勒索病毒已變種！廣東這些城市最嚴重！肇慶排第……

今天

大家是否收到這條簡訊？

這究竟發生了什麼？

▼▼▼

今天（5月15日），電腦一開機，可能所有的文件將被加密無法讀取，要麼花300美元，要麼重裝電腦，數據文件全失!

5月12日開始在全球肆虐的WannaCrypt(永恆之藍)勒索蠕蟲攻擊，在周末兩天已發展成為史上最大規模的勒索軟體攻擊事件。

5月15日首個工作日，可能迎來勒索蠕蟲爆發的高峰期,我們該如何規避這一安全風險？

感染後只能重裝系統，

重要數據文件不能直接恢復

這一安全事件的風險已被包括360在內的多家安全機構定級為「危急」。

中國國家網際網路應急中心表示,目前,安全業界暫未能有效破除該勒索軟的惡意加密行為,用戶主機一旦被勒索軟體滲透,只能通過重裝作業系統的方式來解除勒索行為,但用戶重要數據文件不能直接恢復。

根據360威脅情報中心的統計，在短短一天多的時間，全球近百個國家的超過10萬家組織和機構被攻陷，其中包括1600家美國組織,11200家俄羅斯組織。

包括西班牙電信巨頭Telefonica,電力公司Iberdrola,能源供應商Gas Natural在內的西班牙公司的網絡系統也都癱瘓。

葡萄牙電信、美國運輸巨頭FedEx、瑞典某當地政府、俄羅斯第二大移動通信運營商Megafon都已曝出相關的攻擊事件。

國內已經有29372家機構組織的數十萬台機器感染WannaCrypt(永恆之藍),被感染的組織和機構已經覆蓋了幾乎所有地區,影響範圍遍布高校、火車站、自助終端、郵政、加油站、醫院、政府辦事終端等多個領域。

目前被感染的電腦數字還在不斷增長中。

開機前先做好這些防護措施

周一(5月15日)工作日首日,是電腦開機的高峰,也是勒索蠕蟲傳播的高峰,360安全監測與響應中心向與勒索蠕蟲病毒關係密切的伺服器管理員、桌面終端管理員、普通用戶分別提供了完整的安全開機操作指南。

步驟一：開機前，拔掉網線、停用無線等一切網際網路連接;

步驟二：使用安全(無病毒)的U盤下載系統補丁,並給每台計算機打上該補丁;

步驟三：使用安全(無病毒)的U盤下載「360NSA武器庫免疫工具」,對計算機補丁升級情況進行安全檢測;

步驟四：完成上述步驟後，方可聯網。

另外,各用戶要關閉計算機作業系統不必要開放的445、135、137、138、139等埠，關閉網絡共享功能,並對重要文件數據進行備份。

在防範上,騰訊安全聯合實驗室反病毒實驗室負責人、騰訊電腦管家安全技術專家馬勁松指出：

◆一是,臨時關閉埠。

Windows用戶可以使用防火牆過濾個人電腦,並且臨時關閉135、137、445埠3389遠程登錄(如果不想關閉3389遠程登錄,至少也是關閉智慧卡登錄功能)，並注意更新安全產品進行防禦,儘量降低電腦受攻擊的風險。

◆二是，及時更新 Windows已發布的安全補丁。

在3月MS17-010漏洞剛被曝出的時候,微軟已經針對Win7、Win10等系統在內提供了安全更新;此次事件爆發後,微軟也迅速對此前尚未提供官方支持的Windows XP等系統發布了特別補丁。

◆三是，利用「勒索病毒免疫工具」進行修復。

用戶通過其他電腦下載各個安全軟體開啟免疫功能,並將文件拷貝至安全、無毒的U盤;再將指定電腦在關閉Wi-Fi,拔掉網線,斷網狀態下開機,並儘快備份重要文件;然後通過U盤使用「勒索病毒免疫工具」離線版,進行一鍵修復漏洞;聯網即可正常使用電腦。

◆四是,備份。

重要的資料一定要備份,謹防資料丟失。

如何防範「勒索」病毒攻擊？

手把手教你

國家網絡與信息安全信息通報中心提醒廣大計算機用戶:

儘快升級安裝補丁,地址為:https://technet.microsoft.com/zh-cn/library/security/MS17-010.aspx。

Windows 2003和XP沒有官方補丁,相關用戶可打開並啟用Windows防火牆,進入"高級設置",禁用"文件和印表機共享"設置;或啟用個人防火牆關閉445以及135、137、138、139等高風險埠。

已感染病毒機器請立即斷網,避免進一步傳播感染。

手把手教你

如何設置電腦防範勒索病毒

關閉 135、137、138、139、445埠，關閉網絡共享也可以避免中招。

方法1

1、運行 輸入「dcomcnfg」；

2、在「計算機」選項右邊，右鍵單擊「我的電腦」，選擇「屬性」；

3、在出現的「我的電腦屬性」對話框「默認屬性」選項卡中，去掉「在此計算機上啟用分布式 COM」前的勾；

4、選擇「默認協議」選項卡，選中「面向連接的TCP/IP」，單擊「刪除」按鈕，最後「確認」。

2、關閉 135、137、138 埠

在網絡鄰居上點右鍵選屬性，在新建好的連接上點右鍵選屬性再選擇網絡選項卡，去掉 Microsoft 網絡的文件和印表機共享，以及 Microsoft 網絡客戶端的複選框。

這樣就關閉了共享端 135 、137、138埠。

3、關閉 139 埠

139 埠是 NetBIOSSession 埠，用來文件和列印共享。

關閉 139 的方法是：在「網絡和撥號連接」中的「本地連接」中，選取「Internet協議 (TCP/IP)」屬性，進入「高級 TCP/IP 設置」「WINS設置」裡面，有一項「禁用TCP/IP的 NETBIOS 」，打勾就可關閉 139 埠。

4、關閉 445 埠

開始-運行輸入 regedit. 確定後定位到 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters，新建名為「SMBDeviceEnabled」的DWORD值，並將其設置為 0，則可關閉 445 埠。

開啟系統防火牆

利用系統防火牆高級設置阻止向445埠進行連接（該操作會影響使用445埠的服務）

Win7、Win8、Win10的處理流程

1、打開控制面板-系統與安全-Windows防火牆，點擊左側啟動或關閉Windows防火牆

2、選擇啟動防火牆，並點擊確定

3、點擊高級設置

4、點擊入站規則，新建規則

5、選擇埠，下一步

6、特定本地埠，輸入445，下一步

7、選擇阻止連接，下一步

8、配置文件，全選，下一步

9、名稱，可以任意輸入，完成即可。

XP系統的處理流程

1、依次打開控制面板，安全中心，Windows防火牆，選擇啟用

2、點擊開始，運行，輸入cmd，確定執行下面三條命令

net stop rdr

net stop srv

net stop netbt

此外,由於微軟已經不再為XP系統提供系統更新，建議用戶儘快升級到高版本系統。

360公司發布的「比特幣勒索病毒」免疫工具下載地址：http://dl.360safe.com/nsa/nsatool.exe

科普時間

什麼是比特幣?

比特幣是一種虛擬貨幣,不依靠特定機構發行,依據特定算法,通過大量的計算產生。

可以購買現實或虛擬物品,也可以兌換成大多數國家的貨幣。

這個病毒是怎麼回事?

病毒類型：敲詐者病毒

勒索軟體攻擊模式：漏洞攻擊包、水坑式攻擊、惡意廣告,或者大規模的網絡釣魚活動。

感染方式：郵件、網頁、flash播放等。

病毒危害：一旦勒索病毒發動攻擊,並攻擊成功,損失幾乎無法阻擋。

被感染病毒電腦中的文件被加密為sage文件,需支付上萬元贖金才能恢複數據,然而也可能會有支付完贖金被騙的情況發生。

解決方式:目前並無有效的解決辦法,只能重裝系統,但受感染的文件無法恢復

---

來源：南方新聞網

編輯／編審：林大凡