如何防范感染勒索蠕虫病毒？

5月12日开始散播的勒索蠕虫病毒，从发现到大面积传播，仅仅用了几个小时，其中高校成为了重灾区。那么，这款病毒究竟要如何防范呢下面我就带大家一起来详细了解下吧。

勒索蠕虫病毒预防处理方法

1、关闭危险埠已制作一键关闭批处理

2、更新安全补丁已提供各版本作业系统补丁下载

3、安装防毒软体推荐：微软防毒软体已提供软体包及病毒库升级包

2017年5月12日起，全球范围内爆发基于Windows网路共享协议进行攻击传播的蠕虫恶意程式码，这是不法分子通过改造之前泄露的NSA黑客武器库中“永恒之蓝”攻击程式发起的网路攻击事件，使用者只要开机上网就可被攻击。五个小时内，影响覆盖美国、俄罗斯、整个欧洲等100多个国家，国内多个高校校内网、大型企业内网和 机构专网中招，被勒索支付高额赎金才能解密恢复档案，对重要资料造成严重损失。这次的“永恒之蓝”勒索蠕虫，是NSA网路军火民用化的全球第一例。一个月前，第四批NSA相关网路攻击工具及文件被ShadowBrokers组织公布，包含了涉及多个Windows系统服务SMB、RDP、IIS的远端命令执行工具，其中就包括“永恒之蓝”攻击程式。

漏洞描述

近期国内多处高校网路和企业内网出现WannaCry勒索软体感染情况，磁碟档案会被病毒加密，只有支付高额赎金才能解密恢复档案，对重要资料造成严重损失。

根据网路安全机构通报，这是不法分子利用NSA黑客武器库泄漏的“永恒之蓝”发起的蠕虫病毒攻击传播勒索恶意事件。恶意程式码会扫描开放445档案共享埠的Windows机器，无需使用者任何 *** 作，只要开机上网，不法分子就能在电脑和伺服器中植入勒索软体、远端控制木马、虚拟货币挖矿机等恶意程式。

由于以前国内多次爆发利用445埠传播的蠕虫，部分运营商在主干网路上封禁了445埠，但是教育网及大量企业内网并没有此限制而且并未及时安装补丁，仍然存在大量暴露445埠且存在漏洞的电脑，导致目前蠕虫的泛滥。

风险等级

360安全监测与响应中心对此事件的风险评级为：危急

影响范围

扫描内网，发现所有开放445SMB服务埠的终端和伺服器，对于Win7及以上版本的系统确认是否安装了MS17-010补丁，如没有安装则受威胁影响。Win7以下的WindowsXP/2003目前没有补丁，只要开启SMB服务就受影响。

应急处置方法

目前利用漏洞进行攻击传播的蠕虫开始氾滥，360企业安全强烈建议网路管理员在网路边界的防火墙上阻断445埠的访问，如果边界上有IPS和360新一代智慧防火墙之类的装置，请升级装置的检测规则到最新版本并设定相应漏洞攻击的阻断，直到确认网内的电脑已经安装了MS17-010补丁或关闭了Server服务。

终端层面

暂时关闭Server服务。

检查系统是否开启Server服务：

1、开启开始按钮，点选执行，输入cmd，点选确定

2、输入命令：netstat-an回车

3、检视结果中是否还有445埠

感染处理

对于已经感染勒索蠕虫的机器建议隔离处置。

根治方法

对于Win7及以上版本的作业系统，目前微软已释出补丁MS17-010修复了“永恒之蓝”攻击的系统漏洞，请立即电脑安装此补丁。出于基于许可权最小化的安全实践，建议使用者关闭并非必需使用的Server服务， *** 作方法见“应急处置方法”部分。

对于WindowsXP、2003等微软已不再提供安全更新的机器，推荐使用360“NSA武器库免疫工具”检测系统是否存在漏洞，并关闭受到漏洞影响的埠，以避免遭到勒索蠕虫病毒的侵害。免疫工具下载地址：

恢复阶段

建议针对重要业务系统立即进行资料备份，针对重要业务终端进行系统映象，制作足够的系统恢复盘或者装置进行替换。

关于 WannaCry/Wcry 勒索蠕虫病毒的具体防范措施建议

一、个人计算机使用者的预防措施

1、使用Widnows Vista、Windows 7、Windows 81、Windows 10、Windows Server 2008、Windows Server 2012、Windows Server 2016 系统的使用者，请启用系统自带的更新功能将补丁版本升级到最新版本;

2、仍然使用Windows XP、Windows 8 及 Windows Server 2003 系统使用者，建议升级作业系统到 Windows 7 及以上，如果因为特殊原因无法升级作业系统版本的，请手动下载补丁程式进行安装，补丁下载地址：

3、升级电脑上的防毒软体病毒库到最新版本。

二、校园网预防措施

在校园网装置上阻断TCP 135、137、139、445 埠的连线请求，将会有效防止该病毒的传播，但是同时也阻断了校内外使用者正常访问使用Windows系统相应档案共享机制的资讯系统和网路服务。因此，必须谨慎使用下列预付措施：

1、在网路边界如校园网出口上阻断 TCP 135、137、139、445 埠的连线请求。这个 *** 作可有效阻断病毒从外部传入内部网路，但无法阻止病毒在内部网路传播。

2、在校园网的核心交换装置处阻断 TCP 135、137、139、445 埠的连线请求，该 *** 作可阻断病毒在校内的区域网间进行传播，但无法阻止病毒在区域网内传播。

3、在区域网子网边界处阻断 TCP 135、137、139、445 埠的连线请求，该 *** 作可最大限度保护子网的安全，但是无法阻挡该病毒在同台交换机下传播。

综上所述，阻断网路的TCP 135、137、139、445 埠连线请求只是临时措施，尽快完成各类使用者Windows系统软体的升级或修复漏洞才是防范该病毒的根本措施。

看过的人还：

用NSA武器库免疫工具打开，  然后点击恢复端口，  正常访问共享电脑。

5月12日起，Onion、WNCRY两类敲诈者病毒变种在全国乃至全世界大范围内出现爆发态势，大量个人和企业、机构用户中招。

与以往不同的是，这次的新变种病毒添加了NSA(美国国家安全局)黑客工具包中的“永恒之蓝”0day漏洞利用，通过445端口(文件共享)在内网进行蠕虫式感染传播。

没有安装安全软件或及时更新系统补丁的其他内网用户极有可能被动感染，所以目前感染用户主要集中在企业、高校等内网环境下。

一旦感染该蠕虫病毒变种，系统重要资料文件就会被加密，并勒索高额的比特币赎金，折合人民币2000-50000元不等。

从目前监控到的情况来看，全网已经有数万用户感染，QQ、微博等社交平台上也是哀鸿遍野，后续威胁也不容小觑。

敲诈勒索病毒＋远程执行漏洞蠕虫传播的组合致使危险度剧增，对近期国内的网络安全形势一次的严峻考验。

事发后，微软和各大安全公司都第一时间跟进，更新旗下安全软件。金山毒霸也特别针对本次敲诈者蠕虫，给出了详细的安全防御方案、传播分析，以及其他安全建议。

我们也汇总了所有Windows系统版本的补丁，请大家务必尽快安装更新。

传播感染背景

本轮敲诈者蠕虫病毒传播主要包括Onion、WNCRY两大家族变种，首先在英国、俄罗斯等多个国家爆发，有多家企业、医疗机构的系统中招，损失非常惨重。

安全机构全球监测已经发现目前多达74个国家遭遇本次敲诈者蠕虫攻击。

从5月12日开始，国内的感染传播量也开始急剧增加，在多个高校和企业内部集中爆发并且愈演愈烈。

全球74个国家遭遇Onion、WNCRY敲诈者蠕虫感染攻击

24小时内监测到的WNCRY敲诈者蠕虫攻击次数超过10W+

本次感染急剧爆发的主要原因在于其传播过程中使用了前段时间泄漏的美国国家安全局(NSA)黑客工具包中的“永恒之蓝”漏洞(微软3月份已经发布补丁，漏洞编号MS17-010)。

和历史上的“震荡波”、“冲击波”等大规模蠕虫感染类似，本次传播攻击利用的“永恒之蓝”漏洞可以通过445端口直接远程攻击目标主机，传播感染速度非常快。

WannaCry（想哭，又叫Wanna Decryptor），一种“蠕虫式”的勒索病毒软件，大小33MB，由不法分子利用NSA泄露的危险漏洞“EternalBlue”（永恒之蓝）进行传播。
该恶意软件会扫描电脑上的TCP 445端口(Server Message Block/SMB)，以类似于蠕虫病毒的方式传播，攻击主机并加密主机上存储的文件，然后要求以比特币的形式支付赎金。勒索金额为300至600美元。
2017年5月14日，WannaCry 勒索病毒出现了变种：WannaCry 20，取消Kill Switch 传播速度或更快。截止2017年5月15日，WannaCry造成至少有150个国家受到网络攻击，已经影响到金融，能源，医疗等行业，造成严重的危机管理问题。中国部分Window *** 作系统用户遭受感染，校园网用户首当其冲，受害严重，大量实验室数据和毕业设计被锁定加密。
目前，安全业界暂未能有效破除该勒索软件的恶意加密行为。微软总裁兼首席法务官Brad Smith称，美国国家安全局未披露更多的安全漏洞，给了犯罪组织可乘之机，最终带来了这一次攻击了150个国家的勒索病毒。

关闭445端口，及时安装发布的系统补丁，然后安装防护类的软件。
Windows用户可以通过格式化所有硬盘从而彻底在设备上消除wanacry勒索病毒。
个人用户可以联系国内外安全厂商例如:奇虎360，金山毒霸，卡巴斯基，麦克菲尔，腾讯安全管家等安全中心寻求协助恢复重要数据。
利用“勒索病毒免疫工具”进行修复。用户通过其他电脑下载腾讯电脑管家“勒索病毒免疫工具”离线版，并将文件拷贝至安全、无毒的U盘；再将指定电脑在关闭WiFi，拔掉网线，断网状态下开机，并尽快备份重要文件；然后通过U盘使用“勒索病毒免疫工具”离线版，进行一键修复漏洞；联网即可正常使用电脑。
利用“文件恢复工具”进行恢复。已经中了病毒的用户，可以使用电脑管家-文件恢复工具进行文件恢复，有一定概率恢复您的文档。
注意:也可持续关注相关安全厂商的处理办法，等待更加优越的完美解锁。

---