WannaCry已發生變種 比特幣勒索病毒最全防範和解決辦法

「千年蟲」和「衝擊波」電腦蠕蟲病毒曾讓整個世界嘗盡了安全漏洞的苦頭，隨著科技發展和人們對網絡安全的日益重視，作業系統給人的感覺看似越來越「安全」，然而事實證明並非如此。

最近全球再次爆發了一場由 Wana Decrypt0r 2.0 與 Onion 家族的勒索病毒軟體發起的大規模災難性攻擊，全球100多個國家無數電腦設備被感染，其中包括各類重要機構、院校、醫院、加油站甚至是航班信息終端等基於 Windows 系統的設備紛紛淪陷，重要文件均被黑客加密並勒索錢財，損失極其慘重……

WannaCry / Onion 勒索病毒軟體是什麼？

Wana Decrypt0r 2.0 (也稱 WannaCry、WCry、WanaCrypt0r、WannaCrpt) 以及 Onion 家族的勒索病毒均是通過一個名為「永恆之藍」(Eternal Blue) 的微軟 Windows 系統漏洞進行大範圍的攻擊和傳播，沒有安裝過補丁的電腦只要聯網並開放了 445 埠，即使用戶什麼都沒做也會被感染。

這也是為什麼勒索病毒可以在一夜之間迅速對全球網絡造成如此惡劣的影響。

被感染的電腦系統中所有圖片、文檔、視頻、壓縮包等文件都會被黑客加密起來，後綴變為.onion。

病毒會向用戶勒索 300 或 600 美元等值的「比特幣」作為贖金才會將文件解密還原。

由於病毒使用了極強的 AES 加密算法，在不交贖金的情況下基本沒有破解或恢復的可能，除非你有異地的備份。

而且，由於比特幣的交易有著無法被追蹤和定位的特性，幕後黑客們藉助它在全球實施著完美犯罪，因此 wana Decrypt0r、Onion 勒索軟體也被不少人戲稱為「比特幣病毒」。

永恆之藍 (Eternal Blue) 又是什麼？

「永恆之藍」 是這次勒索病毒所利用的系統漏洞的通俗名稱，在美國國家安全部 (NSA) 研發設計的一套「黑客武器庫」中（鬼知道他們原來要用於對付誰？！鬼知道他們還掌握著什麼可怕的漏洞？！），有一款名叫 "Eternal Blue" 的攻擊程序被黑客們盜取了出來，然後黑客組織利用這款攻擊程序所使用的漏洞，對勒索病毒進行改造升級，變成了今天的 wana Decrypt0r 2.0，因此這個漏洞也被稱為永恆之藍。

我的電腦也會感染勒索病毒嗎？

Wana Decrypt0r 2.0 勒索病毒目前僅會影響 Windows 作業系統，如果你使用 macOS 或者 Linux 系統則不必擔心 (但安裝雙系統或使用 Parallels Desktop、VMWare、VirtualBox 等虛擬機或 BootCamp 安裝 Win 系統的朋友依然會有受感染的風險)。

其中，存在「永恆之藍」漏洞的 Windows 作業系統包括：

Windows 2000、XP

Windows Vista

Windows 7

Windows 8 / 8.1

Windows 10（除 Windows 10 Creators Update build 15063 外）

Windows Server 2008 / 2008 R2

Windows Server 2012 / 2012 R2

Windows Server 2016

可以看出，除了最新版的 Windows 10 創意者更新之外，幾乎全系列的 Windows 系統均淪陷。

不過幸運的是，由於以前國內曾被利用類似技術的蠕蟲病毒攻擊過，因此國內運營商在主幹網上默認都屏蔽了 445 埠，因此該病毒沒有在公網上大規模爆發 (這並不代表你的電腦就安全)。

而「教育網」的用戶就沒那麼幸運了。

目前國內受災最嚴重的就是各類院校的電腦，很多大學生辛辛苦苦撰寫的論文、收集的資料、照片以及收藏的動作片等等一夜之間就被鎖了。

另外，一些公司、企業內部的區域網也沒有封禁 445 埠，風險依然很高。

怎樣真正有效對付勒索病毒的攻擊？下載安裝 MS17-010 補丁！

一句話概括：升級升級升級！更新更新更新！裝補丁裝補丁裝補丁！！！

針對這次大規模的黑客勒索攻擊，微軟已經正式發布了相關的官方安全補丁「MS17-010」(KB4012212) 用以修復被 「永恆之藍」 攻擊的系統漏洞，而且由於事態嚴重，微軟還破例為已經停止更新多年的 Windows XP、Windows Server 2003 等系統也發布了安全補丁。

安裝微軟官方發布的 MS17-010 安全補丁並升級系統是目前最徹底最有效最安全最穩妥的，也是最為簡單的應對和預防勒索病毒感染的辦法，沒有之一！！其他網上宣傳的任何教程，比如說使用防火土·嗇軟體禁用屏蔽 445 埠、禁用 SMBv1、安裝殺毒軟體、安裝第三方的免疫工具等等都只是臨時處理手段，並不能讓你的系統高枕無憂，普通用戶也不必花時間去研究或進行操作。

對於 Windows 7、Windows 8.1、Windows 10 等尚在微軟技術支持周期內的作業系統，只需通過系統的 Windows Update 更新到最新版本即可。

而對於 Windows XP、Win8、Win Server 2003 等老系統的用戶，可以在本文結尾處下載微軟發布的官方安全補丁進行安裝。

當然，打開微軟自帶的 MSE / Windows Defender 與防火牆（或第三方殺毒安全軟體），並做好重要文件的定時備份（最好是異地備份），也會降低你的資料被侵害的風險。

已經被勒索軟體感染了文件怎樣解密？有解決辦法嗎？
對於已中招被加密文件的用戶，如果你沒有任何備份，那麼你只能往最壞處打算了。

這真心沒有好的解決方法，很無奈，也很現實，你可能需要說服自己接受丟掉全部文件的結果。

首先，請不要太過相信病毒製造者，因為即便你支付了高昂的贖金，你的文件也不一定會被還原，就算真的給你解密了，你的文件也有可能被留下後門或木馬，日後或許還會再次給你帶來更大的損失。

除非文件價值極高，否則強烈不建議嘗試支付贖金。

更重要的是，更不要相信任何聲稱可以有償幫你修復的人！因為勒索病毒所採用的 AES 加密算法是密碼學中最熱門最安全也是最廣泛用於軍方和商業等重要領域的算法之一，沒有任何已知的有效降低複雜度的破解方式，而使用窮盡法暴力破解需要花上幾十億年的時間，僅存在理論上的可能性。

因此除非有病毒製造者手上對應的密鑰，或擁有世界上最強大的超級計算機，否則普通人根本不存在任何哪怕是一丁點破解的可能性！！所以中招的同學請不要異想天開，天真地以為有世外高人可以幫你解決問題。

可能你並不愛聽，但咱們唯一的建議是，先斷開網絡，重新對硬碟進行分區或全部格式化，再重新安裝作業系統。

也就是說，如果你不打算冒險嘗試支付贖金的話，最好徹底銷毀乾淨，杜絕任何後患，再一切重新開始。

偏方：傳說中有效的破解勒索病毒，不付錢解密文件的方法

雖然直接破解還原勒索病毒的加密文件的可能性幾乎不存在，但網上還有一個討巧的辦法「有可能」幫你滿血復活。

當然，先別雞凍！！！！這個方法只是利用了黑客在勒索贖金交易環節設計的小疏忽，對其進行交易「欺騙」，但成功率依然很渺茫。

但有句老話叫「死馬當活馬醫」，在你絕望的時候，不妨試試吧，具體步驟如下：

1.打開勒索軟體，點擊 copy 複製出黑客的比特幣地址

2.訪問 btc.com，粘貼到區塊鏈查詢器

3.在區塊鏈查詢器中找到黑客收款地址的交易記錄，然後隨意選擇一個 txid（交易哈希值）

4.將 txid 複製並粘貼回勒索軟體中，點擊 Connect us。

5.待黑客看到後，再點擊勒索軟體上的 check payment。

6.最後再點擊 decrypt 解密文件。

7.祝你好運。

最後，不管此次的勒索病毒風波是否影響到你，就算你使用的是 Mac 或 Linux，也請你一定要提高網絡安全的重視程度，儘可能及時地更新和升級系統，畢竟誰也不知道下一輪的網絡災難何時爆發。

總之，設備有價，但數據無價！我們真心不應該心存僥倖，將「雞蛋」全部放在一台電腦里。

特別是知識型的工作者、教師、學生、作家、設計師、開發者等等，無論是藉助 NAS、網盤 (推薦番·羽·土·嗇用 Dropbox，可支持歷史版本恢復)、雲存儲服務、移動硬碟或者是伺服器，我們都「必須」對重要的資料進行定期的備份，最好是多處異地備份，因為它們將是你在數字世界上唯一的後悔藥。

相關文件下載地址：

Windows勒索病毒最全補丁下載地址：

【KB4012598】：http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

適用於Windows XP 32位/64位/嵌入式、Windows Vista 32/64位、Windows Server 2003 SP2 32位/64位、Windows 8 32位/64位、Windows Server 2008 32位/64位

【KB4012212】：http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212

適用於Windows 7 32位/64位/嵌入式、Windows Server 2008 R2 32位/64位

【KB4012213】：http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4012213

適用於Windows 8.1 32位/64位、Windows Server 2012 R2 32位/64位

【KB4012214】：http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4012214

適用於Windows 8嵌入式、Windows Server 2012

【KB4012606】：http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012606

適用於Windows 10 RTM 32位/64位/LTSB

【KB4013198】：http://www.catalog.update.microsoft.com/Search.aspx?q=KB4013198

適用於Windows 10 1511十一月更新版32/64位

【KB4013429】：http://www.catalog.update.microsoft.com/Search.aspx?q=KB4013429

適用於Windows 10 1607周年更新版32/64位、Windows Server 2016 32/64位