一、勒索病毒簡介

現(xiàn)如今，一種電腦勒索病毒席卷了全球幾十個國家。美國、俄羅斯、中國，歐洲國家Windows電腦受創(chuàng)最重。

和之前一些大面積爆發(fā)的病毒比如熊貓燒香等等不同，黑客開發(fā)這種病毒并不是為了炫技（單地攻擊電腦的軟硬件）而是為了索財。當電腦受到病入侵之后?電腦當中的文作會被加密，導(dǎo)致無法打開。   

黑客會要求你提供300美元（2000元人民幣）的比特幣，才會給你提供解鎖的密碼。支付的贖金一定要是比特幣的原因是，這種電子貨幣的賬戶不易被追蹤，更容易隱藏黑客的真實身份。

病毒的設(shè)計者特意把勃索的說明信息翻譯成了20多個國家和地區(qū)的語言版本，好讓全一世界每一個中了病毒的人都能看懂付款信息，可見野心之大。而且如果中了病毒的計算機屬于高性能的服務(wù)器，病毒還會在這臺電腦當中植入挖礦程序，讓這臺計算機成為生產(chǎn)比特幣的工具，攻擊者可謂無所不用其極，最大程度地榨取受害電腦的經(jīng)濟價值。

電腦中了這種病毒之后，硬盤當中的文件會被AES＋RSA4096位的算法加密。

遇到這種加密級別，目前所有家用電腦如果要暴力破解可能需要幾十萬年。所以一旦被這種病感，加密了自己電腦上的文作，白己是無論如何沒辦法爸文件解密的。如果是政府或者公共機構(gòu)的重要文件被加密，那只能恢復(fù)備份文件。

值得注意的是，這次的病毒襲擊還針對了特定的人群，類似“精準投放。大全業(yè)的公共郵箱、高級餐廳的官網(wǎng)等等都是攻擊的重點對象。起初病毒會偽裝成一封標題非常吸引人的電子郵件，或者偽裝成PDF、DOC這樣的普通文檔，如果存在漏洞的電腦打開了這些鏈接或者文件，就有可能中招。

如果中招的電腦處于一個局域網(wǎng)當中，那么只要一臺電腦感染病毒，其他電腦只要開機上網(wǎng)，馬上也會被感染。

病毒會通過像445端口這樣的文件共享和網(wǎng)絡(luò)打印機共享端口的漏洞展開攻擊。                               

 二、服務(wù)器緊急防范措施

1．立即組織內(nèi)網(wǎng)檢測，查找所有開放445SMB服務(wù)端口的終端和服務(wù)器，一旦發(fā)現(xiàn)中毒機器，立即斷網(wǎng)處置，目前看來對硬盤格式化可清除病毒。

2．一旦發(fā)現(xiàn)電腦中毒，立即斷網(wǎng)

3．啟用并打開“ Windows防火墻”，進入“高級設(shè)置”，在入站規(guī)則里禁用“文件和打印機共享”相關(guān)規(guī)則。關(guān)閉UDP135、445、137、138、139端口關(guān)閉網(wǎng)絡(luò)文件共享

4．嚴格禁止使用U盤、移動硬盤等可執(zhí)行擺渡攻擊的設(shè)備。

5.盡快備份電腦中的重要文件資料。                                            

 6．及時更新操作系統(tǒng)和應(yīng)用程序最新的版本。

7．一般情況下數(shù)據(jù)庫服務(wù)器升級MS17－010補丁不會對1433端口關(guān)閉，Sqlserver i默認使用的是1433端口，有個別情況可能會關(guān)閉1433端口，情況不明

請參考第六條

三、工作站防范措施

目前已知的是， Windows10操作系統(tǒng)只打開了自動更新，就不會有中毒的風險而目前國內(nèi)大量使用的 Windows7甚至 Windows XP電腦相對比較高危。微軟目前已經(jīng)為所有的 Windows系統(tǒng)景急發(fā)布了系統(tǒng)補丁。另外，像445這樣的高危端口，一般的家用電腦也最好關(guān)閉掉。

1．打開控制面板點擊防火墻

2．點擊“高級設(shè)置

3．先點擊入貼規(guī)則再點擊新建規(guī)則。                                           

4．勾中“端口”，點擊“協(xié)議與端口

5．勾選“特定本地端口”，填寫445，點擊下一步

6．點擊阻止鏈接＂，一直下一步，并給規(guī)則命名后，就可以了

還是那句話，再好的殺毒軟件也不如一個好的安全意識，在這個信息化時代，系統(tǒng)漏洞一個補丁就能間痛定但人們安全意識缺失這個漏洞，不知道什么時候才能被堵上。                       

四、卡巴斯基殺毒部署

第一時間部署卡巴斯基反病毒進行查殺以幫助企業(yè)辦公電腦應(yīng)對此次勒索病毒的攻擊。

應(yīng)對勒索病毒，開機操作指南：

一、準備一個U盤或移動硬盤，周一上班前，可以在家里的安全網(wǎng)絡(luò)環(huán)境。                                        

二、到公司后，先拔掉辦公電腦的網(wǎng)線，關(guān)掉無線網(wǎng)絡(luò)開關(guān)，然后再開機。

三、使用準備好的U盤或移動硬盤插入辦公電腦，安裝360安全衛(wèi)士【離線救災(zāi)版

四、安裝部署卡巴斯基查殺、免疫工具，并檢測您的電腦是否存在漏洞。如您當前系統(tǒng)沒有安裝漏補丁，

五、修復(fù)漏洞過程中，請耐心等候，一般要3－5分鐘。

六、修復(fù)成功后，會彈窗提示您。請您重啟電腦，以便修復(fù)操作徹底生效

七、重啟電腦后、您可以通過桌面的【勒索病毒救災(zāi)】快捷方式再漢運行NSA防御工具，確保您的系統(tǒng)已經(jīng)修復(fù)完成。

補充說明：針對部分特殊系統(tǒng)（例如 GHOST精簡系統(tǒng)），由于系統(tǒng)本身被人為的修改導(dǎo)致無法正常安裝本次的漏洞修復(fù)程序，出于安全考慮，工具會直接為您關(guān)閉共享所需的網(wǎng)絡(luò)端口和系統(tǒng)服務(wù)。

五、返向操作

在已安裝好補丁并確認安全，且又必須要打開的端口的情況下，可以進行返向操作，步驟如下:

1．打開控制面板點擊防火墻

2．點擊“高級設(shè)置.                              

3．先點擊“入站規(guī)則”，然后選擇你新建那條規(guī)則。

4．再點擊右則的“禁用規(guī)則”。

5．此時這條規(guī)則前面的綠色打溝圖形消失。

操作完成后，已關(guān)閉的端口就被從新打開。                                  

六、網(wǎng)絡(luò)防范措施

1．身份鑒別包括主機和應(yīng)用兩個方面。

主機操作系統(tǒng)登錄、數(shù)據(jù)庫登陸以及應(yīng)用系統(tǒng)登錄均必須進行身份驗證。過于簡單的標識符和口令容易被窮舉攻擊破解。同時非法用戶可以通過網(wǎng)絡(luò)進行窈聽，從而獲得管理員權(quán)限，可以對任何資源非法訪問及越權(quán)操作。因此必須提高用戶名／口令的復(fù)雜度，且防止被網(wǎng)絡(luò)聽：同時應(yīng)考慮失敗處理機制。

2．訪問控制

訪問控制包括主機和應(yīng)用兩個方面。                                              

 訪問控制主要為了保證用戶對主機資源和應(yīng)用系統(tǒng)資源的合法使用。非法用戶可能企圖假冒合法用戶的身份進入系統(tǒng)，低權(quán)限的合法用戶也可能企圖執(zhí)行高權(quán)限用戶的操作，這些行為將給主機系統(tǒng)和應(yīng)用系統(tǒng)帶來了很大的安全風險。用戶必須擁有合法的用戶標識符，在制定好的訪問控制策略下進行操作，杜絕越權(quán)非法操作。

3．系統(tǒng)審計

系統(tǒng)審計包括主機審計和應(yīng)用審計兩個方面。

對于登陸主機后的操作行為則要進行主機審計。對于服務(wù)和重要主機需要進行嚴格的行為控制，對用戶的行為、使用的命令等進行必要的記錄審計，便于日后的分析、調(diào)查、取證，規(guī)范主機使用行為。而對于應(yīng)用系統(tǒng)同樣提出了應(yīng)用審計的要求，即對應(yīng)用系統(tǒng)的使用行為進行審計。重點審計應(yīng)用層信息，和業(yè)務(wù)系統(tǒng)的運轉(zhuǎn)流程息息相關(guān)。

能夠為安全事件提供足夠的信息，與身份認證與訪問控制聯(lián)系緊密，為相關(guān)事件提供審計記錄。

4．入侵防范

主機操作系統(tǒng)面臨著各類具有針對性的入侵威脅，常見操作系統(tǒng)存在著各種安全漏洞，并且現(xiàn)在漏洞被發(fā)現(xiàn)與漏洞被利用之間的時間差變得越來越短，這就使得操作系統(tǒng)本身的安全性給整個系統(tǒng)帶來巨大的安全風險，因此對于主機操作系統(tǒng)的安裝，使用、維護等提出了需求，防范針對系統(tǒng)的入侵行為。

5．惡意代碼防范

病毒、蟲等惡意代碼是對計算環(huán)境造成危害最大的隱思，當前病毒威助非常嚴，別是蟲病的爆發(fā)，會立刻向其他子網(wǎng)迅速蔓延，發(fā)動網(wǎng)絡(luò)攻擊和數(shù)據(jù)竊密。大量占據(jù)正常業(yè)務(wù)十分有限的帶寬，造成網(wǎng)絡(luò)性能嚴重下降、服務(wù)器崩潰甚至網(wǎng)培通信中斷，信息損壞或泄需。嚴重影響正常業(yè)務(wù)開展。因此必須部署惡意代碼防范軟件進行防御。同時保持惡意代碼庫的及時更新。