WannaCry勒索軟體病毒攻擊防範處理指南

知乎專欄——專題報道 https://zhuanlan.zhihu.com/heike

席捲全球的WannaCry勒索病毒的影響仍在持續，熱度不減，引發全球矚目，目前至少有150個國家受到網路攻擊，而病毒已出現「變種」，傳播速度可能更快。

前言

2017年5月12日晚開始，想哭（WannaCry）勒索病毒大規模爆發，包括在內全球近百個國家受到攻擊，大量電腦文件被加密，只有支付比特幣贖金才能解密。

（用戶電腦中招后，彈出的勒索界面）

（用戶電腦中招后，彈出的勒索界面）

受影響單位不乏國內知名高校、政府單位和企業，比如山東大學、桂林電子科技大學、桂林航天工業學院等，學生畢業論文被加密，欲哭無淚。甚至多地公安網路業務被迫停頓、中石油多地加油站支付系統掛掉，都在斷網搶修。而在國外，英國國家衛生系統、西班牙電信巨頭Telefónica、跨國快遞公司FedEx等知名企業業務也紛紛停頓緊急加班維護。據不完全統計，截止5月15日下午四點，該病毒已感染196027台設備，有84179台設備仍處於聯網狀態。

（藍點為受感染設備，可以看到歐洲、北美、國內沿海已經一片藍了）

（藍點為受感染設備，可以看到歐洲、北美、國內沿海已經一片藍了）

病毒介紹

「想哭」勒索病毒的前身只是一款普通勒索軟體，傳播能力極弱。經攻擊者改造，植入被泄露公開在網上的美國國家安全局軍火庫漏洞「永恆之藍」（漏洞編號：MS17-101）后，變成極具傳播能力的大殺器。

目前發現的病毒會掃描開放445文件共享埠的Windows設備，無需用戶操作，只要開機聯網，攻擊者就能在電腦和主機內植入勒索病毒。政府、學校、企業等內網環境，只要有一台Windows設備感染，就會迅速擴散到所有未安裝補丁的設備上。

用戶電腦中招后，系統內的圖片、文檔、視頻、壓縮包等所有用戶文件均被加密，只有向勒索者支付價值數百美元的比特幣方可解鎖。

以下為安全公司分析出勒索病毒會加密的文件格式，涵蓋了所有用戶重要文件。

.doc .docx .xls .xlsx .ppt .pptx .pst .ost .msg .eml .vsd .vsdx .txt .csv .rtf .123 .wks .wk1 .pdf .dwg .onetoc2 .snt .jpeg .jpg .docb .docm .dot .dotm .dotx .xlsm .xlsb .xlw .xlt .xlm .xlc .xltx .xltm .pptm .pot .pps .ppsm.ppsx .ppam .potx .potm .edb .hwp .602 .sxi .sti .sldx .sldm .sldm .vdi .vmdk .vmx .gpg .aes .ARC .PAQ.bz2 .tbk .bak .tar .tgz .gz .7z .rar .zip .backup .iso .vcd .bmp .png .gif .raw .cgm .tif .tiff .nef .psd .ai .svg .djvu .m4u .m3u .mid .wma .flv .3g2 .mkv .3gp .mp4 .mov .avi .asf .mpeg .vob .mpg .wmv .fla .swf .wav .mp3 .sh .class .jar .java .rb .asp .php .jsp .brd .sch .dch .dip .pl .vb .vbs .ps1 .bat .cmd .js .asm .h .pas .cpp .c .cs .suo .sln .ldf .mdf .ibd .myi .myd .frm .odb .dbf .db .mdb .accdb .sql .sqlitedb .sqlite3 .asc .lay6 .lay .mml .sxm .otg .odg .uop .std .sxd .otp .odp .wb2 .slk .dif .stc .sxc .ots .ods .3dm .max .3ds .uot .stw .sxw .ott .odt .pem .p12 .csr .crt .key .pfx .der

影響範圍

未安裝補丁的Windows全系列設備，包括：

Windows XP

Windows Server 2003

Windows Vista

Windows Server 2008

Windows 7

Windows Server 2008 R2

Windows 8.1

Windows Server 2012 和 Windows Server 2012 R2

Windows RT 8.1

Windows 10

安全防護和解決辦法

一、事前預防

第一步：手動關閉漏洞埠，安裝系統補丁

方案A：使用安全廠商推出的勒索病毒免疫工具進行檢查

金山毒霸勒索病毒免疫工具：http://cd002.www.duba.net/duba/install/2011/ever/knsatool_20170514.exe

360 NSA武器庫免疫工具：http://dl.360safe.com/nsa/nsatool.exe

方案B：手動預防

在微軟官網下載系統對應版本的補丁，並進行安裝。下載地址：https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx

利用防火牆添加規則進行屏蔽

1、開始菜單-打開控制面板-選擇Windows防火牆

2、如果防火牆沒有開啟，點擊」啟動或關閉 Windows防火牆」啟用防火牆後點擊」 確定」

3、點擊」 高級設置」，然後左側點擊」入站規則」，再點擊右側」 新建規則」

4、在打開窗口選擇選擇要創建的規則類型為」埠」，並點擊下一步

在」特定本地埠」處填入445並點擊」下一步」，選擇」阻止連接」，然後一直下一步，並給規則隨意命名後點擊完成即可。

註：不同系統可能有些差異，不過操作類似

第二步：備份數據，安裝安全軟體，保證電腦處於安全狀態

對相關重要文件採用離線備份（即使用U盤或移動硬碟等方式）等方式進行備份。

目前，主流安全軟體已經具備針對勒索軟體的防護能力或者免疫能力等，推薦大家安裝安全軟體並開啟實時防護，避免遭受攻擊。

二、事後病毒清理

第一步：發現感染機器后，立刻拔掉網線、關閉WiFi，隔離相關機器，避免勒索病毒繼續感染內網其它機器。

第二步：在未感染機器上下載安全軟體，用U盤或移動硬碟拷貝至感染機器，安裝後進行查殺。如機器上無重要數據，也可直接重裝系統，重裝后參考「事前預防」進行操作

三、事後文件恢復

目前暫時沒有解密工具，不過根據國內安全公司對病毒的分析，發現病毒採用加密原文件后再刪除原文件的方式，於是針對被刪除的文件就存在一定恢復的可能性。

大家可使用主流數據恢復軟體，對被加密文件的磁碟進行掃描，然後對掃描結果執行恢復操作。該方法可能能恢復部分文件，機器感染后越快恢復效果越好。

易我數據恢復官網：http://www.easeus.com.cn/drw/

金山數據恢復官網：http://vip.ijinshan.com/huifu/index/

360勒索蠕蟲病毒文件恢復工具：http://dl.360safe.com/recovery/RansomRecovery.exe