付赎金。

勒索金额为300至600美元。2017年5月14日，WannaCry 勒索病毒出现了变种：WannaCry 20，取消Kill Switch 传播速度或更快。

截止2017年5月15日，WannaCry造成至少有150个国家受到网络攻击，已经影响到金融，能源，医疗等行业，造成严重的危机管理问题。中国部分Window *** 作系统用户遭受感染，校园网用户首当其冲，受害严重，大量实验室数据和毕业设计被锁定加密。

目前，安全业界暂未能有效破除该勒索软件的恶意加密行为。微软总裁兼首席法务官Brad Smith称，美国国家安全局未披露更多的安全漏洞，给了犯罪组织可乘之机，最终带来了这一次攻击了150个国家的勒索病毒。当用户主机系统被该勒索软件入侵后，d出如下勒索对话框，提示勒索目的并向用户索要比特币。

而对于用户主机上的重要文件，如：照片、、文档、压缩包、音频、视频、可执行程序等几乎所有类型的文件，都被加密的文件后缀名被统一修改为“WNCRY”。目前，安全业界暂未能有效破除该勒索软的恶意加密行为，用户主机一旦被勒索软件渗透，只能通过重装 *** 作系统的方式来解除勒索行为，但用户重要数据文件不能直接恢复。WannaCry主要利用了微软“视窗”系统的漏洞，以获得自动传播的能力，能够在数小时内感染一个系统内的全部电脑。

勒索病毒被漏洞远程执行后，会从资源文件夹下释放一个压缩包，此压缩包会在内存中通过密码：WNcry@2ol7解密并释放文件。这些文件包含了后续d出勒索框的exe，桌面背景的bmp，包含各国语言的勒索字体，还有辅助攻击的两个exe文件。这些文件会释放到了本地目录，并设置为隐藏。（#注释：说明一下，“永恒之蓝”是NSA泄露的漏洞利用工具的名称，并不是该病毒的名称#）WannaCry利用Windows *** 作系统445端口存在的漏洞进行传播，并具有自我复制、主动传播的特性。

被该勒索软件入侵后，用户主机系统内的照片、、文档、音频、视频等几乎所有类型的文件都将被加密，加密文件的后缀名被统一修改为．WNCRY，并会在桌面d出勒索对话框，要求受害者支付价值数百美元的比特币到攻击者的比特币钱包，且赎金金额还会随着时间的推移而增加。

参考链接：恶意软件  百度百科

没有被感染，预防防御办法（非常重要）

(1) 首要任务确定您的反病毒软件更新到最新并可以查杀该勒索软件。 Microsoft 反病毒产品病

毒库版本 12432900 及以上可以查杀当前发现的这一变种。如您使用其他反病毒软件，建议

与相应厂商确认。

(2) 确保终端用户理解他们不应打开任何可疑的附件，即使他们看到一个熟悉的图标（ PDF 或

Office 文档）。用户不应在任何情况下执行附件中包含的可执行文件。如果有任何疑问，请用

户联系 IT 管理部门。

(3) 确保 MS17-010 在所有计算机上安装，推荐安装最新的 Microsoft 安全补丁，并将其他第

三方软件更新到最新。

变通办法

如暂时难以完成补丁安装， 以下变通办法在您遇到的情形中可能会有所帮助:

禁用 SMBv1

对于运行 Windows Vista 及更高版本的客户

请参阅 Microsoft 知识库文章 2696547

适用于运行 Windows 81 或 Windows Server 2012 R2 及更高版本的客户的替代方法

对于客户端 *** 作系统：

1 打开“控制面板”，单击“程序”，然后单击“打开或关闭 Windows 功能”。

2 在“Windows 功能”窗口中，清除“SMB 10/CIFS 文件共享支持”复选框，然后单击

“确定”以关闭此窗口。

3 重启系统。

以上就是关于勒索病毒WannaCry怎么解决全部的内容，包括:勒索病毒WannaCry怎么解决、如何恢复部分WannaCry勒索软件加密文件、永恒之蓝漏洞补丁怎么卸载掉等相关内容解答，如果想了解更多相关内容，可以关注我们，你们的支持是我们更新的动力！