轉(zhuǎn)載請(qǐng)注明出處：http://www.itdecent.cn/p/4c99b21cf1e1

本文出自 LeoYan 的博客

本文同步發(fā)表于我的微信公眾號(hào)，掃一掃文章底部的二維碼或在微信搜索 LeoYan 即可關(guān)注。

LSBD0

背景

近期全球范圍內(nèi)爆發(fā)基于Windows網(wǎng)絡(luò)共享協(xié)議進(jìn)行攻擊傳播的蠕蟲惡意代碼，目前已有國(guó)內(nèi)外多個(gè)高校校內(nèi)網(wǎng)、大型企業(yè)內(nèi)網(wǎng)和政府機(jī)構(gòu)專網(wǎng)被感染，系統(tǒng)一旦被感染，Office、PDF等重要文件將被加密，需要向黑客支付高額贖金才能解密恢復(fù)文件，對(duì)重要數(shù)據(jù)造成嚴(yán)重?fù)p失。此次勒索病毒可遠(yuǎn)程攻擊Windows的文件共享端口，如果系統(tǒng)未及時(shí)更新補(bǔ)丁或關(guān)閉端口，無需用戶任何操作，只要開機(jī)聯(lián)網(wǎng)，攻擊者就能在電腦里執(zhí)行任意代碼，植入勒索病毒等惡意程序。

下午，國(guó)家網(wǎng)絡(luò)與信息安全信息通報(bào)中心發(fā)出就勒索病毒發(fā)布緊急通報(bào)： 監(jiān)測(cè)發(fā)現(xiàn)，在全球范圍內(nèi)爆發(fā)的WannaCry勒索病毒出現(xiàn)了變種：WannaCry2.0，與之前版本的不同是，這個(gè)變種取消了Kill Switch，不能通過注冊(cè)某個(gè)域名來關(guān)閉變種勒索病毒的傳播，該變種傳播速度可能會(huì)更快。請(qǐng)廣大網(wǎng)民盡快升級(jí)安裝Windows操作系統(tǒng)相關(guān)補(bǔ)丁，已感染病毒機(jī)器請(qǐng)立即斷網(wǎng)，避免進(jìn)一步傳播感染。

幾乎與此同時(shí)，北京市委網(wǎng)信辦、北京市公安局、北京市經(jīng)信委聯(lián)合發(fā)出《關(guān)于WannaCry勒索蠕蟲出現(xiàn)變種及處置工作建議的通知》。《通知》同樣指出，WannaCry 勒索蠕蟲已經(jīng)出現(xiàn)新變種，并給出了具體處理建議。

幾個(gè)小時(shí)前，英國(guó)BBC發(fā)文稱：安全專家警告，下一波網(wǎng)絡(luò)攻擊即將來臨，很可能在星期一。

附：《通知》全文

LSBD5

什么是WannaCry？

就是一些混蛋編寫的利用Windows中的SMB漏洞的病毒代碼，也被稱為Wana Decrypt0r，WannaCryptor或WCRY，和其它勒索病毒變體一樣，阻止你訪問計(jì)算機(jī)或文件，并要求支付贖金解鎖文件。

如何防護(hù)？

第一步：

什么都不用說，先斷網(wǎng)，再備份！

拔掉網(wǎng)線，關(guān)掉WiFi，然后開機(jī)備份文檔。

注意注意！不要備份在本機(jī)和網(wǎng)絡(luò)硬盤上。

第二步：

開機(jī)。

第三步：

緊急備份：您看到預(yù)警通知后，建議您即刻斷開辦公終端的網(wǎng)絡(luò)連接，通過移動(dòng)存儲(chǔ)設(shè)備（U盤、移動(dòng)硬盤等）對(duì)重要辦公文件進(jìn)行備份，這樣即使計(jì)算機(jī)遭遇了勒索軟件攻擊，您也能夠恢復(fù)所有文件。

第四步：

控制面板 --> 防火墻高級(jí)設(shè)置 --> 在入站規(guī)則(新建規(guī)則) --> 端口 --> TCP打勾 --> 特定輸入(445) --> 阻止連接 --> 名字輸入(阻擋勒索病毒連接名)

具體如下：

1. 打開控制面板-系統(tǒng)和安全-Windows 防火墻

2. 點(diǎn)擊高級(jí)設(shè)置（打開高級(jí)安全Windows防火墻）

3. 在入站規(guī)則（也就是外網(wǎng)訪問你的電腦的規(guī)則）圖標(biāo)上右鍵-新建規(guī)則

   
   
   LSBD1

4. 點(diǎn)擊端口，然后點(diǎn)擊下一步

   
   
   LSBD2

5. 點(diǎn)擊TCP， 然后在“特定本地端口”里輸入445

   
   
   LSBD3

6. 點(diǎn)擊下一步

7. 點(diǎn)擊阻止連接

   
   
   LSBD4

8. 點(diǎn)擊下一步

9. 全選上，然后下一步。

10. 隨便起名字，然后完成。

到這里，你完成了阻止所有通過445端口連接你的電腦的連接。

不放心的可以再把UTP也阻止了(方法一樣）。

445端口關(guān)閉后，本機(jī)cmd窗口執(zhí)行命令netstat -ano | findstr :445，回車后無任何返回。

這樣確保了你上網(wǎng)時(shí)不被病毒攻擊

第五步：

連接網(wǎng)絡(luò)，打補(bǔ)丁

補(bǔ)丁升級(jí)地址：

更新最新的5月份KB4012264補(bǔ)丁，如果你的更新記錄如下，則表示已更新

Windows 7 : KB4012215 或 KB4015549 或 KB4019264

Windows 8.1:KB4012216 或 KB4015550 或 KB4019215

Windows 10

直接去Windows更新便可

Windows 8.1 64：

http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows8.1-kb4019215-x64_d06fa047afc97c445c69181599e3a66568964b23.msu

Windows 8.1 32：

http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows8.1-kb4019215-x86_fe1cafb988ae5db6046d6e389345faf7bac587d7.msu

Windows 7 64：

http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows6.1-kb4019264-x64_c2d1cef74d6cb2278e3b2234c124b207d0d0540f.msu

Windows 7 32：

http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows6.1-kb4019264-x86_aaf785b1697982cfdbe4a39c1aabd727d510c6a7.msu

針對(duì)老版本W(wǎng)indows，微軟已推出KB4012598 :

Windows Vista 32/64

Windows Server 2008 32/64

Windows 8 32/64

Windows XP SP3

Windows Server 2003

http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

結(jié)語(yǔ)

該病毒具有傳染性，傳播快，所以請(qǐng)大家務(wù)必對(duì)自己的電腦升級(jí)防護(hù)，避免二次傳播。

最后，如果你被感染，千萬不要支付贖金，這助長(zhǎng)這些混蛋的囂張氣焰，沒準(zhǔn)還會(huì)要你支付更多的贖金。

如果發(fā)現(xiàn)被感染，趕快關(guān)機(jī)，交給專業(yè)人士處理。

千萬不要打開可疑的電子郵件，永遠(yuǎn)不要打開可疑的附件！