比特幣勒索病毒怎么有效預(yù)防|怎么應(yīng)對比特幣勒索病毒

自5月12日起，出現(xiàn)了比特幣勒索病毒，這種病毒會自動給電腦文件加密，并且是高強(qiáng)度加密方式，受害者必須為此交付贖金，才能獲取密碼，找回文件，有的甚至交付屬金后已經(jīng)無法解密文件。很多win7 32位系統(tǒng)用戶都遇到了這樣的問題，那么比特幣勒索病毒怎么有效預(yù)防？且看以下教程。

能讓W(xué)indows躺著也能中槍的勒索病毒W(wǎng)annaCry

近日，一種危害更大，感染力更強(qiáng)的勒索病毒W(wǎng)annaCry現(xiàn)身網(wǎng)絡(luò)，使得國內(nèi)多處高校網(wǎng)絡(luò)和企業(yè)內(nèi)網(wǎng)出現(xiàn)WannaCry勒索軟件感染情況，與之前勒索病毒不同的是，WannaCry勒索病毒利用的是NSA黑客武器庫泄漏的“永恒之藍(lán)”發(fā)起的蠕蟲病毒攻擊傳播功能，使得病毒會自動掃描網(wǎng)絡(luò)中開放445文件共享端口的Windows機(jī)器，掃描到開放了445端口的電腦后，如果用戶Windows沒有安裝對應(yīng)的安全補(bǔ)丁，則無需用戶任何操作，病毒（蠕蟲）就能入侵用戶電腦系統(tǒng)，進(jìn)而下載病毒感染W(wǎng)indows。

圖2 某高校機(jī)房慘遭WannaCry入侵（圖片來源微博）

也就是傳說中的躺著也中槍！不用你做啥，之前的勒索病毒要不就是要你誤運(yùn)行病毒程序或者誤瀏覽掛馬網(wǎng)頁才能導(dǎo)致中毒，而WannaCry則會自動找上門來。沒有安裝殺毒軟件，沒有及時安裝Windows安全補(bǔ)丁的開放了該端口的Windows電腦就可能被感染。由于以前國內(nèi)多次爆發(fā)利用445端口傳播的蠕蟲，部分運(yùn)營商在主干網(wǎng)絡(luò)上封禁了445端口，所以對家庭用戶影響不大（但并不代表安全）。但是教育網(wǎng)及大量企業(yè)內(nèi)網(wǎng)并沒有對此端口進(jìn)行限制，局域網(wǎng)中又存在大量暴露445端口且存在漏洞的電腦，導(dǎo)致目前內(nèi)網(wǎng)環(huán)境下的蠕蟲的泛濫。

圖3 慘遭病毒加密的文件

是不是有種似曾相識的感覺？這讓小編想起了多年前的沖擊波病毒，同樣無需用戶操作，同樣使用漏洞入侵用戶電腦，同樣局域網(wǎng)環(huán)境下電腦紛紛中招?？粗慌烹娔X彈出重啟倒計(jì)時的情形，真壯觀！而現(xiàn)在的WannaCry還加上了危害用戶資料文件的功能。

圖4 你見過這個提示么

什么叫敲詐病毒（勒索軟件）：

敲詐者病毒是一種目前流行的病毒，通過網(wǎng)絡(luò)等多種途徑傳播，受害者電腦感染該病毒后后，病毒將自動加密受害者電腦里的多種常見文件，使得受害者的重要資料文件無法正常使用，并以此為條件向用戶勒索錢財(cái)。被惡意加密的文件類型包括了文檔、郵件、數(shù)據(jù)庫、源代碼、圖片、視頻、key文件和壓縮文件等多種文件。黑客們勒索的贖金形式包括真實(shí)貨幣、比特幣或其它虛擬貨幣。一般來說，勒索軟件作者還會設(shè)定一個支付時限，有時贖金數(shù)目也會隨著時間的推移而上漲。特殊情況下即使用戶支付了贖金，最終也還是無法還原被加密的文件。

敲詐病毒造成的危害：

由于敲詐者病毒大多都加密了常見格式文件，諸如用戶保存到電腦中的照片、視頻等具有紀(jì)念價值的文件被加密，工作事業(yè)文件被加密嚴(yán)重影響工作。于是便有了不少受害者上網(wǎng)求助?！笆畮啄甑恼掌粣阂饧用埽蚯笃平狻??！岸嗄暄芯抠Y料被加密，研究成果毀于一旦”。由于敲詐者病毒大多數(shù)采用了比特幣支付方式，并且有些敲詐者病毒的支付頁面已經(jīng)無法打開或者需要采用非常方式打開，導(dǎo)致用戶即使想要支付贖金都無從支付。甚至有些敲詐者病毒在用戶支付贖金后依然無法進(jìn)行解密操作。

如何防范WannaCry病毒

那么，如何防范這種勒索病毒呢？咱一起來看看！

WannaCry所會加密的文件類型：.doc, .docx, .xls, .xlsx, .ppt, .pptx, .pst, .ost, .msg, .eml, .vsd, .vsdx, .txt, .csv, .rtf, .123, .wks, .wk1, .pdf, .dwg, .onetoc2, .snt, .jpeg, .jpg, .docb, .docm, .dot, .dotm, .dotx, .xlsm, .xlsb, .xlw, .xlt, .xlm, .xlc, .xltx, .xltm, .pptm, .pot, .pps, .ppsm, .ppsx, .ppam, .potx, .potm, .edb, .hwp, .602, .sxi, .sti, .sldx, .sldm, .sldm, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .bz2, .tbk, .bak, .tar, .tgz, .gz, .7z, .rar, .zip, .backup, .iso, .vcd, .bmp, .png, .gif, .raw, .cgm, .tif, .tiff, .nef, .psd, .ai, .svg, .djvu, .m4u, .m3u, .mid, .wma, .flv, .3g2, .mkv, .3gp, .mp4, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .mp3, .sh, .class, .jar, .java, .rb, .asp, .php, .jsp, .brd, .sch, .dch, .dip, .pl, .vb, .vbs, .ps1, .bat, .cmd, .js, .asm, .h, .pas, .cpp, .c, .cs, .suo, .sln, .ldf, .mdf, .ibd, .myi, .myd, .frm, .odb, .dbf, .db, .mdb, .accdb, .sql, .sqlitedb, .sqlite3, .asc, .lay6, .lay, .mml, .sxm, .otg, .odg, .uop, .std, .sxd, .otp, .odp, .wb2, .slk, .dif, .stc, .sxc, .ots, .ods, .3dm, .max, .3ds, .uot, .stw, .sxw, .ott, .odt, .pem, .p12, .csr, .crt, .key, .pfx, .der（資料來源微博）

防范救援措施一： 為Windows及時安裝安全補(bǔ)丁

及時的為Windows安裝上安全補(bǔ)丁，一直是小編強(qiáng)調(diào)的電腦安全措施之一。及時的安裝安全補(bǔ)丁，可以防范病毒木馬利用漏洞來入侵用戶電腦，你只需要做的是開啟Windows update自動安裝更新功能?？上У氖牵捎谀承┰?，國內(nèi)許多Windows都被人為的關(guān)閉了自動安裝補(bǔ)丁功能。微軟在3月份已經(jīng)針對NSA泄漏的漏洞發(fā)布了MS17-010升級補(bǔ)丁，包括本次被敲詐者蠕蟲病毒利用的“永恒之藍(lán)”漏洞。

圖5  開啟自動安裝更新功能

但是對已經(jīng)停止支持的舊版Windows系統(tǒng)卻不能自動獲取到最新的安全補(bǔ)丁，不過微軟這次也對停止支持的Windows發(fā)布了專門的修復(fù)補(bǔ)丁，用戶自行下載對應(yīng)的操作系統(tǒng)版本的補(bǔ)丁進(jìn)行安裝。點(diǎn)擊進(jìn)入  當(dāng)然最好的就是升級到Windows 10創(chuàng)意者更新版。記得把補(bǔ)丁下載回本地，重要資料所在電腦采用斷網(wǎng)打補(bǔ)丁形式。

防范救援措施二： 安裝一個靠譜的殺毒軟件

目前敲詐者病毒已經(jīng)被各個安全軟件公司所關(guān)注，當(dāng)然相應(yīng)的各個知名殺毒軟件也能夠查殺該病毒及其后續(xù)可能出現(xiàn)的一些變種，所以安裝一款靠譜的殺毒軟件還是非常有必要的，還有記得要升級所安裝的殺毒軟件病毒庫到最新版本。請不要相信啥殺毒軟件無用論，關(guān)鍵時刻靠譜的殺毒軟件可以幫上你大忙。謹(jǐn)慎打開不明來源的網(wǎng)址和電子郵件，特別是電子郵件附件，打開office文檔的時候禁用宏。

另外，一些安全公司已經(jīng)推出了防范方案，例如360的NSA武器防范補(bǔ)丁，大家可以下載安裝。

防范救援措施三： 關(guān)閉Windows 445端口

首先，你得查詢一下自己的Windows是否已開啟445端口。方法如下：以管理員身份運(yùn)行命令提示符，在窗口內(nèi)輸入 netstat -an，查看是否開放445端口。

圖6 查詢是否開放445端口

方法1：打開控制面板→網(wǎng)絡(luò)和共享中心→更改適配器設(shè)置→正在使用的網(wǎng)卡右鍵菜單→屬性→在列表中找到Microsoft網(wǎng)絡(luò)的文件和打印機(jī)共享→去掉前邊的勾→確定→重啟電腦。此方法將導(dǎo)致其他人無法訪本機(jī)共享的文件夾及打印機(jī)。

方法2：控制面板→Windows 防火墻→確認(rèn)防火墻為開啟狀態(tài)→高級設(shè)置→入站規(guī)則→新建規(guī)則→端口→特定本地端口→填入445→阻止連接→輸入名稱。

方法3：Windows XP用戶，運(yùn)行命令提示符“運(yùn)行→輸入cmd”，在彈出的命令行窗口中分別輸入下面三條命令以關(guān)閉SMB。

net stop rdr

net stop srv

net stop netbt

防范救援措施四：嘗試文件恢復(fù)

小編在測試病毒的時候發(fā)現(xiàn)該病毒采用的是先生成加密文件再刪除原文件的方式，所以用戶就可以使用數(shù)據(jù)恢復(fù)軟件對被刪除的原文件進(jìn)行恢復(fù)，存在成功恢復(fù)的可能，前提是用戶沒有再往該目標(biāo)分區(qū)寫入文件。此外有安全軟件發(fā)布了攔截補(bǔ)丁與文件嘗試恢復(fù)工具，中招者可以嘗試一下。

有研究人員指出，該病毒將文件內(nèi)容寫入到構(gòu)造好的文件頭后，保存成擴(kuò)展名為.WNCRY的文件，并用隨機(jī)數(shù)填充原始文件后再刪除，防止數(shù)據(jù)恢復(fù)，所以使用數(shù)據(jù)恢復(fù)途徑可能無效。

防范救援措施五：病毒作者設(shè)的開關(guān)得好好利用

WannaCry（另有稱WannaCry）病毒傳播不久，一位國外的安全研究人員在病毒樣本中發(fā)現(xiàn)了一串看上去很長，看上去隨意打出來的域名：

http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com。后經(jīng)研究發(fā)現(xiàn)，勒索樣本啟動后會首先請求該域名，在沒有得到回應(yīng)后，病毒才會執(zhí)行加密操作，相反的話則放棄加密操作并直接退出，也就是說， 感染的電腦如果能夠成功連通該域名，就不會被惡意加密。目前該域名已經(jīng)處于可訪問狀態(tài)，所以可以連接互聯(lián)網(wǎng)的電腦就暫時的安全了。至于內(nèi)網(wǎng)的用戶，管理員可以在內(nèi)網(wǎng)建一個該域名來暫時規(guī)避風(fēng)險。不過該方法靠不靠譜還很難說。據(jù)傳新變種已經(jīng)沒有此開關(guān)了。

據(jù)：國家網(wǎng)絡(luò)與信息安全信息通報中心緊急通報：監(jiān)測發(fā)現(xiàn)，在全球范圍內(nèi)爆發(fā)的WannaCry 勒索病毒出現(xiàn)了變種：WannaCry 2.0， 與之前版本的不同是，這個變種取消了Kill Switch，不能通過注冊某個域名來關(guān)閉變種勒索病毒的傳播，該變種傳播速度可能會更快。

防范救援措施六： 定期異地備份

硬盤有價，數(shù)據(jù)無價。和以前不同，現(xiàn)在有許多人都習(xí)慣了把重要資料保存在電腦中，方便查看與修改?？墒窃S多人卻忘記了硬盤會壞，電腦可能被盜，文檔可能被誤刪除，系統(tǒng)可能會被感染病毒，甚至到了目前的文檔可能會被敲詐類病毒加密的地步。因?yàn)檫@些原因而導(dǎo)致重要資料丟失的新聞并不鮮見，有個教授甚至因此而丟失了幾十年的科研記錄。

所以養(yǎng)成定期的文檔備份習(xí)慣是必須的事情?，F(xiàn)在有許多自動同步軟件，可以幫助你自動進(jìn)行文檔的本地及局域網(wǎng)、FTP備份。

而且還有許多的網(wǎng)盤軟件，也可以幫助你把指定的文檔定期的備份到網(wǎng)盤存儲空間去。部分網(wǎng)盤還支持多版本文件功能，更是可以幫你找回文件的舊版本。

而筆者建議的是，至少要用一個移動存儲器（如U盤、移動硬盤）來對重要資料進(jìn)行異地備份。也就是說，備份存儲器不要時刻與電腦進(jìn)行連接。只在需要備份時進(jìn)行連接。為的就是防范備份文件在系統(tǒng)中毒后也會遭到感染。

對于這個用戶備份的移動存儲器里邊的備份文件保密問題，你可以采用Windows BitLocker功能相對該移動存儲器進(jìn)行加密操作。

總結(jié)

WannaCry勒索病毒來勢洶洶，此病毒的特點(diǎn)是利用Windows漏洞與開放的端口進(jìn)行傳播，導(dǎo)致用戶的Windows無需任何操作也能感染上該病毒。小編的建議就是備份備份，異地定時備份！看多了因?yàn)橛脖P損壞、病毒感染而導(dǎo)致重要資料文件丟失的例子，重要資料記得備份！

比特幣勒索病毒怎么有效預(yù)防不清楚這個問題的用戶，參考上述的文章就明白了。還有其他的win7系統(tǒng)下載后安裝或者操作的疑問，都建議上win7之家官網(wǎng)查看。