紧急！ 勒索病毒全球爆发，简单易懂教你躲避攻击！

5月12日，全球多国爆发电脑勒索病毒，中国多所高校校园网遭到攻击。 这个病毒到底是什么？ 如何预防？ 电脑中毒怎么办？ 这篇文章会给你答案。

这款勒索软件名为WannaCry，图为安全研究人员在安全的计算机环境中进行演示。

全球爆发网络攻击

周五，一种锁定计算机的恶意软件正在全球范围内迅速传播，安全软件制造商 Avast 表示已在 99 个国家/地区观察到超过 57,000 例感染。 据公开报道，受感染的国家包括中国、英国、美国、西班牙、意大利、葡萄牙、俄罗斯和乌克兰。

报告表明恶意软件的传播首先在英国开始。 美联社报道称，英国医院计算机系统周五开始因大规模网络攻击而瘫痪，导致预约取消、通话中断、患者无法就医。

英国国家卫生服务局 (NHS) 表示，这些医院显然受到了“勒索软件”的袭击，攻击者使用一种名为“Wanna Decryptor”的恶意软件侵入医院计算机系统，锁定计算机并要求支付赎金。 目前没有证据表明患者数据已被泄露。

索要 300 美元比特币作为赎金

根据用户在社交媒体上发布的照片​​，该勒索软件在锁定 NHS 电脑后索要价值 300 美元的比特币类似于比特币的软件，并显示“糟糕，你的文件已被加密！” （糟糕，你的文件已经被加密）加密了！）等等。

勒索软件攻击期间显示的 NHS 计算机屏幕截图。来源：互联网

该病毒要求用户在被感染三天内支付相当于300美元的比特币，三天后“赎金”将翻倍。 七日内不支付赎金的计算机数据将被彻底删除，对于无法支付 300 美元的赎金者，还有为期六个月的“人道”特殊还款渠道。 提示框左边是定时器，右边是支付方式和支付生效验证。

中国多所大学校园网遭攻击

中国高校成为此次攻击的重灾区。 该病毒导致多位大学毕业生的毕业论文（设计）被锁定，攻击者表示需要支付比特币才能解锁。

目前受影响的有贺州大学、桂林电子科技大学、桂林航天工业学院，以及广西等地区的高校。 此外，有网友反映，大连海事大学和山东大学也遭到病毒攻击。

不少学生的毕业论文、毕业设计等重要资料被宣告“陨落”。 部分高校已发布预警信息。

病毒来源：美国网络武器库泄露

据了解，这款勒索软件是从美国国家安全局的网络武器库中泄露出来的黑客工具。

“勒索软件”软件利用了微软操作系统中的一个漏洞，该漏洞由美国国家安全局 (NSA) 首次发现，并将其命名为“永恒之蓝”。

后来，一个名为 Shadow Brokers 的黑客组织从 NSA 的黑客武器库中窃取了密码，并在网上公开出售以牟利。

此次“永恒之蓝”勒索病毒是全球首例NSA网络军火民用案例。 一个月前，Shadow Brokers组织发布了第四批与NSA相关的网络攻击工具和文件，其中包括涉及多个Windows系统服务（SMB、RDP、IIS）的远程命令执行工具，包括“永恒之蓝”攻击程序.

wana Decrypt0r 2.0 影响哪些系统？

wana Decrypt0r 2.0目前影响几乎所有基于Windows NT内核的客户端/服务器操作系统，包括：

客户端操作系统： 服务器操作系统：

目前，wanaDecrypt0r2.0只感染Windows桌面操作系统。 如果你使用的是Linux或macOS，暂时不会被感染，但还是建议你及时更新安全，因为不知道该勒索软件是否会更新为支持对Linux或macOS的攻击。

勒索病毒在夜间高峰期每小时攻击约4000次

根据360对校园网勒索事件的监测数据，ONION病毒最早出现在中国，平均每小时攻击200次左右，夜间高峰期每小时攻击超过1000次； 此次全球性攻击在中国校园网蔓延迅速，夜间高峰期每小时约4000次攻击。

如何防止wana Decryptor 2.0？

“永恒之蓝”会扫描开放文件共享端口445的Windows机器，无需用户任何操作，只要电脑开机并联网，不法分子就可以植入勒索软件、远程控制木马、虚拟货币矿机等. 在计算机和服务器中。 程序。

由于之前国内爆发使用445端口的蠕虫，运营商已经对个人用户屏蔽了445端口，但是教育网没有这个限制，仍然有大量的机器暴露445端口。据统计有关机构称，目前中国每天有超过5000台机器受到美国国家安全局“永恒之蓝”黑客武器的远程攻击，而教育网是重灾区。

为了防止中招造成的数据丢失和财产损失，以下方法可以帮助您防范wanaDecrypt0r2.0勒索病毒。

最简单的方法：打开 Windows 安全更新

微软于今年3月发布补丁MS17-010修复“永恒之蓝”攻击的系统漏洞，请尽快为您的电脑安装此补丁！ (下载网址： )

另外，您也可以单独下载安全补丁KB4012212进行更新，通过MS17-010了解更多相关安全问题。

三月每月安全更新下载

临时解决方案 1：禁用 SMBv1

如果您的设备处于特殊环境，暂时无法被Windows安全更新阻止，您也可以通过禁用SMBv1来阻止，如下：

对于客户端操作系统：

打开控制面板，单击程序，然后单击打开或关闭 Windows 功能。

在 Windows 功能窗口中，清除 SMB 1.0/CIFS 文件共享支持复选框，然后单击确定关闭窗口。

重启系统。

对于服务器操作系统：

打开服务器管理器，单击管理菜单，然后选择删除角色和功能。

在“功能”窗口中，清除“SMB 1.0/CIFS 文件共享支持”复选框，然后单击“确定”关闭窗口。

重启系统。

临时解决方案二：使用系统防火墙屏蔽445端口

如果使用系统自带的防火墙，可以通过以下步骤屏蔽445端口：

打开控制面板

在“控制面板”中选择“Windows防火墙”

点击左侧“高级设置”，在弹出的“高级安全Windows防火墙”中选择“入站规则”

新建一条规则，点击“端口”，点击下一步； 在“TCP”端口中选择一个具体的本地端口，填入445端口，然后点击下一步； 然后点击“阻止连接”，点击下一步； 选择所有网络，然后输入规则名称并单击完成。

临时解决方案三：关闭445端口（适用于Windows XP等）

对于Windows 2000/XP用户，由于微软已经结束了对这两个操作系统的支持类似于比特币的软件，可以通过修改注册表来禁用：

通过 Windows + R 打开“运行”

输入 regedit，单击确定并导航到 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters。

创建一个名为“SMBDeviceEnabled”的新 DWORD 值并将其设置为 0

重新启动计算机

临时解决方案四：使用360的NSA武器库免疫工具

如果觉得修改注册表太麻烦，也可以使用360推出的NSA武器库免疫工具，根据软件提出的程序进行检测和操作，避免中招。

被录用了怎么办？

如果您的设备遭到入侵，并且里面的信息非常宝贵且紧急，不幸的是，目前您可能只需要支付赎金就可以解锁文件。 此外，根据勒索软件的描述，如果不支付赎金，一周后设备中的所有数据将丢失。

如果数据不是很紧急，可以等待近期国内外安全公司给出的解决方案。 或许在接下来的一段时间内可以实现无损解锁，从而避免损失。

为避免日后被攻击，您还需要做到以下几点：

1、做好个人重要资料的备份工作。 个人科研资料、工作文档、照片等，根据重要性定期备份到移动存储介质、知名网盘或其他电脑中。

第二，养成良好的上网习惯。 不要轻易在不明网页上下载和运行软件，以减少计算机被入侵的可能性。

三、注意个人电脑安全维护。 自动定期更新系统补丁，安装常用杀毒软件和安全软件，升级到最新病毒库，并开启实时监控功能。

4、停止使用微软官方明确表示不会为安全漏洞打补丁的操作系统和办公软件。 默认情况下禁止 Office 文档中的宏。 如果您无法确认文档是否安全，请不要盲目启用宏功能。

5. 不要打开来历不明或可疑的电子邮件和附件。

六是注意个人手机安全，安装手机杀毒软件，从可靠、安全的手机市场下载手机应用程序。

7.开启Windows防火墙，避免类似的端口攻击。