一、勒索病毒簡(jiǎn)介最近，一種電腦勒索病毒席卷了全球幾十個(gè)國(guó)家。

美國(guó)、俄羅斯、中國(guó)，歐洲國(guó)家Windows電腦受創(chuàng)最重。

和之前一些大面積爆發(fā)的病毒比如熊貓燒香等等不同，黑客開(kāi)發(fā)這種病毒并不是為了炫技（單地攻擊電腦的軟硬件）而是為了索財(cái)。

當(dāng)電腦受到病入侵之后?電腦當(dāng)中的文作會(huì)被加密，導(dǎo)致無(wú)法打開(kāi)。

黑客會(huì)要求你提供300美元（2000元人民幣）的比特幣，才會(huì)給你提供解鎖的密碼。

支付的贖金一定要是比特幣的原因是，這種電子貨幣的賬戶不易被追蹤，更容易隱藏黑客的真實(shí)身份。

病毒的設(shè)計(jì)者特意把勃索的說(shuō)明信息翻譯成了20多個(gè)國(guó)家和地區(qū)的語(yǔ)言版本，好讓全一世界每一個(gè)中了病毒的人都能看懂付款信息，可見(jiàn)野心之大。

而且如果中了病毒的計(jì)算機(jī)屬于高性能的服務(wù)器，病毒還會(huì)在這臺(tái)電腦當(dāng)中植入挖礦程序，讓這臺(tái)計(jì)算機(jī)成為生產(chǎn)比特幣的工具，攻擊者可謂無(wú)所不用其極，最大程度地榨取受害電腦的經(jīng)濟(jì)價(jià)值。

電腦中了這種病毒之后，硬盤(pán)當(dāng)中的文件會(huì)被AES＋RSA4096位的算法加密。

遇到這種加密級(jí)別，目前所有家用電腦如果要暴力破解可能需要幾十萬(wàn)年。

所以一旦被這種病感，加密了自己電腦上的文作，白己是無(wú)論如何沒(méi)辦法爸文件解密的。

如果是政府或者公共機(jī)構(gòu)的重要文件被加密，那只能恢復(fù)備份文件。

值得注意的是，這次的病毒襲擊還針對(duì)了特定的人群，類(lèi)似“精準(zhǔn)投放。

大全業(yè)的公共郵箱、高級(jí)餐廳的官網(wǎng)等等都是攻擊的重點(diǎn)對(duì)象。

起初病毒會(huì)偽裝成一封標(biāo)題非常吸引人的電子郵件，或者偽裝成PDF、DOC這樣的普通文檔，如果存在漏洞的電腦打開(kāi)了這些鏈接或者文件，就有可能中招。

如果中招的電腦處于一個(gè)局域網(wǎng)當(dāng)中，那么只要一臺(tái)電腦感染病毒，其他電腦只要開(kāi)機(jī)上網(wǎng)，馬上也會(huì)被感染。

病毒會(huì)通過(guò)像445端口這樣的文件共享和網(wǎng)絡(luò)打印機(jī)共享端口的漏洞展開(kāi)攻擊。

二、服務(wù)器緊急防范措施1．立即組織內(nèi)網(wǎng)檢測(cè)，查找所有開(kāi)放445SMB服務(wù)端口的終端和服務(wù)器，一旦發(fā)現(xiàn)中毒機(jī)器，立即斷網(wǎng)處置，目前看來(lái)對(duì)硬盤(pán)格式化可清除病毒。

2．一旦發(fā)現(xiàn)電腦中毒，立即斷網(wǎng)3．啟用并打開(kāi)“ Windows防火墻”，進(jìn)入“高級(jí)設(shè)置”，在入站規(guī)則里禁用“文件和打印機(jī)共享”相關(guān)規(guī)則。

關(guān)閉UDP135、445、137、138、139端口關(guān)閉網(wǎng)絡(luò)文件共享4．嚴(yán)格禁止使用U盤(pán)、移動(dòng)硬盤(pán)等可執(zhí)行擺渡攻擊的設(shè)備。

5.盡快備份電腦中的重要文件資料。

6．及時(shí)更新操作系統(tǒng)和應(yīng)用程序最新的版本。

7．一般情況下數(shù)據(jù)庫(kù)服務(wù)器升級(jí)MS17－010補(bǔ)丁不會(huì)對(duì)1433端口關(guān)閉，Sqlserver i默認(rèn)使用的是1433端口，有個(gè)別情況可能會(huì)關(guān)閉1433端口，情況不明請(qǐng)參考第六條三、工作站防范措施目前已知的是， Windows10操作系統(tǒng)只打開(kāi)了自動(dòng)更新，就不會(huì)有中毒的風(fēng)險(xiǎn)而目前國(guó)內(nèi)大量使用的 Windows7甚至 Windows XP電腦相對(duì)比較高危。

微軟目前已經(jīng)為所有的 Windows系統(tǒng)景急發(fā)布了系統(tǒng)補(bǔ)丁。

另外，像445這樣的高危端口，一般的家用電腦也最好關(guān)閉掉。

1．打開(kāi)控制面板點(diǎn)擊防火墻2．點(diǎn)擊“高級(jí)設(shè)置3．先點(diǎn)擊入貼規(guī)則再點(diǎn)擊新建規(guī)則。

4．勾中“端口”，點(diǎn)擊“協(xié)議與端口5．勾選“特定本地端口”，填寫(xiě)445，點(diǎn)擊下一步6．點(diǎn)擊阻止鏈接＂，一直下一步，并給規(guī)則命名后，就可以了還是那句話，再好的殺毒軟件也不如一個(gè)好的安全意識(shí)，在這個(gè)信息化時(shí)代，系統(tǒng)漏洞一個(gè)補(bǔ)丁就能間痛定但人們安全意識(shí)缺失這個(gè)漏洞，不知道什么時(shí)候才能被堵上。

四、360殺毒方案勒索病毒”全球爆發(fā)，通過(guò)蠕蟲(chóng)式傳播在企業(yè)、校園內(nèi)網(wǎng)大面積感染，一臺(tái)中招，一片遭殃！本次勒索病毒是在周五晚上爆發(fā)，星期一（5月15日）上班的企業(yè)將面臨重大風(fēng)險(xiǎn)！360安全衛(wèi)士能哪全面免疫和防御勒索病毒，安裝360安全衛(wèi)士的用戶，這次是基本不受勒索病毒影響。

針對(duì)未安裝360安全衛(wèi)士的用戶，我們緊急推出360安全衛(wèi)士離現(xiàn)救災(zāi)可以幫助企業(yè)辦公電腦應(yīng)對(duì)此次勒索病毒的攻擊。

應(yīng)對(duì)勒索病毒，周一開(kāi)機(jī)曹作指南：一、準(zhǔn)備一個(gè)U盤(pán)或移動(dòng)硬盤(pán)，周一上班前，可以在家里的安全網(wǎng)絡(luò)環(huán)境。

二、到公司后，先拔掉辦公電腦的網(wǎng)線，關(guān)掉無(wú)線網(wǎng)絡(luò)開(kāi)關(guān)，然后再開(kāi)機(jī)。

三、使用準(zhǔn)備好的U盤(pán)或移動(dòng)硬盤(pán)插入辦公電腦，安裝360安全衛(wèi)士【離線救災(zāi)版四、360安全衛(wèi)士【離線救災(zāi)版】的NSA武器庫(kù)免疫工具會(huì)自動(dòng)運(yùn)行，并檢測(cè)您的電腦是否存在漏洞。

如您當(dāng)前系統(tǒng)沒(méi)有安裝漏補(bǔ)丁，五、修復(fù)漏洞過(guò)程中，請(qǐng)耐心等候，一般要3－5分鐘。

六、修復(fù)成功后，會(huì)彈窗提示您。

請(qǐng)您重啟電腦，以便修復(fù)操作徹底生效七、重啟電腦后、您可以通過(guò)桌面的【勒索病毒救災(zāi)】快捷方式再漢運(yùn)行NSA防御工具，確保您的系統(tǒng)已經(jīng)修復(fù)完成。

補(bǔ)充說(shuō)明：針對(duì)部分特殊系統(tǒng)（例如 GHOST精簡(jiǎn)系統(tǒng)），由于系統(tǒng)本身被人為的修改導(dǎo)致無(wú)法正常安裝本次的漏洞修復(fù)程序，出于安全考慮，工具會(huì)直接為您關(guān)閉共享所需的網(wǎng)絡(luò)端口和系統(tǒng)服務(wù)。

五、返向操作在已安裝好補(bǔ)丁并確認(rèn)安全，且又必須要打開(kāi)的端口的情況下，可以進(jìn)行返向操作，步驟如下:1．打開(kāi)控制面板點(diǎn)擊防火墻2．點(diǎn)擊“高級(jí)設(shè)置. 3．先點(diǎn)擊“入站規(guī)則”，然后選擇你新建那條規(guī)則。

4．再點(diǎn)擊右則的“禁用規(guī)則”。

5．此時(shí)這條規(guī)則前面的綠色打溝圖形消失。

操作完成后，已關(guān)閉的端口就被從新打開(kāi)。

六、網(wǎng)絡(luò)防范措施1．身份鑒別包括主機(jī)和應(yīng)用兩個(gè)方面。

主機(jī)操作系統(tǒng)登錄、數(shù)據(jù)庫(kù)登陸以及應(yīng)用系統(tǒng)登錄均必須進(jìn)行身份驗(yàn)證。

過(guò)于簡(jiǎn)單的標(biāo)識(shí)符和口令容易被窮舉攻擊破解。

同時(shí)非法用戶可以通過(guò)網(wǎng)絡(luò)進(jìn)行窈聽(tīng)，從而獲得管理員權(quán)限，可以對(duì)任何資源非法訪問(wèn)及越權(quán)操作。

因此必須提高用戶名／口令的復(fù)雜度，且防止被網(wǎng)絡(luò)聽(tīng)：同時(shí)應(yīng)考慮失敗處理機(jī)制。

2．訪問(wèn)控制訪問(wèn)控制包括主機(jī)和應(yīng)用兩個(gè)方面。

訪問(wèn)控制主要為了保證用戶對(duì)主機(jī)資源和應(yīng)用系統(tǒng)資源的合法使用。

非法用戶可能企圖假冒合法用戶的身份進(jìn)入系統(tǒng)，低權(quán)限的合法用戶也可能企圖執(zhí)行高權(quán)限用戶的操作，這些行為將給主機(jī)系統(tǒng)和應(yīng)用系統(tǒng)帶來(lái)了很大的安全風(fēng)險(xiǎn)。

用戶必須擁有合法的用戶標(biāo)識(shí)符，在制定好的訪問(wèn)控制策略下進(jìn)行操作，杜絕越權(quán)非法操作。

3．系統(tǒng)審計(jì)系統(tǒng)審計(jì)包括主機(jī)審計(jì)和應(yīng)用審計(jì)兩個(gè)方面。

對(duì)于登陸主機(jī)后的操作行為則要進(jìn)行主機(jī)審計(jì)。

對(duì)于服務(wù)和重要主機(jī)需要進(jìn)行嚴(yán)格的行為控制，對(duì)用戶的行為、使用的命令等進(jìn)行必要的記錄審計(jì)，便于日后的分析、調(diào)查、取證，規(guī)范主機(jī)使用行為。

而對(duì)于應(yīng)用系統(tǒng)同樣提出了應(yīng)用審計(jì)的要求，即對(duì)應(yīng)用系統(tǒng)的使用行為進(jìn)行審計(jì)。

重點(diǎn)審計(jì)應(yīng)用層信息，和業(yè)務(wù)系統(tǒng)的運(yùn)轉(zhuǎn)流程息息相關(guān)。

能夠?yàn)榘踩录峁┳銐虻男畔ⅲc身份認(rèn)證與訪問(wèn)控制聯(lián)系緊密，為相關(guān)事件提供審計(jì)記錄。

4．入侵防范主機(jī)操作系統(tǒng)面臨著各類(lèi)具有針對(duì)性的入侵威脅，常見(jiàn)操作系統(tǒng)存在著各種安全漏洞，并且現(xiàn)在漏洞被發(fā)現(xiàn)與漏洞被利用之間的時(shí)間差變得越來(lái)越短，這就使得操作系統(tǒng)本身的安全性給整個(gè)系統(tǒng)帶來(lái)巨大的安全風(fēng)險(xiǎn)，因此對(duì)于主機(jī)操作系統(tǒng)的安裝，使用、維護(hù)等提出了需求，防范針對(duì)系統(tǒng)的入侵行為。

5．惡意代碼防范病毒、蟲(chóng)等惡意代碼是對(duì)計(jì)算環(huán)境造成危害最大的隱思，當(dāng)前病毒威助非常嚴(yán)，別是蟲(chóng)病的爆發(fā)，會(huì)立刻向其他子網(wǎng)迅速蔓延，發(fā)動(dòng)網(wǎng)絡(luò)攻擊和數(shù)據(jù)竊密。

大量占據(jù)正常業(yè)務(wù)十分有限的帶寬，造成網(wǎng)絡(luò)性能?chē)?yán)重下降、服務(wù)器崩潰甚至網(wǎng)培通信中斷，信息損壞或泄需。

嚴(yán)重影響正常業(yè)務(wù)開(kāi)展。

因此必須部署惡意代碼防范軟件進(jìn)行防御。

同時(shí)保持惡意代碼庫(kù)的及時(shí)更新。