關(guān)于勒索病毒W(wǎng)annaCry，你現(xiàn)在需要知道的8個(gè)問題

　　比特幣勒索病毒W(wǎng)annaCry近期在世界各地瘋狂肆虐，至少有150多個(gè)國家中的30多萬名用戶慘遭殃及，分析人士預(yù)計(jì)其造成的直接經(jīng)濟(jì)損失將達(dá)到80億美元。盡管WannaCry的擴(kuò)散趨勢(shì)已有所減緩，但還有多名網(wǎng)絡(luò)安全專家指出，許多網(wǎng)絡(luò)用戶特別是中國用戶仍將面對(duì)WannaCry的威脅！

　　那么面對(duì)這突如其來的病毒攻擊，作為普遍網(wǎng)民的我們又該如何保護(hù)個(gè)人財(cái)產(chǎn)安全？日前有媒體針對(duì)這個(gè)問題整理了八大問題，并提出了多項(xiàng)有效的防護(hù)措施，感興趣的朋友不妨一起去看看吧。

　　問題一：已經(jīng)感染病毒的如何降低影響？

　　如果你的電腦被勒索病毒感染，或者你的朋友中招，向你求助，那我們?cè)撛趺刺幚韺⒂绊懡档阶畹湍兀?/p>

　　首先，這是一款勒索蠕蟲，蠕蟲病毒的特點(diǎn)是會(huì)通過網(wǎng)絡(luò)進(jìn)行自動(dòng)復(fù)制和傳播，就像電影《釜山行》中，被僵尸噬咬過的人也會(huì)變成僵尸去傳染給更多的人。

　　所以第一步需要做的就是斷開網(wǎng)絡(luò)，防止自己的電腦去感染更多的電腦。

　　其次，建議中招用戶將硬盤進(jìn)行格式化處理，徹底消除硬盤上蠕蟲病毒，就像一次徹底的細(xì)胞切除手術(shù)。

　　然后，再重新安裝系統(tǒng)，并安裝相應(yīng)的系統(tǒng)補(bǔ)丁。

　　最后，還需要安裝殺毒軟件，并把殺毒軟件的病毒庫更新到最新版本。

　　目前，許多人最常犯的錯(cuò)誤就是心存僥幸，將受到感染的電腦繼續(xù)連接到網(wǎng)絡(luò)里，做各種嘗試操作，亦或是認(rèn)為支付贖金可以解密。其實(shí)該勒索蠕蟲會(huì)對(duì)電腦中的文檔進(jìn)行RSA加密。這種加密方式的特點(diǎn)是，只要加密密鑰足夠長(zhǎng)，普通電腦需要數(shù)十萬年才能夠破解，等于說個(gè)人幾乎是不可能破解的。所以一旦電腦中毒，基本沒有挽回余地。

　　問題二：未中毒者如何排除風(fēng)險(xiǎn)？

　　如果你是幸運(yùn)兒，并未在此次攻擊中受影響，那么也請(qǐng)別做一個(gè)普通的吃瓜群眾，只要你使用的是Windows系統(tǒng)，很久不曾更新補(bǔ)丁，就仍有很大的中毒風(fēng)險(xiǎn)。建議通過“三步法”提前排除這個(gè)風(fēng)險(xiǎn)：

　　第一步：關(guān)網(wǎng)絡(luò)。該勒索蠕蟲需要通過網(wǎng)絡(luò)傳播，關(guān)閉網(wǎng)絡(luò)也就切斷了病毒的傳播途徑。針對(duì)普通的臺(tái)式機(jī)，最直接的方式就是拔掉網(wǎng)線;如果家里使用的是筆記本電腦，可以關(guān)閉本機(jī)的無線網(wǎng)卡;家中如果使用了無線路由器的，也可以關(guān)閉無線路由器;最后，還可以通過在已開機(jī)的PC中禁用網(wǎng)絡(luò)的方法進(jìn)行關(guān)閉。個(gè)人可以根據(jù)自己的實(shí)際情況，選擇對(duì)應(yīng)的方式來進(jìn)行斷網(wǎng)操作。

　　第二步：關(guān)端口。該勒索蠕蟲是通過掃描電腦上的TCP 445端口（Server MessageBlock/SMB）進(jìn)行攻擊的，所以關(guān)閉445端口也就關(guān)閉了勒索蠕蟲的攻擊大門。該動(dòng)作分為以下幾步：

　　a. 打開控制面板-系統(tǒng)與安全-Windows防火墻，點(diǎn)擊左側(cè)啟動(dòng)或關(guān)閉Windows防火墻

　　b. 選擇啟動(dòng)防火墻，并點(diǎn)擊確定

　　c. 點(diǎn)擊高級(jí)設(shè)置

　　d. 點(diǎn)擊入站規(guī)則，新建規(guī)則，以445端口為例

　　e. 選擇端口、下一步

　　f. 選擇特定本地端口，輸入445，下一步

　　g. 選擇阻止連接，下一步

　　h. 配置文件，全選，下一步

　　i. 名稱，可以任意輸入，完成即可

　　第三步：打補(bǔ)丁。前兩步屬于指標(biāo)不治本的方式，只是臨時(shí)阻止了勒索蠕蟲的攻擊，如果要治本還需要及時(shí)利用官方的系統(tǒng)補(bǔ)丁堵上系統(tǒng)漏洞。早在今年3月份，微軟就提供了該漏洞的補(bǔ)丁，建議用戶開啟系統(tǒng)自動(dòng)更新，并檢測(cè)更新進(jìn)行安裝。如果自動(dòng)更新失敗，也可以手動(dòng)從微軟的官方網(wǎng)站下載補(bǔ)丁進(jìn)行安裝。

　　問題三：手機(jī)會(huì)不會(huì)中毒？

　　保證了電腦萬無一失，那么我們使用頻率更高的手機(jī)會(huì)不會(huì)面臨風(fēng)險(xiǎn)呢？

　　手機(jī)不會(huì)受該勒索蠕蟲影響。該勒索蠕蟲利用的是Windows系統(tǒng)漏洞，受影響的系統(tǒng)是從Windows 2000到Windows10，以及Windows Server 2000到Windows Server 2016的各個(gè)版本。而目前手機(jī)的操作系統(tǒng)則是iOS、Android、Winphone等，并不屬于Windows，所以不受該勒索蠕蟲的影響。

　　問題四：為什么此次勒索病毒傳播如此迅速？

　　要了解這個(gè)原因，我們還得從勒索蠕蟲的原理說起。

　　首先，WannaCry蠕蟲利用的漏洞非常普遍，絕大部分的個(gè)人PC機(jī)仍然使用微軟的Windows操作系統(tǒng)，而Windows系統(tǒng)默認(rèn)打開了445端口，并且大量的Windows用戶沒有定期更新補(bǔ)丁的習(xí)慣，這給蠕蟲的傳播提供了大量宿主。其次，傳統(tǒng)的勒索軟件需要靠“騙”，也就是說需要哄騙受害者主動(dòng)點(diǎn)擊某個(gè)附件、某個(gè)網(wǎng)址等等。而此次蠕蟲病毒可以進(jìn)行自我傳播和自動(dòng)復(fù)制，也就是可以進(jìn)行主動(dòng)的探測(cè)和傳播。這個(gè)從“被動(dòng)”到“主動(dòng)”的轉(zhuǎn)化，造成了傳播速度上質(zhì)的差異。

　　其次，WannaCry勒索病毒傳播利用了一個(gè)特殊的漏洞工具，叫“永恒之藍(lán)”，聽起來像是某顆名貴鉆石的名字。這個(gè)漏洞工具來源于美國國家安全局（NSA）的網(wǎng)絡(luò)武器庫。今年4月14日，一個(gè)名為“影子中間人”的黑客組織曾經(jīng)進(jìn)入美國國家安全局網(wǎng)絡(luò)，曝光了該局一批檔案文件，同時(shí)公開了該局旗下的“方程式黑客組織”使用的部分網(wǎng)絡(luò)武器。據(jù)報(bào)道，這批網(wǎng)絡(luò)武器中就包括可以遠(yuǎn)程攻破全球約70% 視窗系統(tǒng)（Windows）機(jī)器的漏洞利用工具（即“永恒之藍(lán)”）。經(jīng)緊急驗(yàn)證這些工具真實(shí)有效。當(dāng)時(shí)，該事件引起了安全圈子的轟動(dòng)。盡管微軟早就對(duì)該漏洞發(fā)布了補(bǔ)丁，但是并未給企業(yè)和機(jī)構(gòu)敲響警鐘，大量的企業(yè)和組織并沒有安裝補(bǔ)丁。

　　“永恒之藍(lán)”工具被公布后，立刻受到追捧，因?yàn)樗�能夠搭載任意病毒進(jìn)行全網(wǎng)蠕蟲化自動(dòng)傳播，其中最厲害的就是這次的WannaCry病毒。

　　問題五：WannaCry病毒勒索為何只要比特幣？

　　事實(shí)上，勒索病毒本身與比特幣并無直接關(guān)系，而黑客之所以要求以比特幣進(jìn)行贖金支付，恰恰是看中了比特幣在支付轉(zhuǎn)賬時(shí)的全球化、去中心化和匿名性等“優(yōu)勢(shì)”。

　　首先，比特幣有一定的匿名性，便于黑客隱藏身份;其次它不受地域限制，可以全球范圍收款、轉(zhuǎn)賬;再次比特幣還有“去中心化”的特點(diǎn)，可以讓黑客通過程序自動(dòng)處理受害者贖金。

　　眾所周知，正常的跨國匯款需要經(jīng)過層層外匯管制機(jī)構(gòu)審查，交易記錄會(huì)被包括銀行在內(nèi)的多方記錄在案，甚至交易超過一定額度后，為防止洗錢等違規(guī)行為，還需向有關(guān)部門上報(bào)。但如果用比特幣交易就簡(jiǎn)單多了，只要輸入數(shù)字地址，點(diǎn)幾下鼠標(biāo)，等待確認(rèn)交易后，就可以完成交易（目前國內(nèi)已經(jīng)暫停提幣）。

　　同時(shí)，相比于其他數(shù)字貨幣，比特幣目前占有最大的市場(chǎng)份額，具有最好的流動(dòng)性。近期比特幣價(jià)格大幅上漲，也是其被黑客看中的原因。

　　問題六：為什么學(xué)校、醫(yī)院、政府等公共機(jī)構(gòu)是重災(zāi)區(qū)？

　　對(duì)于這個(gè)問題，或許一般的用戶也都有這樣的直觀感覺：學(xué)校、醫(yī)院等公共機(jī)構(gòu)中的電腦設(shè)備使用的系統(tǒng)往往是最落后的，甚至速度也是最慢的，加上缺乏專業(yè)技術(shù)人才，安全意識(shí)較低。這類機(jī)構(gòu)的電腦不能做到及時(shí)更新補(bǔ)丁，成為被攻擊的首要原因。

　　其次，當(dāng)前大部分學(xué)校基本是一個(gè)大的內(nèi)網(wǎng)互通的局域網(wǎng)，不同的業(yè)務(wù)未劃分安全區(qū)域。例如：學(xué)生管理系統(tǒng)、教務(wù)系統(tǒng)等都可以通過任何一臺(tái)連入的設(shè)備訪問。同時(shí)，實(shí)驗(yàn)室、多媒體教室、機(jī)器IP分配多為公網(wǎng)IP，如果學(xué)校未做相關(guān)的權(quán)限限制，所有機(jī)器直接暴露在外面。各大高校通常接入的網(wǎng)絡(luò)是為教育、科研和國際學(xué)術(shù)交流服務(wù)的教育科研網(wǎng)，此骨干網(wǎng)出于學(xué)術(shù)目的，大多沒有對(duì)445端口做防范處理，這是導(dǎo)致這次高校成為重災(zāi)區(qū)的原因之一。

　　問題七：病毒得到遏制了么？會(huì)不會(huì)出現(xiàn)新的變種？

　　從目前的數(shù)據(jù)分析，該勒索蠕蟲已經(jīng)得到了遏制，新增的受感染系統(tǒng)正在下降。同時(shí)，有國外網(wǎng)絡(luò)安全公司捕獲到該病毒的2.0版本，所以不排除新一輪攻擊的擴(kuò)大。“就像地震往往會(huì)有余震一樣，我們需要警惕病毒的各種變種”，不過我們只要做好防御準(zhǔn)備，打了最新的系統(tǒng)補(bǔ)丁就不用擔(dān)心。

　　問題八：我們從這次勒索病毒事件中學(xué)到了什么？

　　安全意識(shí)薄弱是很多人中招的最重要原因，這次事件之后，強(qiáng)烈建議網(wǎng)絡(luò)用戶至少做好以下四項(xiàng)預(yù)防工作：

　　1、重要文件一定要隨時(shí)備份，可以通過網(wǎng)盤、u盤等介質(zhì)進(jìn)行備份。如果是企業(yè)，也可以搭建集中的文件服務(wù)器進(jìn)行文件的集中管理和備份。

　　2、系統(tǒng)一定保持最高安全等級(jí)，及時(shí)升級(jí)到最新版本，建議打開自動(dòng)更新功能。同時(shí)，系統(tǒng)需要安裝殺毒軟件，更新病毒庫。

　　3、不要輕易打開陌生文件，尤其是陌生郵件和IM通信軟件中的文件。

　　4、安裝正版操作系統(tǒng)、Office軟件，盡量不用來歷不明的盜版軟件。

　　微軟官方補(bǔ)丁下載地址：點(diǎn)擊進(jìn)入