電腦勒索病毒全球肆虐，如何有效防範

網路安全問題從未讓人如此聞風喪膽。

5月13日，全球多國爆發電腦勒索病毒—WannaCry，受害者電腦會被黑客鎖定，提示支付價值相當於300美元的比特幣才可解鎖。此病毒傳播規模非常巨大，目前已經波及99個國家。

快速閱讀：

1. 在全球性電腦勒索病毒面前，工作電腦如何預防？

2. Windows高危漏洞，雲伺服器如何規避？

是誰在開展攻擊？

一些專家說，這種攻擊應該是利用了微軟系統的一個漏洞。該漏洞其實最早是美國國安局發現的，他們還給漏洞取名為EternalBlue。

然後，國安局研發的相關工具就被一個名為「影子經紀人」的黑客團體竊取了。 黑客們還嘗試在一個網上拍賣中出售它們。

但是，黑客們之後又決定免費提供這些工具，並在4月8日發布了加密密碼。黑客們表示，他們發布密碼，是為了對美國總統唐納德·川普表示「抗議」。當時一些網路安全專家表示，惡意軟體可能是真的，但卻已經過時，因為微軟在3月份就發布了這個漏洞的補丁，但問題在於，很多系統可能尚未安裝更新補丁。

攻擊規模有多大？

目前已經有99個國家遭受了攻擊，其中包括英國、美國、、俄羅斯、西班牙和義大利。反病毒軟體廠商 Avast表示，世界各地出現的WannaCry勒索病毒案例已經增加到了7.5萬個。

反病毒廠商Avast的專家Jakub Kroustek說：「這個規模非常巨大。」

什麼是勒索病毒？

很多研究人員說，這些勒索案例似乎彼此之間存在聯繫，但他們表示，這可能不是針對某些具體目標的有組織攻擊。與此同時，據說一些和勒索病毒有關的比特幣錢包已經開始充滿現金。

誰受到了攻擊？

英國國家衛生服務局（NHS）受到攻擊，一些手術被迫取消。一名NHS工作人員告訴BBC，在其中一些案例中，病人「幾乎肯定會死亡」。

有報道說，俄羅斯的感染案例比其他任何一個國家都多。

一些西班牙公司，包括電信巨頭Telefonica，電力公司Iberdrola和公用事業公司Gas Natural也遭受了攻擊。有報道說，這些公司的工作人員被告知要關掉計算機。

葡萄牙電信公司、聯邦快遞公司、瑞典一個地區的政府，以及俄羅斯第二大移動運營商Megafon，也表示受到了攻擊。

這個惡意軟體的工作原理是怎樣的？

一些安全研究人員指出，這次的感染似乎是通過一個蠕蟲來部署的。蠕蟲是一種程序，可以在計算機之間自我傳播。

與許多其他惡意程序不同的是，這個程序只靠自己就能夠在一個網路中移動傳播。其他大多數惡意程序是依靠人類來傳播的，也就是說，需要先有人去點擊含有攻擊代碼的附件。

一旦WannaCry進入了一個組織機構的內部計算機網路，它就會找到一些脆弱的計算機並感染它們。這可能解釋了為什麼它的影響是如此巨大——因為每個受害的組織機構里都有大量的機器被感染。

防範勒索軟體病毒攻擊的方法在這裡：

西部數碼已經在機房前端通過防火牆攔截了以上危險埠，但為防止遺漏，還是建議您採取必要措施，以保證系統更加安全。以下四種措施均可以有效的關閉以上危險埠，您可以根據實際情況自行選則。

一、事前防範：

1.將伺服器升級到最新版，打上最新補丁

a.但此方式僅對windows2008以上的伺服器有效，因windows2003微軟已經停止了服務，所以此方法無效。

b.為計算機安裝最新的安全補丁，微軟已發布補丁MS17-010修復了「永恆之藍」攻擊的系統漏洞，請儘快安裝此安全補丁，網址為https://technet.microsoft.com/zh-cn/library/security/MS17-010。

2.在Windows服務中禁用Server服務、禁用TCP/IP 上的NetBIOS

a.對於禁止用Server服務，可以點擊開始-運行，輸入services.msc,找到server服務后右擊，選擇停止，再選擇屬性，將啟動類型改為禁用

b. 對於禁止TCP/IP上的NetBIOS，可點擊開始－設置－網路和撥號連接－本地連接－TCP/IP屬性－高級－WINS－選『禁用TCP/IT上的NETBIOS』

c.然後重啟伺服器

3.利用防火牆添加規則屏蔽入口，關閉445、135、137、138、139埠，關閉網路共享。（可以用後文的命令批量關閉）

● 開始菜單 > 打開控制面板 > 選擇Windows防火牆

● 如果防火牆沒有開啟，點擊「啟動或關閉 Windows防火牆」啟用。

● 點擊「高級設置」，然後左側點擊「入站規則」，再點擊右側「新建規則」。

● 在打開窗口哦選擇要創建的規則類型為「埠」，並點擊「下一步」。

● 在「特定本地埠」處填入445並點擊「下一步」，選擇「阻止連接」，一直點擊「下一步」，並給規則任意命名後點擊完成即可。

4.若是我司雲主機，可使用安全組功能

添加一個安全組，安全組中添加4條規則，協議類型為TCP，源IP默認為0.0.0.0,優先順序默認，目標埠分別填寫135、137、139、445，行為選擇「阻止」，並將此安全組應用到所有windows伺服器即可。

5、儘快（今後定期）備份自己電腦中的重要文件資料到移動硬碟、U盤，備份完后離線保存該磁碟。

a.對相關重要文件採用離線備份（即使用U盤等方式）等方式進行備份。

b.部分電腦帶有系統還原功能，可以在未遭受攻擊之前設置系統還原點，這樣即使遭受攻擊之後可以還原系統，找回被加密的原文件，不過還原點時間到遭受攻擊期間的文件和設置將會丟失。

c. 目前，大部分安全軟體已經具有該勒索軟體的防護能力或者其他免疫能力等，可以安裝這些安全軟體，開啟實時防護，避免遭受攻擊。

d.可以採用一些文件防護工具，進行文件的備份、防護，如電腦管家的文檔守護者（電腦管家工具箱內可下載使用）。

6、建議仍在使用windows xp， windows 2003操作系統的用戶儘快升級到 window 7/windows 10，或 windows 2008/2012/2016操作系統。

7、安裝正版操作系統、Office軟體等。

二、事後病毒處理

1.首先可以拔掉網線等方式隔離已遭受攻擊電腦，避免感染其他機器。

2.病毒清理。相關安全軟體（如電腦管家）的殺毒功能能直接查殺勒索軟體，

可以直接進行掃描清理（已隔離的機器可以通過U盤等方式下載離線包安裝）。

3.也可以在備份了相關數據后直接進行系統重裝，並在重裝后參考"事前預防"進行預防操作。

提醒廣大用戶：

目前，西部數碼默認為雲主機用戶關閉455埠，且默認安裝Windows官方補丁。所有在IDC託管或自建機房有伺服器的企業，如果採用了Windows操作系統，立即安裝微軟補丁。

安全補丁對個人用戶來說相對簡單。只需自學裝載，就能完成止血。但是對大型企業or組織機構而言，面對成百上千台機器，最好還是能使用客戶端進行集中管理。

可靠的數據備份可以將勒索軟體帶來的損失最小化。建議對重要數據定期做離線備份，並同時做好安全防護，避免被感染和損壞。

附：在cmd狀態下批量執行以下命令可關閉危險埠：

net stop SCardSvr

net stop SCPolicySvc

sc config SCardSvr start= disabled

sc config SCPolicySvc start= disabled

net start MpsSvc

sc config MpsSvc start= auto

netsh advfirewall set allprofiles state on

netsh advfirewall firewall add rule name="deny udp 137" dir=in protocol=udp localport=137 action=block

netsh advfirewall firewall add rule name="deny tcp 137" dir=in protocol=tcp localport=137 action=block

netsh advfirewall firewall add rule name="deny udp 138" dir=in protocol=udp localport=138 action=block

netsh advfirewall firewall add rule name="deny tcp 138" dir=in protocol=tcp localport=138 action=block

netsh advfirewall firewall add rule name="deny udp 139" dir=in protocol=udp localport=139 action=block

netsh advfirewall firewall add rule name="deny tcp 139" dir=in protocol=tcp localport=139 action=block

netsh advfirewall firewall add rule name="deny udp 445" dir=in protocol=udp localport=445 action=block

netsh advfirewall firewall add rule name="deny tcp 445" dir=in protocol=tcp localport=445 action=block

文|五爺 ID：五爺套路