淺談勒索病的防范與對策

李思佳

摘要：在計算機(jī)網(wǎng)絡(luò)出現(xiàn)和發(fā)展打破了人類生活的地域界線，加速了人類文明的發(fā)展，然而利用計算機(jī)網(wǎng)絡(luò)進(jìn)行犯罪的現(xiàn)象也相伴而生。上周爆發(fā)的勒索病毒讓企業(yè)和機(jī)構(gòu)人心惶惶，而作為主要受害平臺的Windows自然也成為被質(zhì)疑對象。本人僅僅針對勒索病毒的防范和被攻擊的數(shù)據(jù)恢復(fù)，立足于普通用戶的立場，提出自己的做法。

關(guān)鍵詞：計算機(jī)；網(wǎng)絡(luò)病毒；防范；數(shù)據(jù)恢復(fù)

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2017）17-0049-02

什么事計算機(jī)網(wǎng)絡(luò)，所謂計算機(jī)網(wǎng)絡(luò)就是兩臺或者兩臺以上的計算機(jī)用直接或者通過電話線的方式連接起來，用來實現(xiàn)信息和資源共享的系統(tǒng)。計算機(jī)網(wǎng)絡(luò)病毒，就是黑客在這個虛擬世界中的變形，是指以破壞網(wǎng)絡(luò)系統(tǒng)或敲詐為目的，利用計算機(jī)通過互聯(lián)網(wǎng)采用攻擊性軟件傳播，達(dá)到破壞家算計數(shù)據(jù)的方法，敲詐財物的行為。

1計算機(jī)網(wǎng)絡(luò)病毒的構(gòu)成特征

所謂計算機(jī)病毒，其實它也是一個程序，一段可執(zhí)行的代碼。和生物病毒差不多，計算機(jī)病毒有特殊的復(fù)制能力。計算機(jī)病毒可以很快地蔓延，蔓延的速度驚人，并且特別難以清除。它們能把它們自己附著在各種類型的文件上。當(dāng)文件被復(fù)制或者從一個用戶傳送到另一個用戶時，它們就會隨著文件一起蔓延開來，從而肆無忌憚的侵蝕著你的電腦。

1.1計算機(jī)病毒在什么情況下出現(xiàn)

計算機(jī)病毒的產(chǎn)生是計算機(jī)技術(shù)和以計算機(jī)為核心的社會信息化進(jìn)程發(fā)展到一定階段的必然產(chǎn)物。它產(chǎn)生的背景是：

①算機(jī)病毒是計算機(jī)犯罪的一種新的繁衍形式，計算機(jī)病毒是高技術(shù)犯罪，具有瞬時性、動態(tài)性和隨機(jī)性。不易取證，風(fēng)險小破壞大，從而刺激了犯罪意識和犯罪活動。是某些人惡作劇和暴富心態(tài)在計算機(jī)應(yīng)用領(lǐng)域的表現(xiàn)。

②計算機(jī)軟硬件產(chǎn)品的微弱性是根本的技術(shù)原因

計算機(jī)是電子產(chǎn)品。數(shù)據(jù)從輸入、存儲、處理、輸出等環(huán)節(jié)，易誤人、篡改、丟失、作假和破壞；程序易被刪除、改寫；計算機(jī)軟件設(shè)計的手工方式，效率低下且生產(chǎn)周期長；人們至今沒有辦法事先了解一個程序有沒有錯誤，只能在運行中發(fā)現(xiàn)、修改錯誤，并不知道還有多少錯誤和缺陷隱藏在其中。這些脆弱性就為病毒的入侵提供了方便。

③指在攻擊和摧毀計算機(jī)信息系統(tǒng)和計算機(jī)系統(tǒng)而制造的病毒一就是蓄意進(jìn)行破壞。例如1987年底出現(xiàn)在以色列耶路撒冷伯萊大學(xué)的猶太人病毒，就是員工在工作中受挫或被辭退是故意制造的。它針對性強(qiáng)，破壞性大，產(chǎn)生于內(nèi)部，防不勝防。

④用于研究或有益目的而設(shè)計的程序，由于某種原因失去控制或產(chǎn)生了意想不到的效果。

2計算機(jī)網(wǎng)絡(luò)勒索病毒的防范

勒索病毒是近年來增長迅速且危害巨大的網(wǎng)絡(luò)安全威脅之一，是不法分子通過加密文件，鎖屏等方式劫持用戶文件等資產(chǎn)或資源，并以此敲詐用戶錢財?shù)囊环N惡意軟件。不法分子通過發(fā)送郵件等網(wǎng)絡(luò)釣魚方式，向受害電腦或服務(wù)器植入敲詐病毒來加密硬盤上的文檔甚至整個硬盤，隨后向受害企業(yè)或者個人索要數(shù)額不等的贖金（一般要求以比特幣方式支付）后才予以解密。

2.1如何設(shè)置電腦，防范勒索病毒

2.1.1計算機(jī)用戶升級安裝補(bǔ)丁

地址：https：∥technet.microsoft.com/zh-cn/library/security/MSl7-010.aspx。

Windows2003和XP沒有官方補(bǔ)丁，相關(guān)用戶可打開并啟用Windows防火墻，進(jìn)入“高級設(shè)置”，禁用“文件和打印機(jī)共享”設(shè)置；或者啟用個人防火墻關(guān)閉445以及135、137、138、139等高風(fēng)險端口。

已感染病毒的機(jī)器請立即斷網(wǎng)，避免進(jìn)一步傳播感染。

2.1.2系統(tǒng)設(shè)置

①開啟系統(tǒng)防火墻

利用系統(tǒng)防火墻高級設(shè)置阻止向445端口進(jìn)行連接（該操作會影響使用445端口的服務(wù)）

打開系統(tǒng)自動更新，并檢測更新進(jìn)行安裝

360公司發(fā)布的“比特幣勒索病毒”免疫工具下載地址：http：/dl.360safe.condnsa/nsatool.exe

②Win7、Win8、WinlO的處理流程

打開控制面板一系統(tǒng)與安全Windows防火墻，點擊左側(cè)啟動或關(guān)閉Windows防火墻

選擇啟動防火墻，并點擊確定

③點擊高級設(shè)置

④點擊入站規(guī)則，新建規(guī)則

⑤選擇端口，下一步

⑥特定本地端口，輸入445，下一步

⑦選擇阻止連接，下一步

⑧配置文件，全選，下一步

⑨名稱，可以任意輸入，完成即可。

2.1.3 XP系統(tǒng)的處理流程

①依次打開控制面板，安全中心，Windows防火墻，選擇啟用

②點擊開始，運行，輸入cmd，確定執(zhí)行下面三條命令

net stop rdr

Net stop sry

Net stop netbt

③由于微軟已經(jīng)不再為XP系統(tǒng)提供系統(tǒng)更新，建議用戶盡快升級到最高版本系統(tǒng)。勒索木馬正處于傳播期，被病毒感染上鎖的電腦還無法解鎖。建議盡快備份電腦中的重要文件資料到移動硬盤、u盤，備份完后脫機(jī)保存該磁盤，同事對于不明鏈接、文件和郵件要提高警惕，加強(qiáng)防范。

中了敲詐者病毒解決的辦法。

360安全衛(wèi)士西西專區(qū)：http：∥m.cr173.com/k/360safe

360安全衛(wèi)士2016最新版：http：∥www.cr173.com/soft/3188.html

360手機(jī)助手2016版：http：∥m.er173.com/x/41712

3計算機(jī)網(wǎng)絡(luò)勒索病毒的危害結(jié)果

今年以來，敲詐者病毒呈現(xiàn)高發(fā)態(tài)勢，360互聯(lián)網(wǎng)安全中心檢測到，僅上半年，共截獲電腦端新增敲詐者病毒變種74種，涉及PE樣本40000多個，涉及非PE文件10000多個，全國至少有580000多臺用戶電腦遭到了敲詐者病毒攻擊，且多達(dá)50000多臺電腦最終感染敲詐者病毒，平均每天有約300臺國內(nèi)電腦感染勒索木馬。

3.1計算機(jī)網(wǎng)絡(luò)勒索病毒的對策

5月12日晚，全球爆發(fā)大規(guī)模勒索病毒感染事件。經(jīng)過初步調(diào)查，此類勒索病毒傳播擴(kuò)散利用了基于445端口的SMB漏洞。此次遠(yuǎn)程利用代碼和4月14日黑客組織Shadow Brokers（影子經(jīng)紀(jì)人）公布的Equation Group（方程式組織）使用黑客工具包有關(guān)。其中ETERNALBLUE模塊是SMB漏洞利用程序，可以攻擊開放了445端口的Windows機(jī)器，實現(xiàn)遠(yuǎn)程命令執(zhí)行。微軟在今年3月份發(fā)布的MS17-010補(bǔ)丁，修復(fù)了ETERNAL-BLUE所利用的SMB漏洞。目前基于ETERNALBLUES的多種攻擊代碼已經(jīng)在互聯(lián)網(wǎng)上廣泛流傳，出了捆綁勒索病毒，還發(fā)現(xiàn)有植入遠(yuǎn)程控制木馬等其他多種遠(yuǎn)程利用方式。此次利用的SMB漏洞影響以下未自動更新的操作系統(tǒng)：

①Windows XP/Windows 2000/Windows 2003

②Windows Vista/Windows Server 2008/Windows Server2008R2

③windows 7/Windows8/Windows 10

④Windows Server 2012/Windows Server 2012 R2/WindowsServer2016

3.1.1企業(yè)局域網(wǎng)絡(luò)防范措施

①企業(yè)網(wǎng)出口防火墻禁止外網(wǎng)對企業(yè)網(wǎng)絡(luò)135/137/139/445端口的鏈接。

②企業(yè)網(wǎng)核心和匯聚交換機(jī)的所有VLAN禁止135/137/139/445端口的連接。

3.1.2個人用戶預(yù)防措施

①及時升級操作系統(tǒng)到Windows最新版本，并及時更新安全補(bǔ)丁。

②定期進(jìn)行重要文件的非本地備份。

③停止使用Windows XP、Windows2003等微軟已不再提供安全更新的操作系統(tǒng)。

④安裝并及時更新殺毒軟件。

⑤不要輕易打開來源不明的電子郵件。

⑥切勿輕信網(wǎng)上所謂的有償解密方法、渠道，小心網(wǎng)絡(luò)詐騙分子利用這次事件招搖撞騙。

⑦Windows 7、Windows 8和Windows 10啟動防火墻關(guān)閉445端口，具體操作如下：

A.打開控制面板-系統(tǒng)與安全-Windows防火墻，點擊左側(cè)啟動或關(guān)閉Windows防火墻；

B.選擇啟動防火墻，并點擊確定；

C.點擊高級設(shè)置；

D.點擊人站規(guī)則，新建規(guī)則；

E.選擇端口，下一步；

F.特定本地端口，輸入445，下一步；

G.選擇阻止連接，下一步；

H.配置文件，全選，下一步；

I.名稱可以任意輸入，完成即可。

J.XP系統(tǒng)也可以采用如下處理流程進(jìn)行應(yīng)急預(yù)防：依次打開控制面板，安全中心，Windows防火墻，選擇啟用；然后點擊開始，運行，輸入cmd，執(zhí)行以下命令：

1）net stop rdr

2）net stop srv

3）Net stop netbt