如何防范感染勒索蠕蟲病毒

　　5月12日開始散播的勒索蠕蟲病毒，從發(fā)現(xiàn)到大面積傳播，僅僅用了幾個小時，其中高校成為了重災(zāi)區(qū)。那么，這款病毒究竟要如何防范呢下面學(xué)習(xí)啦小編就帶大家一起來詳細(xì)了解下吧。

　　勒索蠕蟲病毒預(yù)防處理方法

　　1、關(guān)閉危險(xiǎn)端口(已制作一鍵關(guān)閉批處理)

　　2、更新安全補(bǔ)丁(已提供各版本操作系統(tǒng)補(bǔ)丁下載)

　　3、安裝殺毒軟件推薦：微軟殺毒軟件(已提供軟件包及病毒庫升級包)

　　2017年5月12日起，全球范圍內(nèi)爆發(fā)基于Windows網(wǎng)絡(luò)共享協(xié)議進(jìn)行攻擊傳播的蠕蟲惡意代碼，這是不法分子通過改造之前泄露的NSA黑客武器庫中“永恒之藍(lán)”攻擊程序發(fā)起的網(wǎng)絡(luò)攻擊事件，用戶只要開機(jī)上網(wǎng)就可被攻擊。五個小時內(nèi)，影響覆蓋美國、俄羅斯、整個歐洲等100多個國家，國內(nèi)多個高校校內(nèi)網(wǎng)、大型企業(yè)內(nèi)網(wǎng)和政府機(jī)構(gòu)專網(wǎng)中招，被勒索支付高額贖金才能解密恢復(fù)文件，對重要數(shù)據(jù)造成嚴(yán)重?fù)p失。這次的“永恒之藍(lán)”勒索蠕蟲，是NSA網(wǎng)絡(luò)軍火民用化的全球第一例。一個月前，第四批NSA相關(guān)網(wǎng)絡(luò)攻擊工具及文檔被ShadowBrokers組織公布，包含了涉及多個Windows系統(tǒng)服務(wù)(SMB、RDP、IIS)的遠(yuǎn)程命令執(zhí)行工具，其中就包括“永恒之藍(lán)”攻擊程序。

　　漏洞描述

　　近期國內(nèi)多處高校網(wǎng)絡(luò)和企業(yè)內(nèi)網(wǎng)出現(xiàn)WannaCry勒索軟件感染情況，磁盤文件會被病毒加密，只有支付高額贖金才能解密恢復(fù)文件，對重要數(shù)據(jù)造成嚴(yán)重?fù)p失。

　　根據(jù)網(wǎng)絡(luò)安全機(jī)構(gòu)通報(bào)，這是不法分子利用NSA黑客武器庫泄漏的“永恒之藍(lán)”發(fā)起的蠕蟲病毒攻擊傳播勒索惡意事件。惡意代碼會掃描開放445文件共享端口的Windows機(jī)器，無需用戶任何操作，只要開機(jī)上網(wǎng)，不法分子就能在電腦和服務(wù)器中植入勒索軟件、遠(yuǎn)程控制木馬、虛擬貨幣挖礦機(jī)等惡意程序。

　　由于以前國內(nèi)多次爆發(fā)利用445端口傳播的蠕蟲，部分運(yùn)營商在主干網(wǎng)絡(luò)上封禁了445端口，但是教育網(wǎng)及大量企業(yè)內(nèi)網(wǎng)并沒有此限制而且并未及時安裝補(bǔ)丁，仍然存在大量暴露445端口且存在漏洞的電腦，導(dǎo)致目前蠕蟲的泛濫。

　　風(fēng)險(xiǎn)等級

　　360安全監(jiān)測與響應(yīng)中心對此事件的風(fēng)險(xiǎn)評級為：危急

　　影響范圍

　　掃描內(nèi)網(wǎng)，發(fā)現(xiàn)所有開放445SMB服務(wù)端口的終端和服務(wù)器，對于Win7及以上版本的系統(tǒng)確認(rèn)是否安裝了MS17-010補(bǔ)丁，如沒有安裝則受威脅影響。Win7以下的WindowsXP/2003目前沒有補(bǔ)丁，只要開啟SMB服務(wù)就受影響。

　　應(yīng)急處置方法

　　目前利用漏洞進(jìn)行攻擊傳播的蠕蟲開始泛濫，360企業(yè)安全強(qiáng)烈建議網(wǎng)絡(luò)管理員在網(wǎng)絡(luò)邊界的防火墻上阻斷445端口的訪問，如果邊界上有IPS和360新一代智慧防火墻之類的設(shè)備，請升級設(shè)備的檢測規(guī)則到最新版本并設(shè)置相應(yīng)漏洞攻擊的阻斷，直到確認(rèn)網(wǎng)內(nèi)的電腦已經(jīng)安裝了MS17-010補(bǔ)丁或關(guān)閉了Server服務(wù)。

　　終端層面

　　暫時關(guān)閉Server服務(wù)。

　　檢查系統(tǒng)是否開啟Server服務(wù)：

　　1、打開開始按鈕，點(diǎn)擊運(yùn)行，輸入cmd，點(diǎn)擊確定

　　2、輸入命令：netstat-an回車

　　3、查看結(jié)果中是否還有445端口

　　感染處理

　　對于已經(jīng)感染勒索蠕蟲的機(jī)器建議隔離處置。

　　根治方法

　　對于Win7及以上版本的操作系統(tǒng)，目前微軟已發(fā)布補(bǔ)丁MS17-010修復(fù)了“永恒之藍(lán)”攻擊的系統(tǒng)漏洞，請立即電腦安裝此補(bǔ)丁。出于基于權(quán)限最小化的安全實(shí)踐，建議用戶關(guān)閉并非必需使用的Server服務(wù)，操作方法見“應(yīng)急處置方法”部分。

　　對于WindowsXP、2003等微軟已不再提供安全更新的機(jī)器，推薦使用360“NSA武器庫免疫工具”檢測系統(tǒng)是否存在漏洞，并關(guān)閉受到漏洞影響的端口，以避免遭到勒索蠕蟲病毒的侵害。免疫工具下載地址：http://dl.360safe.com/nsa/nsatool.exe。這些老操作系統(tǒng)的機(jī)器建議加入淘汰替換隊(duì)列，盡快進(jìn)行升級。

　　恢復(fù)階段

　　建議針對重要業(yè)務(wù)系統(tǒng)立即進(jìn)行數(shù)據(jù)備份，針對重要業(yè)務(wù)終端進(jìn)行系統(tǒng)鏡像，制作足夠的系統(tǒng)恢復(fù)盤或者設(shè)備進(jìn)行替換。

　　關(guān)于 WannaCry/Wcry 勒索蠕蟲病毒的具體防范措施建議

　　一、個人計(jì)算機(jī)用戶的預(yù)防措施

　　1、使用Widnows Vista、Windows 7、Windows 8.1、Windows 10、Windows Server 2008、Windows Server 2012、Windows Server 2016 系統(tǒng)的用戶，請啟用系統(tǒng)自帶的更新功能將補(bǔ)丁版本升級到最新版本;

　　2、仍然使用Windows XP、Windows 8 及 Windows Server 2003 系統(tǒng)用戶，建議升級操作系統(tǒng)到 Windows 7 及以上，如果因?yàn)樘厥庠驘o法升級操作系統(tǒng)版本的，請手動下載補(bǔ)丁程序進(jìn)行安裝，補(bǔ)丁下載地址：

　　http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

　　3、升級電腦上的殺毒軟件病毒庫到最新版本。

　　二、校園網(wǎng)預(yù)防措施

　　在校園網(wǎng)設(shè)備上阻斷TCP 135、137、139、445 端口的連接請求，將會有效防止該病毒的傳播，但是同時也阻斷了校內(nèi)外用戶正常訪問使用Windows系統(tǒng)相應(yīng)文件共享機(jī)制的信息系統(tǒng)和網(wǎng)絡(luò)服務(wù)。因此，必須謹(jǐn)慎使用下列預(yù)付措施：

　　1、在網(wǎng)絡(luò)邊界(如校園網(wǎng)出口)上阻斷 TCP 135、137、139、445 端口的連接請求。這個操作可有效阻斷病毒從外部傳入內(nèi)部網(wǎng)絡(luò)，但無法阻止病毒在內(nèi)部網(wǎng)絡(luò)傳播。

　　2、在校園網(wǎng)的核心交換設(shè)備處阻斷 TCP 135、137、139、445 端口的連接請求，該操作可阻斷病毒在校內(nèi)的局域網(wǎng)間進(jìn)行傳播，但無法阻止病毒在局域網(wǎng)內(nèi)傳播。

　　3、在局域網(wǎng)子網(wǎng)邊界處阻斷 TCP 135、137、139、445 端口的連接請求，該操作可最大限度保護(hù)子網(wǎng)的安全，但是無法阻擋該病毒在同臺交換機(jī)下傳播。

　　綜上所述，阻斷網(wǎng)絡(luò)的TCP 135、137、139、445 端口連接請求只是臨時措施，盡快完成各類用戶Windows系統(tǒng)軟件的升級或修復(fù)漏洞才是防范該病毒的根本措施。

　　看過如何防范感染勒索蠕蟲病毒的人還看了：

1.如何防范勒索蠕蟲病毒

2.蠕蟲病毒屬于什么病毒

3.勒索蠕蟲病毒是什么

4.勒索病毒變種怎么預(yù)防

5.勒索病毒補(bǔ)丁下載地址

6.勒索蠕蟲病毒是什么