比特幣病毒瘋狂蔓延，Windows 用戶該如何度過難關？

面對來勢洶洶的勒索病毒，這些事情是你需要知道的。

引用 Malwarebytes 反惡意軟體主管 Adam Kujawa 的說法：「WannaCry 的傳播量是巨大的，我從來沒有見過這樣的事情。」

感染該病毒之後，相應設備的磁碟文件會被篡改為相應的後綴，包括文檔、圖片、視頻以及壓縮包在內的各類資料將無法正常打開。

對於這場波及全球範圍的「勒索軟體」襲擊事件，國內外媒體進行了大量報道。這篇文章我們將直入主題，來說下哪些用戶需要格外注意，以及如何進行防範。另外，結尾處也會進行簡單的回顧（PS：已經對整個事件比較了解可以直接略過）。

目前「災區」為 Windows，其它平台設備暫時安全

WannaCry（又稱 WanaCrypt0r 或者 WCry），是之前泄露的 NSA（美國國家安全局）黑客武器庫中「Eternal Blue」攻擊程序的變體，其可以遠程攻擊 Windows 的 455 埠（文件共享）。

目前只感染 Windows 平台，而 macOS、Linux、Android 不在此次攻擊範圍之內，所以如果你的設備運行後幾種平台，暫時是安全的。不過，沒有人敢保證，接下來傳播者是否會通過更新這一軟體，來對其它平台的設備進行攻擊，所以同樣需要留意相關信息。

目前受 WannaCry 影響的 Windows 操作系統包括：

Windows 2000 / XP

Windows Vista

Windows 7

Windows 8 / 8.1

Windows 10（不包括 Windows 10 Creators Update 和 build 15063）

Windows Server 2008 / 2008 R2

Windows Server 2012 / 2012 R2

Windows Server 2016

需要特別注意的是，利用 455 埠傳播的蠕蟲病毒之前曾多次出現，一些運營商封掉了個人用戶的 455 埠。但教育網對此並未對此進行限制，因此依舊存在大量開放的 455 埠設備，而這些設備無疑將成為了這次受感染的「重災區」。

如何及早採取措施，讓你的設備「幸免於難」

就目前而言，一旦你的設備已經「中槍」，想要恢復被加密的資料，唯一可能的途徑就是按照勒索者的要求，支付 5 比特幣或者 300 美元贖金（約合 5 萬和 2000 多元人民幣）。另外，按照勒索者的說法，如果一周之內不付款，那麼威脅要完全刪除被加密的文件。

但問題是，即使是你「認栽」，支付相應數額贖金，也不能保證一定會解密成功。所以建議，如果並非緊急情況，最好等待後續解決方案出台，即使到時依舊無法獲得解決，再去嘗試支付贖金也不遲。

下面來重點講下，如何即使採取措施，來對設備進行防護。

首選：開啟 Windows 安全更新

實際上，早在今年 3 月份，微軟發布的安全更新補丁中，就包含有此次被 WannaCry 勒索軟體利用的漏洞。不過由於不會影響日常的使用體驗，大家對於 Windows 的日常更新往往並不會太多關注，相當一部分人並沒有及時更新。目前來看最簡便、靠譜的方法，就是完成之前的系統更新。

有一條好消息是，微軟周五表示，將向更舊的操作系統「不再接受主流支持」的用戶推出更新，包括 Windows XP（NHS 仍然主要使用），Windows 8 和 Windows Server 2003。

微軟已經發布了相關的補丁 MS17-010 用以修復此次被利用的系統漏洞，大家可以去微軟官方了解詳細解決方案。直通地址：https://technet.microsoft.com/zh-cn/library/security/MS17-010。

次選：安裝 360 安全衛士、騰訊管家等安全軟體

360 對此次大範圍病毒攻擊事件反應較為迅速。按照 5 月 13 日早些時候其微信公眾平台發布相關文章的說法，之前 360 安全中心已經推出「NSA 武器庫免疫工具」，能夠一鍵檢測/修復 NSA 黑客武器攻擊漏洞。

針對已經停止更新的 Windows XP/2003 系統，免疫工具可以關閉漏洞利用的埠，來防止 NSA 黑客武器植入勒索病毒等惡意程序。

隨後騰訊電腦管家也發文提醒用戶，保持騰訊電腦開啟狀態，來實時攔截病毒。尚未選擇修復漏洞的用戶可以使用「漏洞修復」功能進行掃描修復。

其它方法：手動關閉埠

默認狀態下，Windows 的 135、139、445 埠處於開放狀態。而此次 WannaCry 正是通過 445 埠來進行大規模傳播的，我們也可以選擇手動來關閉以上埠。下面來講下如何關閉此次「惹禍」的 445 埠。

目前網上有很多「如何關閉」445 埠的方法，但經過多次嘗試，親測（Windows 10 系統）有效的是通過「修改註冊表」來實現。下面來說下具體操作。

在準備關閉 445 埠之前，首先需要認定的是，你的設備是否已經開啟了該埠。查看方法：快捷鍵 Win+R 打開運行窗口，調出 CMD 命令行程序，然後活動輸入 netstat -na 命令，此時就可以看到在運行的埠狀態為 Listening。（PS：由於之前測試環節我已經關閉了 445 埠，可以參考 135 埠狀態。）

以 445 埠已經開啟為例。接下來需要進完成的步驟是在 Parameters 服務項下，新建 QWORD（32/64 位）值，並且重命名為「SMBDeviceEnabled」，同時把它的值改為 0。

具體操作，打開運行窗口，輸入 regedit 進入註冊表編輯器「。依次點擊註冊表選項，按照 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesNetBTParameters 路徑，就可以完成以上操作了。

繼續往下走。打開運行窗口，並且輸入 services.msc 命令進入服務管理控制台。然後找到 server 選項，雙擊進入管理控制頁面。把啟動類型更改為「禁用」，同時服務狀態更改為「停止」，確定之後重啟電腦即可完成 445 埠的關閉任務。

WannaCry 的影響，在持續蔓延

據悉，WannaCry 會掃描開放 445 文件共享埠的 Windows 設備，只要用戶的設備處於開機上網狀態，黑客就能在電腦和伺服器中植入勒索軟體、遠程控制木馬、虛擬貨幣挖礦機等惡意程序。

糟糕的地方在於，相比大多數其他惡意程序依靠通過欺騙用戶點擊附有攻擊代碼附件來的傳播方式，WannaCry 可以通過網路自行傳播，傳播速度要遠高於前者。

麻煩的是，目前攻擊起源尚不清楚，難以大規模修復。FOX-IT 的研究員在 Twitter 上表示，他懷疑電子郵件可能是一部分途徑，但不非所有。思科系統 Talos 集團的研究人員進一步寫道：「我們的研究無法確定電子郵件是否是最初的感染載體，目前正在分析中。」

近幾周進行的互聯網掃描顯示，有多達 230 萬台計算機的 445 埠暴露在互聯網上，其中有 130 萬台 Windows 機器尚未進行漏洞修復。

截至周五下午，卡巴斯基實驗室分析顯示，受感染計算機數量已超過 45000 台，其中絕大多數為俄羅斯（烏克蘭，印度和台灣），而目前國內方面，受影響較大的是校園網設備。由於目前正處大四畢業生畢業答辯前期，這也將直接影響到這一過程的順利進行。

為了以後能夠避免類似於此次大規模的病毒軟體傳播所帶來的影響，我們在日常的使用設備的過程中，應該養成備份重要文件的習慣（雖然會額外花費一些時間，但應付數據異常等異常情況確實非常有用）。

另外，非常重要的一點，使用設備過程中，要及時留意微軟推送的安全更新。以這次的 WannaCry 事件為例，如果用戶在 3 月份安裝了針對相關漏洞的補丁，那麼也就不會出現目前大肆蔓延的情況了。

最後還是建議大家，無論通過何種途徑，儘快修復 Windows 漏洞，同時開啟防火牆來避免類似的埠攻擊。未來一段時間，我們也將持續對該事件進行關注。

本文由極客公園原創

轉載聯繫 wangxue@geekpark.net

點擊播放 GIF/98K

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！