比特幣勒索病毒如何防範？WannaCry病毒防範攻略

近年來，一種以敲詐用戶錢財為目的比特幣勒索病毒WannaCry開始流行起來，用戶電腦中如果誤中這種病毒，該類病毒會自動的加密用戶在電腦硬碟中的各類資料文件，由於大多勒索病毒採用了高強度加密方式，所以沒有病毒作者手中的密鑰，就無法進行文件的解密操作。如果想要解密文檔，受害者就不得不為此而交付贖金，甚至有的交付了贖金後因為各種原因依舊無法解密文件，用戶資料文件因此被鎖，損失慘重。

能讓Windows躺著也能中槍的勒索病毒Wanna

近日，一種危害更大，感染力更強的勒索病毒Wanna現身網路，使得國內多處高校網路和企業內網出現WannaCry勒索軟體感染情況，與之前勒索病毒不同的是，WannaCry勒索病毒利用的是NSA黑客武器庫泄漏的「永恆之藍」發起的蠕蟲病毒攻擊傳播功能，使得病毒會自動掃描網路中開放445文件共享埠的Windows機器，掃描到開放了445埠的電腦後，如果用戶Windows沒有安裝對應的安全補丁，則無需用戶任何操作，病毒就能入侵用戶電腦系統，進而感染Windows。

圖1 WannaCry病毒

圖2 某高校機房慘遭WannaCry入侵（圖片來源微博）

也就是傳說中的躺著也中槍！不用你做啥，之前的勒索病毒要不就是要你誤運行病毒程序或者誤瀏覽掛馬網頁才能導致中毒，而WannaCry則會自動找上門來。沒有安裝殺毒軟體，沒有及時安裝Windows安全補丁的開放了該埠的Windows電腦就可能被感染。由於以前國內多次爆發利用445埠傳播的蠕蟲，部分運營商在主幹網路上封禁了445埠，所以對家庭用戶影響不大（但並不代表安全）。但是教育網及大量企業內網並沒有對此埠進行限制，區域網中又存在大量暴露445埠且存在漏洞的電腦，導致目前內網環境下的蠕蟲的泛濫。

圖3 慘遭病毒加密的文件

是不是有種似曾相識的感覺？這讓小編想起了多年前的衝擊波病毒，同樣無需用戶操作，同樣使用漏洞入侵用戶電腦，同樣區域網環境下電腦紛紛中招。看著一排電腦彈出重啟倒計時的情形，真壯觀！而現在的WannaCry還加上了危害用戶資料文件的功能。

圖4 你見過這個提示么

什麼叫敲詐病毒（勒索軟體）：

敲詐者病毒是一種目前流行的病毒，通過網路等多種途徑傳播，受害者電腦感染該病毒後後，病毒將自動加密受害者電腦里的多種常見文件，使得受害者的重要資料文件無法正常使用，並以此為條件向用戶勒索錢財。被惡意加密的文件類型包括了文檔、郵件、資料庫、源代碼、圖片、視頻、key文件和壓縮文件等多種文件。黑客們勒索的贖金形式包括真實貨幣、比特幣或其它虛擬貨幣。一般來說，勒索軟體作者還會設定一個支付時限，有時贖金數目也會隨著時間的推移而上漲。特殊情況下即使用戶支付了贖金，最終也還是無法還原被加密的文件。

敲詐病毒造成的危害：

由於敲詐者病毒大多都加密了常見格式文件，諸如用戶保存到電腦中的照片、視頻等具有紀念價值的文件被加密，工作事業文件被加密嚴重影響工作。於是便有了不少受害者上網求助。「十幾年的照片被惡意加密，跪求破解」。「多年研究資料被加密，研究成果毀於一旦」。由於敲詐者病毒大多數採用了比特幣支付方式，並且有些敲詐者病毒的支付頁面已經無法打開或者需要採用非常方式打開，導致用戶即使想要支付贖金都無從支付。甚至有些敲詐者病毒在用戶支付贖金後依然無法進行解密操作。

如何防範Wanna病毒

那麼，如何防範這種勒索病毒呢？咱一起來看看！

防範第一步 為Windows及時安裝安全補丁

及時的為Windows安裝上安全補丁，一直是小編強調的電腦安全措施之一。及時的安裝安全補丁，可以防範病毒木馬利用漏洞來入侵用戶電腦，你只需要做的是開啟Windows update自動安裝更新功能。可惜的是，由於某些原因，國內許多Windows都被人為的關閉了自動安裝補丁功能。微軟在3月份已經針對NSA泄漏的漏洞發布了MS17-010升級補丁，包括本次被敲詐者蠕蟲病毒利用的「永恆之藍」漏洞。

圖5 開啟自動安裝更新功能

但是對已經停止支持的舊版Windows系統卻不能自動獲取到最新的安全補丁，不過微軟這次也對停止支持的Windows發布了專門的修復補丁，用戶自行下載對應的操作系統版本的補丁進行安裝。點擊進入 當然最好的就是升級到Windows 10創意者更新版。

防範第二步 安裝一個靠譜的殺毒軟體

目前敲詐者病毒已經被各個安全軟體公司所關注，當然相應的各個知名殺毒軟體也能夠查殺該病毒及其後續可能出現的一些變種，所以安裝一款靠譜的殺毒軟體還是非常有必要的，還有記得要升級所安裝的殺毒軟體病毒庫到最新版本。請不要相信啥殺毒軟體無用論，關鍵時刻靠譜的殺毒軟體可以幫上你大忙。謹慎打開不明來源的網址和電子郵件，特別是電子郵件附件，打開office文檔的時候禁用宏。

防範第三步 關閉Windows 445埠

首先，你得查詢一下自己的Windows是否已開啟445埠。方法如下：以管理員身份運行命令提示符，在窗口內輸入 netstat -an，查看是否開放445埠。

圖6 查詢是否開放445埠

方法1：打開控制面板→網路和共享中心→更改適配器設置→正在使用的網卡右鍵菜單→屬性→在列表中找到Microsoft網路的文件和印表機共享→去掉前邊的勾→確定→重啟電腦。此方法將導致其他人無法訪本機共享的文件夾及印表機。

圖7 Microsoft網路文件和印表機共享

方法2：控制面板→Windows 防火牆→確認防火牆為開啟狀態→高級設置→入站規則→新建規則→埠→特定本地埠→填入445→阻止連接→輸入名稱。

圖8 Windows防火牆

方法3：Windows XP用戶，運行命令提示符「運行→輸入cmd」，在彈出的命令行窗口中分別輸入下面三條命令以關閉SMB。

net stop rdr

net stop srv

net stop netbt

方法4：嘗試文件恢復

小編在測試病毒的時候發現該病毒採用的是先生成加密文件再刪除原文件的方式，所以用戶就可以使用數據恢復軟體對被刪除的原文件進行恢復，存在成功恢復的可能，前提是用戶沒有再往該目標分區寫入文件。此外有安全軟體發布了攔截補丁與文件嘗試恢復工具，中招者可以嘗試一下。

圖9 WannaCry加密文件時的狀態

方法5：病毒作者設的開關得好好利用

WannaCry病毒傳播不久，一位國外的安全研究人員在病毒樣本中發現了一串看上去很長，看上去隨意打出來的域名：http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com。後經研究發現，勒索樣本啟動後會首先請求該域名，在沒有得到回應後，病毒才會執行加密操作，相反的話則放棄加密操作並直接退出，也就是說， 感染的電腦如果能夠成功連通該域名，就不會被惡意加密。目前該域名已經處於可訪問狀態，所以可以連接互聯網的電腦就暫時的安全了。至於內網的用戶，管理員可以在內網建一個該域名來暫時規避風險。不過該方法靠不靠譜還很難說。

防範措施四 定期異地備份

硬碟有價，數據無價。和以前不同，現在有許多人都習慣了把重要資料保存在電腦中，方便查看與修改。可是許多人卻忘記了硬碟會壞，電腦可能被盜，文檔可能被誤刪除，系統可能會被感染病毒，甚至到了目前的文檔可能會被敲詐類病毒加密的地步。因為這些原因而導致重要資料丟失的新聞並不鮮見，有個教授甚至因此而丟失了幾十年的科研記錄。

所以養成定期的文檔備份習慣是必須的事情。現在有許多自動同步軟體，可以幫助你自動進行文檔的本地及區域網、FTP備份。

圖10 FileGee同步備份軟體

而且還有許多的網盤軟體，也可以幫助你把指定的文檔定期的備份到網盤存儲空間去。部分網盤還支持多版本文件功能，更是可以幫你找迴文件的舊版本。

而筆者建議的是，至少要用一個移動存儲器（如U盤、移動硬碟）來對重要資料進行異地備份。也就是說，備份存儲器不要時刻與電腦進行連接。只在需要備份時進行連接。為的就是防範備份文件在系統中毒後也會遭到感染。

對於這個用戶備份的移動存儲器裡邊的備份文件保密問題，你可以採用Windows BitLocker功能相對該移動存儲器進行加密操作。

總結

WannaCry勒索病毒來勢洶洶，此病毒的特點是利用Windows漏洞與開放的埠進行傳播，導致用戶的Windows無需任何操作也能感染上該病毒。小編的建議就是備份備份，異地定時備份！看多了因為硬碟損壞、病毒感染而導致重要資料文件丟失的例子，重要資料記得備份！