勒索病毒是什么

勒索病毒解决方案

、勒索病毒简介最近，一种电脑勒索病毒席卷了全球几十个国家。美国、俄

罗斯、中国，欧洲国家的Windows电脑受创最重。

和之前一些大面积爆发的病毒比如熊猫烧香等等不同，黑客开发这种病毒并不是为了炫技

（单纯地攻击电脑的软硬件）而是为了索财。当电脑受到病毒入侵之后，电脑当中的文件会

被加密，导致无法打开。

黑客会要求你提供300美元（2000元人民币）的比特币，才会给你提供解锁的密码。支付的

赎金一定要是比特币的原因是，这种电子货币的账户不易被追踪，更容易隐藏黑客的真实身

份。

病毒的设计者特意把勒索的说明信息翻译成了20多个国家和地区的语言版本，好让全世界每

一个中了病毒的人都能看懂付款信息，可见野心之大。

而且如果中了病毒的计算机属于高性能的服务器，病毒还会在这台电脑当中植入“挖矿”程

序，让这台计算机成为生产比特币的工具，攻击者可谓无所不用其极，最大程度地榨取受害

电脑的经济价值。

电脑中了这种病毒之后，硬盘当中的文件会被AES+RSA4096位的算法加密。遇到这种加密级

别，目前所有家用电脑如果要暴力破解可能需要几十万年。所以一旦被这种病毒感染，加密

了自己电脑上的文件，自己是无论如何没办法把文件解密的。如果是政府或者公共机构的重

要文件被加密，那只能恢复备份文件。

值得注意的是，这次的病毒袭击还针对了特定的人群，类似“精准投放”。大企业的公共

邮箱、高级餐厅的官网等等都是攻击的重点对象。起初病毒会伪装成一封标题非常吸引

人的电子邮件，或者伪装成PDF、DOC这样的普通文档，如果存在漏洞的电脑打开了这

些链接或者文件，就有可能中招。

如果中招的电脑处于一个局域网当中，那么只要一台电脑感染病毒，其他电脑只要开机

上网，马上也会被感染。

病毒会通过像445端口这样的文件共享和网络打印机共享端口的漏洞展开攻击。

、服务器紧急防范措施

1.立即组织内网检测，查找所有开放445SMB服务端口的终端和服务器，一

旦发现中毒机器，立即断网处置，目前看来对硬盘格式化可清除病毒。目前微软

已发布补丁MS17-010修复了“永恒之蓝”攻击的系统漏洞，请尽快为电脑装此补

丁，网址为/zh-cn/library/curity/MS17-010；对于XP、

2003等微软已不再提供安全更新的机器，建议升级操作系统版本，或使用

360“NSA武器库免疫工具”检测系统是否存在漏洞，并关闭受到漏洞影响的端口，

可以避免遭到勒索软件等病毒的侵害。免疫工具下载地址

/nsa/。

2.一旦发现电脑中毒，立即断网。

3.启用并打开“Windows防火墙”，进入“高级设置”，在入站规则里禁用

“文件和打印机共享”相关规则。关闭UDP135、445、137、138、139端

口，

关闭网络文件共享。

4.严格禁止使用U盘、移动硬盘等可执行摆渡攻击的设备。

5.尽快备份电脑中的重要文件资料。

6.及时更新操作系统和应用程序到最新的版本。

7.一般情况下数据库服务器升级MS17-010补丁不会对1433端口关闭，

Sqlrver默认使用的是1433端口，有个别情况可能会关闭1433端口，情况不明，

AA*、.Xz

请参考第六条

三、工作站防范措施

目前已知的是，Windows10操作系统只要打开了自动更新，就不会有中毒的风险。而目

前国内大量使用的Windows7甚至WindowsXP电脑相对比较高危。微软目前已经为所有

的Windows系统紧急发布了系统补丁。

另外，像445这样的高危端口，一般的家用电脑也最好关闭掉。微软的这个紧急补丁的下

载地址在这里（或者点击阅读原文）：/zh-

cn/library/curity/

如何关闭445端口的详细图文教程在这里：

1.打开控制面板点击防火墙

2.点击“高级设置”

3.先点击“入站规则”，再点击“新建规则”

4.勾中“端口”，点击“协议与端口”

5.勾选“特定本地端口”，填写445，点击下一步

6.点击“阻止链接”，一直下一步，并给规则命名后，就可以了

还是那句话，再好的杀毒软件也不如一个好的安全意识，在这个信息化时代，系统漏洞

一个补丁就能瞬间搞定，但人们安全意识缺失这个漏洞，不知道什么时候才能被堵上。

通过分析病毒，可以看到，以下后缀名的文件会被加密：

.123.

.

.c

.m

.p

.d

.

.

der。

四、360杀毒方案

“勒索病毒”全球爆发，通过蠕虫式传播在企业、校园内网大面积感染，一台中招，一片

遭殃！本次“勒索病毒”是在周五晚上爆发，星期一（5月15日）上班的企业将面临重

大风险！

360安全卫士能够全面免疫和防御“勒索病毒”，安装360安全卫士的用户，这次基本不

受“勒索病毒”影响。

针对未安装360安全卫士的用户，我们紧急推出360安全卫士【离线救灾版】，可以帮

助企业办公电脑应对此次“勒索病毒”的攻击。

应对“勒索病毒”，周一开机操作指南：

一、准备一个U盘或移动硬盘，周一上班前，可以在家里的安全网络环境下，下载

360

安全卫士【离线救灾版】下载地址/tup_

二、到公司后，先拔掉办公电脑的网线，关掉无线网络开关，然后再开机。

三、使用准备好的U盘或移动硬盘插入办公电脑，安装360安全卫士【离线救灾版】

四、360安全卫士【离线救灾版】的NSA武器库免疫工具会自动运行，并检测您的电脑

是否存在漏洞。如您当前系统没有安装漏洞补丁，请您点击【立即修复】提示：本次的

【永恒之蓝】漏洞是利用Windows系统局域网共享漏洞。如果您的系统本身存在问题

（例如是GHOST精简版）可能无法正常安装补丁。出于安全考虑，工具会直接为您【关

闭共享所需的网络端口和系统服务】

五、修复漏洞过程中，请您耐心等候，一般需要3~5分钟。

六、修复成功后，会弹窗提示您。请您【重启电脑】，以便修复操作彻底生效

七、重启电脑后，您可以通过桌面的【勒索病毒救灾】快捷方式再次运行NSA防御工

具，确保您的系统已经修复完成。

补充说明：针对部分特殊系统（例如GHOST精简系统），由于系统本身被人为的修改导

致无法正常安装本次的漏洞修复程序，出于安全考虑，工具会直接为您【关闭共享所

需的网络端口和系统服务】

五、返向操作

在已安装好补丁并确认安全，且又必须要打开的端口的情况下，可以进行返向操作，步

骤如下：

1.打开控制面板点击防火墙

2.点击“高级设置”

3.先点击“入站规则”，然后选择你新建那条规则。

4.再点击右则的“禁用规则”。

5.此时这条规则前面的绿色打沟图形消失。操作完成后，已关闭的端口就被从新打开。

六、网络防范措施

1.身份鉴别

身份鉴别包括主机和应用两个方面。

主机操作系统登录、数据库登陆以及应用系统登录均必须进行身份验证。过于简单

的标识符和口令容易被穷举攻击破解。同时非法用户可以通过网络进行窃听，从而获得

管理员权限，可以对任何资源非法访问及越权操作。因此必须提高用户名/口令的复杂

度，且防止被网络窃听；同时应考虑失败处理机制。

2.访问控制

访问控制包括主机和应用两个方面。

访问控制主要为了保证用户对主机资源和应用系统资源的合法使用。非法用户可能企

图假冒合法用户的身份进入系统，低权限的合法用户也可能企图执行高权限用户的操作，

这些行为将给主机系统和应用系统带来了很大的安全风险。用户必须拥有合法的用户标识

符，在制定好的访问控制策略下进行操作，杜绝越权非法操作。

3.系统审计

系统审计包括主机审计和应用审计两个方面。

对于登陆主机后的操作行为则需要进行主机审计。对于服务器和重要主机需要进行严

格的行为控制，对用户的行为、使用的命令等进行必要的记录审计，便于日后的分析、

调查、取证，规范主机使用行为。而对于应用系统同样提出了应用审计的要求，即对应

用系统的使用行为进行审计。重点审计应用层信息，和业务系统的运转流程息息相关。

能够为安全事件提供足够的信息，与身份认证与访问控制联系紧密，为相关事件提供审

计记录。

4.入侵防范

主机操作系统面临着各类具有针对性的入侵威胁，常见操作系统存在着各种安全漏

洞，并且现在漏洞被发现与漏洞被利用之间的时间差变得越来越短，这就使得操作系统本

身的安全性给整个系统带来巨大的安全风险，因此对于主机操作系统的安装，使用、维护

等提出了需求，防范针对系统的入侵行为。

5.恶意代码防范

病毒、蠕虫等恶意代码是对计算环境造成危害最大的隐患，当前病毒威胁非常严峻，

特别是蠕虫病毒的爆发，会立刻向其他子网迅速蔓延，发动网络攻击和数据窃密。大量

占据正常业务十分有限的带宽，造成网络性能严重下降、服务器崩溃甚至网络通信中断，

信息损坏或泄漏。严重影响正常业务开展。因此必须部署恶意代码防范软件进行防御。

同时保持恶意代码库的及时更新。