干货：勒索病毒防范措施与解决方案

勒索病毒解决方案

勒索病毒简介

而且如果中了病毒的计算机属于高性能的服务器，病毒还会在这台电脑当中植入“挖矿”程序， 如果中招的电脑处于一个局域网当中，那么只要一台电脑感染病毒，其他电脑只要开机上网，马上也会被感染。病毒会通过像445端口这样的文件共享和网络打印机共享端口的漏洞展开攻击，中毒严重的服务器，工作站建议重新安装操作系统。

服务器紧急防范措施

立即组织内网检测，查找所有开放445 SMB服务端口的终端和服务器，一旦发现中毒机器，立即断网处置，目前看来对硬盘格式化可清除病毒。目前微软已发布补丁MS17-010修复了“永恒之蓝”攻击的系统漏洞，请尽快为电脑装此补丁，网址为；对于XP、2003等微软已不再提供安全更新的机器，建议升级操作系统版本，或使用360“NSA武器库免疫工具”检测系统是否存在漏洞，并关闭受到漏洞影响的端口，可以避免遭到勒索软件等病毒的侵害。免疫工具下载地址，运行netstat -ano|findstr “445” 查看是不是中了病毒

一旦发现电脑中毒，立即断网。严格禁止使用U盘、移动硬盘等可执行摆渡攻击的设备。

尽快备份电脑中的重要文件资料。

及时更新操作系统和应用程序到最新的版本。

一般情况下数据库服务器升级MS17-010补丁不会对1433端口关闭，Sqlserver默认使用的是1433端口，有个别情况可能会关闭1433端口，情况不明，请参考第六条

7.迁移有些服务到linux服务器上

工作站防范措施

目前已知的是，Windows 10操作系统只要打开了自动更新，就不会有中毒的风险。而目前国内大量使用的Windows7甚至Windows XP电脑相对比较高危。微软目前已经为所有的Windows系统紧急发布了系统补丁。

另外，像445这样的高危端口，一般的家用电脑也最好关闭掉。

微软的这个紧急补丁的下载地址在这里

https://technet.microsoft.com/zh-cn/library/security/MS17-010.aspx

如何关闭445端口的详细图文教程在这里：

1. 打开控制面板点击防火墙

2. 点击“高级设置”

3. 先点击“入站规则”，再点击“新建规则”

4. 勾中“端口”，点击“协议与端口”

5. 勾选“特定本地端口”，填写445，点击下一步

6. 点击“阻止链接”，一直下一步，并给规则命名后，就可以了

还是那句话，再好的杀毒软件也不如一个好的安全意识，在这个信息化时代，系统漏洞一个补丁就能瞬间搞定，但人们安全意识缺失这个漏洞，不知道什么时候才能被堵上。

通过分析病毒，可以看到，以下后缀名的文件会被加密：docx.docb.docm.dot.dotm.dotx.xls.xlsx.xlsm.xlsb.xlw.xlt.xlm.xlc.xltx.xltm.ppt.pptx.pptm.pot.pps.ppsm.ppsx.ppam.potx.potm.pst.ost.msg.eml.edb.vsd.vsdx.txt.csv.rtf.123.wks.wk1.pdf.dwg.onetoc2.snt.hwp.602.sxi.sti.sldx.sldm.sldm.vdi.vmdk

.vmx.gpg.aes.ARC.PAQ.bz2.tbk.bak.tar.tgz.gz.7z.rar.zip.backup.iso.vcd.jpeg.jpg.bmp.png.gif.raw.cgm.tif.tiff.nef.psd.ai.svg.djvu.m4u.m3u.mid.wma.flv.3g2.mkv.3gp.mp4.mov.avi.asf.mpeg.vob.mpg.wmv.fla.swf.wav.mp3.sh.class.jar.java.rb.asp.php.jsp.brd.sch.dch.dip.pl.vb.vbs.ps1.bat.cmd.js.asm.h.pas.cpp.c.cs.suo.sln.ldf

.mdf.ibd.myi.myd.frm.odb.dbf.db.mdb.accdb.sql.sqlitedb.sqlite3.asc.lay6.lay.mml.sxm.otg.odg.uop.std.sxd.otp.odp.wb2.slk.dif.stc.sxc.ots.ods.3dm.max.3ds.uot.stw.sxw.ott.odt.pem.p12.csr.crt.key.pfx.der。

360杀毒方案

在服务器或者是工作站运行运行netstat -ano|findstr “445”，如果发现很多的445连接，基本上确定了是中毒了，重启后按F8，选择网络安全模式，

一、准备一个U盘或移动硬盘，下载360安全卫士【离线救灾版】 下载地址http://dl.360safe.com/setup_jiuzai.exe，

工具内网地址下载\\192.168.1.30\share 用户名：share 密码：sh@2008

三、使用准备好的U盘或移动硬盘插入办公电脑，安装360安全卫士【离线救灾版】

四、360安全卫士【离线救灾版】的NSA武器库免疫工具会自动运行，并检测您的电脑是否存在漏洞。如您当前系统没有安装漏洞补丁，请您点击【立即修复】

提示：本次的【永恒之蓝】漏洞是利用Windows 系统局域网共享漏洞。如果您的系统本身存在问题（例如是GHOST精简版）可能无法正常安装补丁。出于安全考虑，工具会直接为您【关闭共享所需的网络端口 和 系统服务】

五、修复漏洞过程中，请您耐心等候，一般需要 3~5 分钟。

六、修复成功后，会弹窗提示您。请您【重启电脑】，以便修复操作彻底生效

七、重启电脑后，您可以通过桌面的【勒索病毒救灾】快捷方式再次运行 NSA 防御工具，确保您的系统已经修复完成。

补充说明：针对部分特殊系统（例如GHOST精简系统），由于系统本身被人为的修改导致无法正常安装本次的漏洞修复程序，出于安全考虑，工具会直接为您【关闭共享所需的网络端口 和 系统服务】

返向操作

在已安装好补丁并确认安全，且又必须要打开的端口的情况下，可以进行返向操作，步骤如下：

3. 先点击“入站规则”，然后选择你新建那条规则。

4. 再点击右则的“禁用规则”。

5. 此时这条规则前面的绿色打沟图形消失。

操作完成后，已关闭的端口就被从新打开。