教你如何防范勒索病毒
教你如何防范勒索病毒
程序猿和互联网
最近，小编在网上电视上都看到了关于勒索病毒的事件，勒索病毒全球肆虐，尽管那个英国“英雄小哥”在病毒代码中发现了“隐藏开关”，阻止了勒索病毒进一步扩散，但是...几个小时前，英国BBC发文称：安全专家警告，下一波网络攻击即将来临，很可能在星期一。文中称，这群黑客没有理由会停止，尽管我们已经阻止了勒索病毒进一步扩散，但另一波变种的攻击或将会到来，毕竟修改病毒代码不会花费多少时间，很有可能会发生在星期一上午。今天，国家网络与信息安全信息通报中心紧急通报：监测发现，在全球范围内爆发的WannaCry 勒索病毒出现了变种：WannaCry 2.0， 与之前版本的不同是，这个变种取消了Kill Switch，不能通过注册某个域名来关闭变种勒索病毒的传播，该变种传播速度可能会更快。请广大网民尽快升级安装Windows操作系统相关补丁，已感染病毒机器请立即断网，避免进一步传播感染。所以，如果你周末未开机，周一上班前：第一步：什么都不用说，先断网，再备份！拔掉网线，关掉WiFi，然后开机备份文档。注意注意！不要备份在本机和网络硬盘上。第二步：开机。第三步：控制面板 &防火墙&高级设置 & 在入站规则(新建规则) & 端口 & TCP打勾 &特定输入(445) & 阻止连接 & 名字輸入(阻挡勒索病毒连接名)具体如下：1. 打开控制面板-&系统和安全-&Windows 防火墙2. 点击高级设置（打开高级安全Windows防火墙）3. 在入站规则（也就是外网访问你的电脑的规则）图标上右键-&新建规则4. 点击端口，然后点击下一步5. 点击TCP， 然后在“特定本地端口”里输入4456. 点击下一步7. 点击阻止连接8. 点击下一步9. 全选上，然后下一步。10. 随便起名字，然后完成。到这里，你完成了阻止所有通过445端口连接你的电脑的连接。。。。不放心的可以再把UTP也阻止了(方法一样）。445端口关闭后，本机cmd窗口执行命令&netstat -ano | findstr &:445&&，回车后无任何返回。这样确保了你上网时不被病毒攻击第四步：连接网络，打补丁补丁升级地址：更新最新的5月份KB4012264补丁，如果你的更新记录如下，则表示已更新Windows 7 : KB4012215 或 KB4015549 或 KB4019264Windows 8.1:KB4012216 或 KB4015550 或 KB4019215===Windows 10直接去Windows更新便可Windows 8.1 64：/c/msdownload/update/software/secu/2017/05/windows8.1-kb_d06fa047afc97c445ca.msuWindows 8.1 32：/c/msdownload/update/software/secu/2017/05/windows8.1-kb_fe1cafb988ae5db345faf7bac587d7.msuWindows 7 64：/c/msdownload/update/software/secu/2017/05/windows6.1-kb_c2d1cef74d6cb4c124b207d0d0540f.msuWindows 7 32：/c/msdownload/update/software/secu/2017/05/windows6.1-kb_aaf785b1697982cfdbe4a39c1aabd727d510c6a7.msu＝＝针对老版本Windows，微软已推出KB4012598 :Windows Vista 32/64Windows Server Windows 8 32/64Windows XP SP3Windows Server 2003http://www.catalog./Search.aspx?q=KB4012598什么是WannaCry？就是一些混蛋编写的利用Windows中的SMB漏洞的病毒代码，也被称为Wana Decrypt0r，WannaCryptor或WCRY，和其它勒索病毒变体一样，阻止你访问计算机或文件，并要求支付赎金解锁文件。该病毒具有传染性，传播快，所以请大家务必对自己的电脑升级防护，避免二次传播。所以小编在这里提示你千万不要打开可疑的电子邮件，永远不要打开可疑的附件！如果发现被感染，赶快关机，交给专业人士处理。最后，如果你被感染，千万不要支付他妈的赎金，这助长这些混蛋的嚣张气焰，没准还会要你支付更多的赎金。
本文仅代表作者观点，不代表百度立场。系作者授权百家号发表，未经许可不得转载。
程序猿和互联网
百家号 最近更新：
简介: 互联网趋势、事件，精准分析
作者最新文章阅读 : 288
勒索病毒和熊猫烧香对比分析，如何防止下一个勒索病毒？（转载本文必须全文转载并注明出处，严禁篡改内容！）最近突然被勒索病毒刷屏，这样我想起了很久以前的熊猫烧香病毒。经过分析，发现两者有很多共同之处。勒索病毒中毒后画面熊猫烧香中毒画面&传播方式比较：都是先通过邮件或网页方式等传统方式传播进局域网，然后病毒通过windows的文件共享端口进行局域网内快速传播感染。不同之处是，勒索病毒利用了NSA发现的一个名为Eternalblue（永恒之兰）的漏洞，该漏洞可以通过139/445端口远程登陆windows主机并获得windows系统服务权限。而熊猫烧香是通过文件共享端口不断尝试口令登陆，登陆陈宫。破坏目标比较：勒索病毒是对文档图纸进行加密不让正常使用，勒索钱财后提供密码解密。而熊猫烧香病毒感染扩展名为exe,pif,com,src的文件,把自己附加到文件的头部，并在扩展名为htm,html, asp,php,jsp,aspx的文件中添加一网址，用户一但打开了该文件，IE就会不断的在后台点击写入的网址，达到增加点击量的目的。后期的变种也能感染文档。&破坏准备工作比较：入侵主机成功后，都是首先要获得系统服务器权限，安装服务和修改注册表，让其程序自动启动。然后通过病毒程序进行主机的文件破坏。勒索病毒：安装系统服务mssecsvc2.0，并把执行破坏的exe程序拷贝到 C:\WINDOWS目录和C:\WINDOWS\System32\Drivers目录（做安全的都知道这2个目录是干什么的吧，这里就不多做解释了），然后通过注册表添加，完成自动启动。熊猫烧香：入侵主机成功后，首先拷贝文件到C:\WINDOWS\System32\Drivers\spoclsv.exe，然后通过添加注册表完成病毒自启动。程序已经开机自动启动了，并且拥有了系统服务权限（系统服务权限是高于Administrator的），那么修改一些文件，在加密哪个文档，都是小菜一碟了。从以上分析不难看出，二者有很大的共性，都是通过邮件等方式先远距离传播（公网上没有几个人会白痴到在防火墙开放139/445端口），进入局域网后，在通过操作系统漏洞，完成从点到面的扩散，侵占局域网内的主机，侵占主机方式都不约尔同的先安装服务，设置自己自动启动，然后进行破坏活动。&关于如何防止这类病毒，首先从传播路径上进行预防，各大邮件服务器、网站等都应该做杀毒检查，但是效果有限，原因很简单，很难区分正常邮件和非正常邮件。这样，病毒很可能就进入了局域网。&其次，通过操作系统补丁，或部署APT等风险检测系统，以及杀毒软件，或强化账号安全性来降低被入侵的风险，注意，这里也只能是降低，无法杜绝，原因也很简单，系统的漏洞很多，有些是公开的，单还有更多是没公开的，有的甚至连操作系统厂家都不知道，怎么打补丁啊。通过病毒特征码的病毒库来杀毒，这个病毒可以防御了，那么下一个新病毒变种怎么办啊。&再其次，只能通过主动防御类软件来进行最后的抵抗了。主动防御类软件，对系统目录文件拷贝，以及关键注册表增加行为，都会视为高风险行为，一般发现此行为后，都会提示用户选择是继续还是拒绝。这次大规模中毒，360，金山，管家等自称具有主动防御安全卫士都被绕过，让人大跌眼镜。不过这也不能全怪这些厂家，毕竟为了使用方便，必须牺牲一些安全性。安全性和便利性是冲突的，很难两全。目前为止，我也无法想出保障操作系统安全，又不牺牲便利性的解决方案，这么费脑细胞的事情，还是交给那些杀毒厂家吧，不能抢了人家的饭碗。不过，深信达作为国内专业的数据安全防扩散厂家，从数据使用安全角度出发开发的云私钥/ServerDLP+/三头狗居然也能有效保护服务器/智能仪器上的数据免受勒索病毒和熊猫烧香这类病毒的侵扰，不禁令人莞尔。看来，比起个人PC上的安全保证的复杂度，文件共享服务器，ERP，OA，PDM这类业务应用服务器的安全，要容易得多。& &另，为避免误会，需要说明一下，云私钥/ServerDLP+/三头狗本意是独立于操作系统用户权限之外，对服务器/智能仪器上的业务数据的使用进行严格安全管控，防止未经授权的数据使用，特别是防止非授权人员进入被后台把数据一锅端。比如租了阿里云担心阿里来偷窥数据，服务器放在机房数据被一锅端拷贝走；又或者卖出去的服务器/仪器内软件课件库文件被用户破解扩散。并没有杀毒功能，此次可以抵御勒索病毒完全是无心插柳柳成荫，所以各位做入侵检测、杀毒防御的安全厂家无须担心被抢生意，我们不是竞争对手，哈。2017年5月14日早上--------------------------------------以上-------------------------
本文来源于微信公众号，如有侵权，请与我们联系。
转载请说明出处()。
微信扫一扫
分享文章到朋友圈播放列表加载中...
正在载入...
分享视频：
嵌入代码：
拍下二维码，随时随地看视频
两分钟教你如何预防敲诈勒索病毒
上 传 者：
内容介绍：
两分钟教你如何预防敲诈勒索病毒
我来说点啥
版权所有 CopyRight
| 京网文[0号 |
| 京公网安备：
互联网药品信息服务资格证：（京）-非经营性- | 广播电视节目制作经营许可证：（京）字第403号
<img src="" width="34" height="34"/>
<img src=""/>
<li data-vid="">
<img src=""/><i data-vid="" class="ckl_plays">
<img width="132" height="99" src=""/>
在线人数：
<li data-vid="">
<img src=""/><i data-vid="" class="ckl_plays">
<img src="///img/blank.png" data-src=""/>
<img src="///img/blank.png" data-src="http://"/>
<li data-vid="" class="cfix">
src="///img/blank.png" data-src=""/>
<i data-vid="" class="ckl_plays">
<li data-vid="" class="cfix">
src="///img/blank.png" data-src=""/><i data-vid="" class="ckl_plays">
没有数据！
{upload_level_name}
粉丝 {fans_count}
{video_count}
{description}【提示】手把手教你如何防范“勒索病毒”！
用微信扫描二维码分享至好友和朋友圈
用微信扫描二维码分享至好友和朋友圈
　　名为“WannaCry”的勒索蠕虫病毒在全球肆虐，该软件利用Windows安全漏洞，对计算机中的文档、图片等实施高强度加密，并勒索赎金。　　市经信委今天说，国家互联网应急中心针对“WannaCry”发布了相应的处置手册，包括被感染主机、未感染主机的处置流程，筒子们赶紧收藏！　　5月12日，名为“WannaCry”的勒索蠕虫病毒在全球爆发，由于它利用此前公布的网络武器——“永恒之蓝”所采用的Windows安全漏洞，无需任何操作，只要开机上网，不法分子就能通过扫描开放445文件共享端口的Windows，在这些电脑中执行勒索程序、远程控制木马、虚拟货币挖矿机等恶意程序实施攻击，影响十分恶劣。　　针对“WannaCry”，国家互联网应急中心发布了相应的处置手册，大家可以按以下流程实施处置：　　1确认主机是否被感染　　被感染主机会在屏幕显示类似如下的支付赎金通知的界面：　　　　2被感染主机处置流程　　1）将该主机隔离或断网（拔网线）；　　2）使用PE盘进入操作系统，将可用文件进行备份，并对备份数据进行离线处理；　　3）重新安装操作系统，或者利用专杀工具[1]清除主机中的勒索软件；　　4）若采用专杀工具方式清除主机中勒索软件，则可以利用文件恢复工具[4]尝试恢复部分被勒索软件加密的文档；　　5）根据未感染主机处置流程对主机进行安全防护；　　6）若客户存在该主机备份，则启动备份恢复程序。　　3未感染主机处置流程　　对于未感染主机，可以通过手动修改配置或者使用免疫工具进行防护，避免主机被感染。　　1、手动修改系统安全配置　　主要流程概括如下：　　1）关闭网络，开启系统防火墙；　　2）利用系统防火墙高级设置阻止向445端口进行连接（该操作会影响使用445端口的服务）及网络共享；　　3）打开网络，开启系统自动更新，并检测更新进行安装。　　1.1 Win7、Win8、Win10的处理流程　　1）关闭网络　　　　2）打开控制面板-系统与安全-Windows防火墙，点击左侧启动或关闭Windows防火墙　　　　3）选择启动防火墙，并点击确定　　　　4）点击高级设置　　　　5）点击入站规则，新建规则，以445端口为例　　　　6）选择端口、下一步　　　　7）选择特定本地端口，输入445，下一步　　　　8）选择阻止连接，下一步　　　　9）配置文件，默认全选，下一步　　　　10）设置名称，可以任意输入，完成即可。　　　　11）恢复网络　　　　12）开启系统自动更新，并检测更新进行安装　　　　注：在系统更新完成后，如果业务需要使用SMB服务，将上面设置的防火墙入站规则删除即可。　　　　　　1.2XP系统的处理流程　　1）依次打开控制面板，安全中心，Windows防火墙，选择启用。　　　　2）通过注册表关闭445端口，单击“开始”——“运行”，输入“regedit”，单击“确定”按钮，打开注册表。　　　　3）找到HKEY_LOCAL_MACHINE\System\Controlset\Services\NetBT\Parameters，选择“Parameters”项，右键单击，选择“新建”——“DWORD值”。　　　　4）将DWORD值命名为“SMBDeviceEnabled”，值修改为0。　　　　5）重启机器，查看445端口连接已经没有了。　　　　6）安装微软总部针对该漏洞（MS17-010）发布的特别补丁[5]。　　2、使用免疫工具进行防护　　1）使用检测免疫工具[2][3]对系统进行快速免疫；　　2）安装微软发布的MS17-010补丁[5]。　　资料：市经信委官方微信　　编辑：林欣、余寒静
特别声明：本文为网易自媒体平台“网易号”作者上传并发布，仅代表该作者观点。网易仅提供信息发布 平台。
阅读下一篇
网易通行证/邮箱用户可以直接登录：“勒索病毒”大面积爆发 如何预防专家支招
&gt科技前沿
电视不播的
真相在这找