救命必看！Windows勒索病毒最全攻略、补丁下。。。

　　5月12日起，Onion、WNCRY两类敲诈者病毒变种在全国乃至全世界大范围内出现爆发态势，大量个人和企业、机构用户中招。
　　与以往不同的是，这次的新变种病毒添加了NSA（美国国家安全局）黑客工具包中的“永恒之蓝”0day漏洞利用，通过445端口（文件共享）在内网进行蠕虫式感染传播，没有安装安全软件或及时更新系统补丁的其他内网用户就极有可能被动感染，所以目前感染用户主要集中在企业、高校等内网环境下。
　　一旦感染该蠕虫病毒变种，系统重要资料文件就会被加密，并勒索高额的比特币赎金，折合人民币200050000元不等。
　　从目前监控到的情况来看，全网已经有数万用户感染，QQ、微博等社交平台上也是哀鸿遍野，后续威胁也不容小觑。敲诈勒索病毒远程执行漏洞蠕虫传播的组合致使危险度剧增，对近期国内的网络安全形势一次的严峻考验。
　　事发后，微软和各大安全公司都第一时间跟进，更新旗下安全软件。金山毒霸也特别针对本次敲诈者蠕虫，给出了详细的安全防御方案、传播分析，以及其他安全建议。
　　我们也汇总了所有Windows系统版本的补丁，请大家务必尽快安装更新。
　　【传播感染背景】
　　本轮敲诈者蠕虫病毒传播主要包括Onion、WNCRY两大家族变种，首先在英国、俄罗斯等多个国家爆发，有多家企业、医疗机构的系统中招，损失非常惨重。
　　安全机构全球监测已经发现目前多达74个国家遭遇本次敲诈者蠕虫攻击。
　　从5月12日开始，国内的感染传播量也开始急剧增加，在多个高校和企业内部集中爆发并且愈演愈烈。
　　全球74个国家遭遇Onion、WNCRY敲诈者蠕虫感染攻击
　　24小时内监测到的WNCRY敲诈者蠕虫攻击次数超过10W
　　本次感染急剧爆发的主要原因在于其传播过程中使用了前段时间泄漏的美国国家安全局（NSA）黑客工具包中的“永恒之蓝”漏洞（微软3月份已经发布补丁，漏洞编号MS17010）。
　　和历史上的“震荡波”、“冲击波”等大规模蠕虫感染类似，本次传播攻击利用的“永恒之蓝”漏洞可以通过445端口直接远程攻击目标主机，传播感染速度非常快。
　　本次敲诈者蠕虫病毒变种通过“永恒之蓝”漏洞进行网络攻击
　　虽然国内部分网络运营商已经屏蔽掉个人用户的445网络端口，但是在教育网、部分运行商的大局域网、校园企业内网依旧存在大量暴漏的攻击目标。
　　对于企业来说尤其严重，一旦内部的关键服务器系统遭遇攻击，带来的损失不可估量。
　　从检测到反馈情况看，国内多个高校都集中爆发了感染传播事件，甚至包括机场航班信息、加油站等终端系统遭受影响，预计近期由本次敲诈者蠕虫病毒造成的影响会进一步加剧。
　　全国各地的高校内网的敲诈者蠕虫感染攻击爆发
　　某高校机房全部遭遇WNCRY敲诈者蠕虫攻击
　　国内某地加油站系统遭遇本次敲诈者蠕虫变种攻击
　　某机场航班信息终端同样遭遇了敲诈者蠕虫攻击
　　【敲诈蠕虫病毒感染现象】
　　中招系统中的文档、图片、压缩包、影音等常见文件都会被病毒加密，然后向用户勒索高额比特币赎金。
　　WNCRY变种一般勒索价值300600美金的比特币，Onion变种甚至要求用户支付3个比特币，以目前的比特币行情，折合人民币在3万左右。
　　此类病毒一般使用RSA等非对称算法，没有私钥就无法解密文件。WNCRY敲诈者病毒要求用户在3天内付款，否则解密费用翻倍，并且一周内未付款将删除密钥导致无法恢复。
　　从某种意义上来说，这种敲诈者病毒“可防不可解”，需要安全厂商和用户共同加强安全防御措施和意识。
　　感染WNCRY勒索病毒的用户系统弹出比特币勒索窗口
　　用户文件资料被加密，后缀改为“wncry”，桌面被改为勒索恐吓
　　对部分变种的比特币支付地址进行追踪发现，目前已经有少量用户开始向病毒作者支付勒索赎金。
　　从下图中我们可以看到这个变种的病毒作者已经收到19个用户的比特币赎金，累计3。58个比特币，市值约人民币4万元。
　　某个敲诈者蠕虫的比特币支付信息追踪
　　【防御措施建议】
　　1、安装杀毒软件，保持安全防御功能开启，比如金山毒霸已可拦截（下载地址http：www。duba。net），微软自带的WindowsDefender也可以。
　　金山毒霸查杀WNCRY敲诈者蠕虫病毒
　　金山毒霸敲诈者病毒防御拦截WNCRY病毒加密用户文件
　　2、打开WindowsUpdate自动更新，及时升级系统。
　　微软在3月份已经针对NSA泄漏的漏洞发布了MS17010升级补丁，包括本次被敲诈者蠕虫病毒利用的“永恒之蓝”漏洞，同时针对停止支持的WindowsXP、WindowsServer2003、Windows8也发布了专门的修复补丁。
　　最新版的Windows101703创意者更新已经不存在此漏洞，不需要补丁。
　　各系统补丁官方下载地址如下：
　　【KB4012598】：http：www。catalog。update。microsoft。comSearch。aspx？qKB4012598
　　适用于WindowsXP32位64位嵌入式、WindowsVista3264位、WindowsServer2003SP232位64位、Windows832位64位、WindowsServer200832位64位安腾
　　【KB4012212】：http：www。catalog。update。microsoft。comSearch。aspx？qKB4012212
　　适用于Windows732位64位嵌入式、WindowsServer2008R232位64位
　　【KB4012213】：http：catalog。update。microsoft。comv7siteSearch。aspx？qKB4012213
　　适用于Windows8。132位64位、WindowsServer2012R232位64位
　　【KB4012214】：http：catalog。update。microsoft。comv7siteSearch。aspx？qKB4012214
　　适用于Windows8嵌入式、WindowsServer2012
　　【KB4012606】：http：www。catalog。update。microsoft。comSearch。aspx？qKB4012606
　　适用于Windows10RTM32位64位LTSB
　　【KB4013198】：http：www。catalog。update。microsoft。comSearch。aspx？qKB4013198
　　适用于Windows101511十一月更新版3264位
　　【KB4013429】：http：www。catalog。update。microsoft。comSearch。aspx？qKB4013429
　　适用于Windows101607周年更新版3264位、WindowsServer20163264位
　　3、WindowsXP、WindowsServer2003系统用户还可以关闭445端口，规避遭遇此次敲诈者蠕虫病毒的感染攻击。
　　步骤如下：
　　（1）、开启系统防火墙保护。控制面板安全中心Windows防火墙启用。
　　开启系统防火墙保护
　　（2）、关闭系统445端口。
　　（a）、快捷键WINR启动运行窗口，输入cmd并执行，打开命令行操作窗口，输入命令“netstatan”，检测445端口是否开启。
　　（b）、如上图假如445端口开启，依次输入以下命令进行关闭：
　　netstoprdrnetstopsrvnetstopnetbt
　　功后的效果如下：
　　4、谨慎打开不明来源的网址和邮件，打开Office文档的时候禁用宏开启，网络挂马和钓鱼邮件一直是国内外勒索病毒传播的重要渠道。
　　钓鱼邮件文档中暗藏勒索者病毒，诱导用户开启宏运行病毒
　　5、养成良好的备份习惯，及时使用网盘或移动硬盘备份个人重要文件。
　　本次敲诈者蠕虫爆发事件中，国内很多高校和企业都遭遇攻击，很多关键重要资料都被病毒加密勒索，希望广大用户由此提高重要文件备份的安全意识。
　　免责声明：本文仅代表作者个人观点，与环球网无关。其原创性以及文中陈述文字和内容未经本站证实，对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺，请读者仅作参考，并请自行核实相关内容。