比特幣勒索病毒怎么有效預(yù)防|怎么應(yīng)對(duì)比特幣勒索病毒

自5月12日起，出現(xiàn)了比特幣勒索病毒，這種病毒會(huì)自動(dòng)給電腦文件加密，并且是高強(qiáng)度加密方式，受害者必須為此交付贖金，才能獲取密碼，找回文件，有的甚至交付屬金后已經(jīng)無(wú)法解密文件。很多win7 32位系統(tǒng)用戶都遇到了這樣的問(wèn)題，那么比特幣勒索病毒怎么有效預(yù)防？且看以下教程。

能讓W(xué)indows躺著也能中槍的勒索病毒W(wǎng)annaCry

近日，一種危害更大，感染力更強(qiáng)的勒索病毒W(wǎng)annaCry現(xiàn)身網(wǎng)絡(luò)，使得國(guó)內(nèi)多處高校網(wǎng)絡(luò)和企業(yè)內(nèi)網(wǎng)出現(xiàn)WannaCry勒索軟件感染情況，與之前勒索病毒不同的是，WannaCry勒索病毒利用的是NSA黑客武器庫(kù)泄漏的“永恒之藍(lán)”發(fā)起的蠕蟲(chóng)病毒攻擊傳播功能，使得病毒會(huì)自動(dòng)掃描網(wǎng)絡(luò)中開(kāi)放445文件共享端口的Windows機(jī)器，掃描到開(kāi)放了445端口的電腦后，如果用戶Windows沒(méi)有安裝對(duì)應(yīng)的安全補(bǔ)丁，則無(wú)需用戶任何操作，病毒（蠕蟲(chóng)）就能入侵用戶電腦系統(tǒng)，進(jìn)而下載病毒感染W(wǎng)indows。

圖2 某高校機(jī)房慘遭WannaCry入侵（圖片來(lái)源微博）

也就是傳說(shuō)中的躺著也中槍！不用你做啥，之前的勒索病毒要不就是要你誤運(yùn)行病毒程序或者誤瀏覽掛馬網(wǎng)頁(yè)才能導(dǎo)致中毒，而WannaCry則會(huì)自動(dòng)找上門(mén)來(lái)。沒(méi)有安裝殺毒軟件，沒(méi)有及時(shí)安裝Windows安全補(bǔ)丁的開(kāi)放了該端口的Windows電腦就可能被感染。由于以前國(guó)內(nèi)多次爆發(fā)利用445端口傳播的蠕蟲(chóng)，部分運(yùn)營(yíng)商在主干網(wǎng)絡(luò)上封禁了445端口，所以對(duì)家庭用戶影響不大（但并不代表安全）。但是教育網(wǎng)及大量企業(yè)內(nèi)網(wǎng)并沒(méi)有對(duì)此端口進(jìn)行限制，局域網(wǎng)中又存在大量暴露445端口且存在漏洞的電腦，導(dǎo)致目前內(nèi)網(wǎng)環(huán)境下的蠕蟲(chóng)的泛濫。

圖3 慘遭病毒加密的文件

是不是有種似曾相識(shí)的感覺(jué)？這讓小編想起了多年前的沖擊波病毒，同樣無(wú)需用戶操作，同樣使用漏洞入侵用戶電腦，同樣局域網(wǎng)環(huán)境下電腦紛紛中招。看著一排電腦彈出重啟倒計(jì)時(shí)的情形，真壯觀！而現(xiàn)在的WannaCry還加上了危害用戶資料文件的功能。

圖4 你見(jiàn)過(guò)這個(gè)提示么

什么叫敲詐病毒（勒索軟件）：

敲詐者病毒是一種目前流行的病毒，通過(guò)網(wǎng)絡(luò)等多種途徑傳播，受害者電腦感染該病毒后后，病毒將自動(dòng)加密受害者電腦里的多種常見(jiàn)文件，使得受害者的重要資料文件無(wú)法正常使用，并以此為條件向用戶勒索錢(qián)財(cái)。被惡意加密的文件類型包括了文檔、郵件、數(shù)據(jù)庫(kù)、源代碼、圖片、視頻、key文件和壓縮文件等多種文件。黑客們勒索的贖金形式包括真實(shí)貨幣、比特幣或其它虛擬貨幣。一般來(lái)說(shuō)，勒索軟件作者還會(huì)設(shè)定一個(gè)支付時(shí)限，有時(shí)贖金數(shù)目也會(huì)隨著時(shí)間的推移而上漲。特殊情況下即使用戶支付了贖金，最終也還是無(wú)法還原被加密的文件。

敲詐病毒造成的危害：

由于敲詐者病毒大多都加密了常見(jiàn)格式文件，諸如用戶保存到電腦中的照片、視頻等具有紀(jì)念價(jià)值的文件被加密，工作事業(yè)文件被加密嚴(yán)重影響工作。于是便有了不少受害者上網(wǎng)求助。“十幾年的照片被惡意加密，跪求破解”?！岸嗄暄芯抠Y料被加密，研究成果毀于一旦”。由于敲詐者病毒大多數(shù)采用了比特幣支付方式，并且有些敲詐者病毒的支付頁(yè)面已經(jīng)無(wú)法打開(kāi)或者需要采用非常方式打開(kāi)，導(dǎo)致用戶即使想要支付贖金都無(wú)從支付。甚至有些敲詐者病毒在用戶支付贖金后依然無(wú)法進(jìn)行解密操作。

如何防范WannaCry病毒

那么，如何防范這種勒索病毒呢？咱一起來(lái)看看！

WannaCry所會(huì)加密的文件類型：.doc, .docx, .xls, .xlsx, .ppt, .pptx, .pst, .ost, .msg, .eml, .vsd, .vsdx, .txt, .csv, .rtf, .123, .wks, .wk1, .pdf, .dwg, .onetoc2, .snt, .jpeg, .jpg, .docb, .docm, .dot, .dotm, .dotx, .xlsm, .xlsb, .xlw, .xlt, .xlm, .xlc, .xltx, .xltm, .pptm, .pot, .pps, .ppsm, .ppsx, .ppam, .potx, .potm, .edb, .hwp, .602, .sxi, .sti, .sldx, .sldm, .sldm, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .bz2, .tbk, .bak, .tar, .tgz, .gz, .7z, .rar, .zip, .backup, .iso, .vcd, .bmp, .png, .gif, .raw, .cgm, .tif, .tiff, .nef, .psd, .ai, .svg, .djvu, .m4u, .m3u, .mid, .wma, .flv, .3g2, .mkv, .3gp, .mp4, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .mp3, .sh, .class, .jar, .java, .rb, .asp, .php, .jsp, .brd, .sch, .dch, .dip, .pl, .vb, .vbs, .ps1, .bat, .cmd, .js, .asm, .h, .pas, .cpp, .c, .cs, .suo, .sln, .ldf, .mdf, .ibd, .myi, .myd, .frm, .odb, .dbf, .db, .mdb, .accdb, .sql, .sqlitedb, .sqlite3, .asc, .lay6, .lay, .mml, .sxm, .otg, .odg, .uop, .std, .sxd, .otp, .odp, .wb2, .slk, .dif, .stc, .sxc, .ots, .ods, .3dm, .max, .3ds, .uot, .stw, .sxw, .ott, .odt, .pem, .p12, .csr, .crt, .key, .pfx, .der（資料來(lái)源微博）

防范救援措施一： 為Windows及時(shí)安裝安全補(bǔ)丁

及時(shí)的為Windows安裝上安全補(bǔ)丁，一直是小編強(qiáng)調(diào)的電腦安全措施之一。及時(shí)的安裝安全補(bǔ)丁，可以防范病毒木馬利用漏洞來(lái)入侵用戶電腦，你只需要做的是開(kāi)啟Windows update自動(dòng)安裝更新功能?？上У氖牵捎谀承┰?，國(guó)內(nèi)許多Windows都被人為的關(guān)閉了自動(dòng)安裝補(bǔ)丁功能。微軟在3月份已經(jīng)針對(duì)NSA泄漏的漏洞發(fā)布了MS17-010升級(jí)補(bǔ)丁，包括本次被敲詐者蠕蟲(chóng)病毒利用的“永恒之藍(lán)”漏洞。

圖5  開(kāi)啟自動(dòng)安裝更新功能

但是對(duì)已經(jīng)停止支持的舊版Windows系統(tǒng)卻不能自動(dòng)獲取到最新的安全補(bǔ)丁，不過(guò)微軟這次也對(duì)停止支持的Windows發(fā)布了專門(mén)的修復(fù)補(bǔ)丁，用戶自行下載對(duì)應(yīng)的操作系統(tǒng)版本的補(bǔ)丁進(jìn)行安裝。點(diǎn)擊進(jìn)入  當(dāng)然最好的就是升級(jí)到Windows 10創(chuàng)意者更新版。記得把補(bǔ)丁下載回本地，重要資料所在電腦采用斷網(wǎng)打補(bǔ)丁形式。

防范救援措施二： 安裝一個(gè)靠譜的殺毒軟件

目前敲詐者病毒已經(jīng)被各個(gè)安全軟件公司所關(guān)注，當(dāng)然相應(yīng)的各個(gè)知名殺毒軟件也能夠查殺該病毒及其后續(xù)可能出現(xiàn)的一些變種，所以安裝一款靠譜的殺毒軟件還是非常有必要的，還有記得要升級(jí)所安裝的殺毒軟件病毒庫(kù)到最新版本。請(qǐng)不要相信啥殺毒軟件無(wú)用論，關(guān)鍵時(shí)刻靠譜的殺毒軟件可以幫上你大忙。謹(jǐn)慎打開(kāi)不明來(lái)源的網(wǎng)址和電子郵件，特別是電子郵件附件，打開(kāi)office文檔的時(shí)候禁用宏。

另外，一些安全公司已經(jīng)推出了防范方案，例如360的NSA武器防范補(bǔ)丁，大家可以下載安裝。

防范救援措施三： 關(guān)閉Windows 445端口

首先，你得查詢一下自己的Windows是否已開(kāi)啟445端口。方法如下：以管理員身份運(yùn)行命令提示符，在窗口內(nèi)輸入 netstat -an，查看是否開(kāi)放445端口。

圖6 查詢是否開(kāi)放445端口

方法1：打開(kāi)控制面板→網(wǎng)絡(luò)和共享中心→更改適配器設(shè)置→正在使用的網(wǎng)卡右鍵菜單→屬性→在列表中找到Microsoft網(wǎng)絡(luò)的文件和打印機(jī)共享→去掉前邊的勾→確定→重啟電腦。此方法將導(dǎo)致其他人無(wú)法訪本機(jī)共享的文件夾及打印機(jī)。

方法2：控制面板→Windows 防火墻→確認(rèn)防火墻為開(kāi)啟狀態(tài)→高級(jí)設(shè)置→入站規(guī)則→新建規(guī)則→端口→特定本地端口→填入445→阻止連接→輸入名稱。

方法3：Windows XP用戶，運(yùn)行命令提示符“運(yùn)行→輸入cmd”，在彈出的命令行窗口中分別輸入下面三條命令以關(guān)閉SMB。

net stop rdr

net stop srv

net stop netbt

防范救援措施四：嘗試文件恢復(fù)

小編在測(cè)試病毒的時(shí)候發(fā)現(xiàn)該病毒采用的是先生成加密文件再刪除原文件的方式，所以用戶就可以使用數(shù)據(jù)恢復(fù)軟件對(duì)被刪除的原文件進(jìn)行恢復(fù)，存在成功恢復(fù)的可能，前提是用戶沒(méi)有再往該目標(biāo)分區(qū)寫(xiě)入文件。此外有安全軟件發(fā)布了攔截補(bǔ)丁與文件嘗試恢復(fù)工具，中招者可以嘗試一下。

有研究人員指出，該病毒將文件內(nèi)容寫(xiě)入到構(gòu)造好的文件頭后，保存成擴(kuò)展名為.WNCRY的文件，并用隨機(jī)數(shù)填充原始文件后再刪除，防止數(shù)據(jù)恢復(fù)，所以使用數(shù)據(jù)恢復(fù)途徑可能無(wú)效。

防范救援措施五：病毒作者設(shè)的開(kāi)關(guān)得好好利用

WannaCry（另有稱WannaCry）病毒傳播不久，一位國(guó)外的安全研究人員在病毒樣本中發(fā)現(xiàn)了一串看上去很長(zhǎng)，看上去隨意打出來(lái)的域名：

http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com。后經(jīng)研究發(fā)現(xiàn)，勒索樣本啟動(dòng)后會(huì)首先請(qǐng)求該域名，在沒(méi)有得到回應(yīng)后，病毒才會(huì)執(zhí)行加密操作，相反的話則放棄加密操作并直接退出，也就是說(shuō)， 感染的電腦如果能夠成功連通該域名，就不會(huì)被惡意加密。目前該域名已經(jīng)處于可訪問(wèn)狀態(tài)，所以可以連接互聯(lián)網(wǎng)的電腦就暫時(shí)的安全了。至于內(nèi)網(wǎng)的用戶，管理員可以在內(nèi)網(wǎng)建一個(gè)該域名來(lái)暫時(shí)規(guī)避風(fēng)險(xiǎn)。不過(guò)該方法靠不靠譜還很難說(shuō)。據(jù)傳新變種已經(jīng)沒(méi)有此開(kāi)關(guān)了。

據(jù)：國(guó)家網(wǎng)絡(luò)與信息安全信息通報(bào)中心緊急通報(bào)：監(jiān)測(cè)發(fā)現(xiàn)，在全球范圍內(nèi)爆發(fā)的WannaCry 勒索病毒出現(xiàn)了變種：WannaCry 2.0， 與之前版本的不同是，這個(gè)變種取消了Kill Switch，不能通過(guò)注冊(cè)某個(gè)域名來(lái)關(guān)閉變種勒索病毒的傳播，該變種傳播速度可能會(huì)更快。

防范救援措施六： 定期異地備份

硬盤(pán)有價(jià)，數(shù)據(jù)無(wú)價(jià)。和以前不同，現(xiàn)在有許多人都習(xí)慣了把重要資料保存在電腦中，方便查看與修改?？墒窃S多人卻忘記了硬盤(pán)會(huì)壞，電腦可能被盜，文檔可能被誤刪除，系統(tǒng)可能會(huì)被感染病毒，甚至到了目前的文檔可能會(huì)被敲詐類病毒加密的地步。因?yàn)檫@些原因而導(dǎo)致重要資料丟失的新聞并不鮮見(jiàn)，有個(gè)教授甚至因此而丟失了幾十年的科研記錄。

所以養(yǎng)成定期的文檔備份習(xí)慣是必須的事情?，F(xiàn)在有許多自動(dòng)同步軟件，可以幫助你自動(dòng)進(jìn)行文檔的本地及局域網(wǎng)、FTP備份。

而且還有許多的網(wǎng)盤(pán)軟件，也可以幫助你把指定的文檔定期的備份到網(wǎng)盤(pán)存儲(chǔ)空間去。部分網(wǎng)盤(pán)還支持多版本文件功能，更是可以幫你找回文件的舊版本。

而筆者建議的是，至少要用一個(gè)移動(dòng)存儲(chǔ)器（如U盤(pán)、移動(dòng)硬盤(pán)）來(lái)對(duì)重要資料進(jìn)行異地備份。也就是說(shuō)，備份存儲(chǔ)器不要時(shí)刻與電腦進(jìn)行連接。只在需要備份時(shí)進(jìn)行連接。為的就是防范備份文件在系統(tǒng)中毒后也會(huì)遭到感染。

對(duì)于這個(gè)用戶備份的移動(dòng)存儲(chǔ)器里邊的備份文件保密問(wèn)題，你可以采用Windows BitLocker功能相對(duì)該移動(dòng)存儲(chǔ)器進(jìn)行加密操作。

總結(jié)

WannaCry勒索病毒來(lái)勢(shì)洶洶，此病毒的特點(diǎn)是利用Windows漏洞與開(kāi)放的端口進(jìn)行傳播，導(dǎo)致用戶的Windows無(wú)需任何操作也能感染上該病毒。小編的建議就是備份備份，異地定時(shí)備份！看多了因?yàn)橛脖P(pán)損壞、病毒感染而導(dǎo)致重要資料文件丟失的例子，重要資料記得備份！

比特幣勒索病毒怎么有效預(yù)防不清楚這個(gè)問(wèn)題的用戶，參考上述的文章就明白了。還有其他的win7系統(tǒng)下載后安裝或者操作的疑問(wèn)，都建議上win7之家官網(wǎng)查看。