转载请注明出处:www.leoyanblog.com
本文出自 LeoYan 的博客
本文同步发表于我的微信公众号,扫一扫文章底部的二维码或在微信搜索 LeoYan 即可关注。
背景
近期全球范围内爆发基于Windows网络共享协议进行攻击传播的蠕虫恶意代码,目前已有国内外多个高校校内网、大型企业内网和政府机构专网被感染,系统一旦被感染,Office、PDF等重要文件将被加密,需要向黑客支付高额赎金才能解密恢复文件,对重要数据造成严重损失。此次勒索病毒可远程攻击Windows的文件共享端口,如果系统未及时更新补丁或关闭端口,无需用户任何操作,只要开机联网,攻击者就能在电脑里执行任意代码,植入勒索病毒等恶意程序。
下午,国家网络与信息安全信息通报中心发出就勒索病毒发布紧急通报: 监测发现,在全球范围内爆发的WannaCry勒索病毒出现了变种:WannaCry2.0,与之前版本的不同是,这个变种取消了Kill Switch,不能通过注册某个域名来关闭变种勒索病毒的传播,该变种传播速度可能会更快。请广大网民尽快升级安装Windows操作系统相关补丁,已感染病毒机器请立即断网,避免进一步传播感染。
几乎与此同时,北京市委网信办、北京市公安局、北京市经信委联合发出《关于WannaCry勒索蠕虫出现变种及处置工作建议的通知》。《通知》同样指出,WannaCry 勒索蠕虫已经出现新变种,并给出了具体处理建议。
几个小时前,英国BBC发文称:安全专家警告,下一波网络攻击即将来临,很可能在星期一。
附:《通知》全文
什么是WannaCry?
就是一些混蛋编写的利用Windows中的SMB漏洞的病毒代码,也被称为Wana Decrypt0r,WannaCryptor或WCRY,和其它勒索病毒变体一样,阻止你访问计算机或文件,并要求支付赎金解锁文件。
如何防护?
第一步:
什么都不用说,先断网,再备份!
拔掉网线,关掉WiFi,然后开机备份文档。
注意注意!不要备份在本机和网络硬盘上。
第二步:
开机。
第三步:
紧急备份:您看到预警通知后,建议您即刻断开办公终端的网络连接,通过移动存储设备(U盘、移动硬盘等)对重要办公文件进行备份,这样即使计算机遭遇了勒索软件攻击,您也能够恢复所有文件。
第四步:
控制面板 –> 防火墙高级设置 –> 在入站规则(新建规则) –> 端口 –> TCP打勾 –> 特定输入(445) –> 阻止连接 –> 名字輸入(阻挡勒索病毒连接名)
具体如下:
打开控制面板-系统和安全-Windows 防火墙
点击高级设置(打开高级安全Windows防火墙)
在入站规则(也就是外网访问你的电脑的规则)图标上右键-新建规则
- 点击端口,然后点击下一步
- 点击TCP, 然后在“特定本地端口”里输入445
点击下一步
点击阻止连接
点击下一步
全选上,然后下一步。
随便起名字,然后完成。
到这里,你完成了阻止所有通过445端口连接你的电脑的连接。
不放心的可以再把UTP也阻止了(方法一样)。
445端口关闭后,本机cmd窗口执行命令netstat -ano | findstr :445,回车后无任何返回。
这样确保了你上网时不被病毒攻击
第五步:
连接网络,打补丁
补丁升级地址:
更新最新的5月份KB4012264补丁,如果你的更新记录如下,则表示已更新
Windows 7 : KB4012215 或 KB4015549 或 KB4019264
Windows 8.1:KB4012216 或 KB4015550 或 KB4019215
Windows 10
直接去Windows更新便可
Windows 8.1 64:
Windows 8.1 32:
Windows 7 64:
Windows 7 32:
针对老版本Windows,微软已推出KB4012598 :
Windows Vista 32/64
Windows Server 2008 32/64
Windows 8 32/64
Windows XP SP3
Windows Server 2003
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
结语
该病毒具有传染性,传播快,所以请大家务必对自己的电脑升级防护,避免二次传播。
最后,如果你被感染,千万不要支付赎金,这助长这些混蛋的嚣张气焰,没准还会要你支付更多的赎金。
如果发现被感染,赶快关机,交给专业人士处理。
千万不要打开可疑的电子邮件,永远不要打开可疑的附件!