如何防範感染勒索蠕蟲病毒

　　5月12日開始散播的勒索蠕蟲病毒，從發現到大面積傳播，僅僅用了幾個小時，其中高校成為了重災區。那麼，這款病毒究竟要如何防範呢下面小編就帶大家一起來詳細瞭解下吧。

　　勒索蠕蟲病毒預防處理方法

　　1、關閉危險埠已製作一鍵關閉批處理

　　2、更新安全補丁已提供各版本作業系統補丁下載

　　3、安裝防毒軟體推薦：微軟防毒軟體已提供軟體包及病毒庫升級包

　　2017年5月12日起，全球範圍內爆發基於Windows網路共享協議進行攻擊傳播的蠕蟲惡意程式碼，這是不法分子通過改造之前洩露的NSA黑客武器庫中“永恆之藍”攻擊程式發起的網路攻擊事件，使用者只要開機上網就可被攻擊。五個小時內，影響覆蓋美國、俄羅斯、整個歐洲等100多個國家，國內多個高校校內網、大型企業內網和政府機構專網中招，被勒索支付高額贖金才能解密恢復檔案，對重要資料造成嚴重損失。這次的“永恆之藍”勒索蠕蟲，是NSA網路軍火民用化的全球第一例。一個月前，第四批NSA相關網路攻擊工具及文件被ShadowBrokers組織公佈，包含了涉及多個Windows系統服務SMB、RDP、IIS的遠端命令執行工具，其中就包括“永恆之藍”攻擊程式。

　　漏洞描述

　　近期國內多處高校網路和企業內網出現WannaCry勒索軟體感染情況，磁碟檔案會被病毒加密，只有支付高額贖金才能解密恢復檔案，對重要資料造成嚴重損失。

　　根據網路安全機構通報，這是不法分子利用NSA黑客武器庫洩漏的“永恆之藍”發起的蠕蟲病毒攻擊傳播勒索惡意事件。惡意程式碼會掃描開放445檔案共享埠的Windows機器，無需使用者任何操作，只要開機上網，不法分子就能在電腦和伺服器中植入勒索軟體、遠端控制木馬、虛擬貨幣挖礦機等惡意程式。

　　由於以前國內多次爆發利用445埠傳播的蠕蟲，部分運營商在主幹網路上封禁了445埠，但是教育網及大量企業內網並沒有此限制而且並未及時安裝補丁，仍然存在大量暴露445埠且存在漏洞的電腦，導致目前蠕蟲的泛濫。

　　風險等級

　　360安全監測與響應中心對此事件的風險評級為：危急

　　影響範圍

　　掃描內網，發現所有開放445SMB服務埠的終端和伺服器，對於Win7及以上版本的系統確認是否安裝了MS17-010補丁，如沒有安裝則受威脅影響。Win7以下的WindowsXP/2003目前沒有補丁，只要開啟SMB服務就受影響。

　　應急處置方法

　　目前利用漏洞進行攻擊傳播的蠕蟲開始氾濫，360企業安全強烈建議網路管理員在網路邊界的防火牆上阻斷445埠的訪問，如果邊界上有IPS和360新一代智慧防火牆之類的裝置，請升級裝置的檢測規則到最新版本並設定相應漏洞攻擊的阻斷，直到確認網內的電腦已經安裝了MS17-010補丁或關閉了Server服務。

　　終端層面

　　暫時關閉Server服務。

　　檢查系統是否開啟Server服務：

　　1、開啟開始按鈕，點選執行，輸入cmd，點選確定

　　2、輸入命令：netstat-an回車

　　3、檢視結果中是否還有445埠

　　感染處理

　　對於已經感染勒索蠕蟲的機器建議隔離處置。

　　根治方法

　　對於Win7及以上版本的作業系統，目前微軟已釋出補丁MS17-010修復了“永恆之藍”攻擊的系統漏洞，請立即電腦安裝此補丁。出於基於許可權最小化的安全實踐，建議使用者關閉並非必需使用的Server服務，操作方法見“應急處置方法”部分。

　　對於WindowsXP、2003等微軟已不再提供安全更新的機器，推薦使用360“NSA武器庫免疫工具”檢測系統是否存在漏洞，並關閉受到漏洞影響的埠，以避免遭到勒索蠕蟲病毒的侵害。免疫工具下載地址：

　　恢復階段

　　建議針對重要業務系統立即進行資料備份，針對重要業務終端進行系統映象，製作足夠的系統恢復盤或者裝置進行替換。

　　關於 WannaCry/Wcry 勒索蠕蟲病毒的具體防範措施建議

　　一、個人計算機使用者的預防措施

　　1、使用Widnows Vista、Windows 7、Windows 8.1、Windows 10、Windows Server 2008、Windows Server 2012、Windows Server 2016 系統的使用者，請啟用系統自帶的更新功能將補丁版本升級到最新版本;

　　2、仍然使用Windows XP、Windows 8 及 Windows Server 2003 系統使用者，建議升級作業系統到 Windows 7 及以上，如果因為特殊原因無法升級作業系統版本的，請手動下載補丁程式進行安裝，補丁下載地址：

　　3、升級電腦上的防毒軟體病毒庫到最新版本。

　　二、校園網預防措施

　　在校園網裝置上阻斷TCP 135、137、139、445 埠的連線請求，將會有效防止該病毒的傳播，但是同時也阻斷了校內外使用者正常訪問使用Windows系統相應檔案共享機制的資訊系統和網路服務。因此，必須謹慎使用下列預付措施：

　　1、在網路邊界如校園網出口上阻斷 TCP 135、137、139、445 埠的連線請求。這個操作可有效阻斷病毒從外部傳入內部網路，但無法阻止病毒在內部網路傳播。

　　2、在校園網的核心交換裝置處阻斷 TCP 135、137、139、445 埠的連線請求，該操作可阻斷病毒在校內的區域網間進行傳播，但無法阻止病毒在區域網內傳播。

　　3、在區域網子網邊界處阻斷 TCP 135、137、139、445 埠的連線請求，該操作可最大限度保護子網的安全，但是無法阻擋該病毒在同臺交換機下傳播。

　　綜上所述，阻斷網路的TCP 135、137、139、445 埠連線請求只是臨時措施，儘快完成各類使用者Windows系統軟體的升級或修復漏洞才是防範該病毒的根本措施。

　　看過的人還：