Symantec-WannaCry勒索病毒预警

栏目编辑：梁丽雯 E-mail:liven_01@勒索病毒Wanna Cry全球肆虐给银行业的启示*■ 中国人民银行宿迁市中心支行 路学刚 任军远一、Wanna Cry事件的影响Wanna Cr y是一款蠕虫式的勒索病毒软件，是由黑客组织利用N S A（美国国家安全局）泄露的Windows危险漏洞“EternalBlue”（永恒之蓝）进行传播。

该病毒软件会扫描电脑上的TCP 445端口（Server Message Block/SMB），以类似于蠕虫病毒的方式传播，攻击主机并加密主机上存储的文件，然后要求以比特币的形式支付赎金。

此次勒索病毒波及范围比较广，全球150多个国家的30多万台电脑都受到影响。

其中俄罗斯受攻击最为严重，覆盖俄内务部、卫生部、俄罗斯储蓄银行、铁路系统，内务部1 000台电脑被攻击；英国公共卫生体系国民保健制度（NHS）也受到严重影响，英国45个公共医疗组织受到黑客病毒攻击。

此外，印度尼西亚的数家医院、美国联邦快递公司、西班牙电话公司、法国雷诺汽车公司工厂、几家挪威和瑞典的足球俱乐部等都受攻击。

中国此次受到的影响也比较大，其中教育、石油、摘要：2017年5月12日，一款名为WannaCry的勒索病毒肆虐全球，全球150多个国家的30多万台电脑遭到攻击。

其中，我国很多行业网络也遭到攻击，特别是教育、石油、交通、公安等行业受巨大影响。

这次多年未遇的全球性恶性病毒事件，暴露了IT安全防护脆弱现状，应引起高度重视，人民银行作为国家最重要的金融部门，更应从此事件中吸取经验教训。

笔者建议业界要全面做好技术防范工作、加强信息安全内部管理、探索新的网络架构体系和安全防御体系。

关键词：网络安全；信息管理；勒索病毒；蠕虫作者简介： 路学刚（1970-），男，江苏沭阳人，高级工程师。

任军远（1983-），男，江苏赣榆人，助理工程师。

收稿日期： 2017-05-23*本文仅代表作者个人观点，不代表作者所在单位意见。

安天蠕虫式勒索软件WannaCry免疫工具使用说明一概述本工具为安天CERT响应WannaCry勒索蠕虫病毒紧急发布的防护工具，可以阻止WannaCry勒索蠕虫病毒（不包含家族变种）的破坏行为，但不具有清除病毒文件能力。

工具会关闭部分端口的连接，请在使用前确认是否会影响其他应用。

二功能介绍2.2设置组策略免疫2.2.1常规型组策略设置●功能介绍该策略适用于Windows Vista及之后系统，仅阻止445端口的连接，推荐Windows Vista 及之后系统的用户优先使用。

●使用说明点击“设置免疫”，工具会自动关闭445端口，重启后设置生效。

点击“取消设置”，会重新开启445端口。

图2-1常规型策略界面2.2.2增强型组策略设置●功能介绍该策略为增强型策略，可以关闭135/137/138/139/445端口。

●使用说明点击“设置增强免疫”，工具会自动关闭135/137/138/139/445端口，重启后设置生效。

点击“取消设置”，会重新开启135/137/138/139/445端口。

图2-2 增强型组策略免疫界面2.2.3禁用服务免疫●功能介绍适用于Windows XP系统，设置后会关闭部分系统服务，有可能影响其他系统功能。

●使用说明点击“设置免疫”，工具会自动关闭部分系统服务，重启后设置生效。

点击“取消设置”，会重新开启部分服务。

图2-3 禁用服务免疫功能截图2.2.4官方补丁下载●功能介绍可以链接到微软官网下载漏洞补丁。

●使用说明点击“官方补丁下载”，将会启动浏览器并访问微软官方网站，用户可通过网站下载适配的补丁程序。

注：漏洞补丁由微软官方提供，与工具无关。

电脑中了蠕虫病毒怎么办勒索蠕虫毒”(WannaCry)是一种新型病毒，主要以邮件、程序木马、网页挂马的形式传播。

那什么是勒索蠕虫病毒?电脑中了蠕虫病毒怎么办?接下来店铺为你整理了勒索蠕虫病毒出现变种预警及处置建议，希望对你有帮助。

什么是勒索蠕虫病毒这个近来席卷中国的蠕虫病毒被称为“比特币敲诈者”!而就在比特币病毒肆意对我国进行破坏。

罪魁祸首则是一个名为 WannaCry 的勒索软件。

一旦中毒，电脑就会显示“你的电脑已经被锁，文件已经全部被加密，除非你支付等额价值 300 美元的比特币，否则你的文件将会被永久删除” 。

勒索蠕虫病毒出现变种预警及处置建议勒索蠕虫毒”(WannaCry)是一种新型病毒，主要以邮件、程序木马、网页挂马的形式传播，一旦感染该病毒，中病毒的电脑文件就会被病毒加密，被感染者一般无法解密，必须支附高额费用拿到解密私钥才能解密，危害性极大。

据有关部门监测发现，WannaCry 勒索蠕虫病毒出现了变种：WannaCry 2.0，与之前版本的不同是，这个变种取消了所谓的Kill Switch，不能通过注册某个域名来关闭变种勒索蠕虫的传播。

该变种的传播速度可能会更快,该变种的有关处置方法与之前版本相同,为此，建议使用网络的单位和个人立即进行关注和处置。

一、一旦发现中毒机器，立即断网处置，目前看来对硬盘格式化可清除病毒。

二、目前微软已发布补丁MS17-010修复了“永恒之蓝”攻击的系统漏洞，请尽快为电脑安装此补丁，网址为https:///zh-cn/library/security/MS17-010;对于XP、2003等微软已不再提供安全更新的机器，建议升级操作系统版本，或使用360“NSA武器库免疫工具”检测系统是否存在漏洞，并关闭受到漏洞影响的端口，可以避免遭到勒索软件等病毒的侵害。

免疫工具下载地址：/nsa/nsatool.exe。

三、启用并打开“Windows防火墙”，进入“高级设置”，在入站规则里禁用“文件和打印机共享”相关规则。

有哪些计算机病毒的典型案例计算机病毒是一种可以通过网络或存储介质传播的恶意软件，它们可以对计算机系统造成严重的破坏。

在计算机领域，病毒是一种非常常见的安全威胁，而且它们的种类也非常多样。

接下来，我们将介绍一些典型的计算机病毒案例，以便更好地了解这些威胁。

1. Melissa病毒。

Melissa病毒是一种在1999年出现的宏病毒，它主要通过电子邮件传播。

一旦用户打开了感染了Melissa病毒的电子邮件附件，病毒就会开始自动复制并发送自己给用户的联系人。

由于它的快速传播速度，Melissa病毒曾一度引起了全球性的恐慌，造成了大量的计算机系统瘫痪。

2. ILOVEYOU病毒。

ILOVEYOU病毒是一种在2000年出现的蠕虫病毒，它通过电子邮件发送“我爱你”的主题来诱使用户打开感染文件。

一旦用户打开了附件，病毒就会开始破坏用户的文件，并且自动发送自己给用户的联系人。

ILOVEYOU病毒造成了数十亿美元的损失，成为了互联网历史上最具破坏力的病毒之一。

3. WannaCry勒索病毒。

WannaCry病毒是一种在2017年出现的勒索病毒，它利用Windows操作系统的漏洞进行传播。

一旦用户的计算机感染了WannaCry病毒，病毒就会加密用户的文件，并要求用户支付赎金才能解密。

WannaCry病毒曾一度造成了全球范围内的大规模感染，影响了包括医疗、金融在内的多个行业。

4. Zeus木马病毒。

Zeus病毒是一种银行木马病毒，它主要通过网络钓鱼和恶意软件下载器进行传播。

一旦用户的计算机感染了Zeus病毒，病毒就会窃取用户的银行账号和密码，并用于非法转账。

Zeus病毒曾造成了大量用户的财产损失，成为了银行业安全的重大威胁。

5. Stuxnet病毒。

Stuxnet病毒是一种专门针对工业控制系统的病毒，它主要通过USB设备进行传播。

一旦感染了工业控制系统，Stuxnet病毒就会破坏系统中的控制程序，导致工业设备的故障和瘫痪。

勒索病毒如何查杀引言勒索病毒是一种恶意软件，它可以感染计算机并加密用户的文件，然后勒索用户支付赎金以解密文件。

由于勒索病毒的威胁日益增加，我们需要了解如何检测和查杀这种恶意软件，以保护我们的数据安全。

本文将介绍勒索病毒的工作原理、检测方法和查杀步骤，帮助您应对勒索病毒的威胁。

勒索病毒的工作原理勒索病毒通常通过邮件附件、恶意链接、潜在的不安全网站等途径传播。

一旦用户点击了感染源，病毒将开始在用户计算机上运行。

勒索病毒的核心目标是加密用户的文件。

它使用复杂的加密算法将文件转换为无法读取的格式，然后要求用户支付赎金以获取解密密钥。

在加密文件后，勒索病毒通常会显示一个威胁性的弹窗或文本文件，告知用户如何支付赎金，并提供一个特定时间内的限制。

检测勒索病毒的方法要及早检测勒索病毒的存在，以便立即采取行动，以下是一些常用的检测方法：1. 安全软件的实时保护使用可靠的安全软件，并确保其实时保护功能已开启。

实时保护可以帮助阻止可疑文件和链接的访问。

当安全软件发现可疑活动时，它会向用户发出警告，并尝试阻止恶意软件的进一步传播和感染。

2. 更新操作系统和应用程序及时更新操作系统和常用应用程序是防止勒索病毒感染的重要措施之一。

更新包含了针对已知漏洞的修复，这些漏洞可能被黑客利用来传播勒索病毒。

3. 警惕邮件和网站勒索病毒通常通过钓鱼邮件和恶意网站传播。

要保护自己，我们应该警惕不明来历的邮件附件和链接，不轻易下载未知来源的文件，避免点击可疑链接或访问不安全的网站。

4. 备份重要数据定期备份重要文件是预防数据丢失的最佳方法。

如果您的计算机受到勒索病毒的攻击，您可以恢复备份的文件而不必支付赎金。

勒索病毒查杀步骤一旦发现计算机可能感染了勒索病毒，您应立即采取行动以防止进一步损害，并尝试查杀病毒。

以下是一些常用的查杀步骤：1. 断开网络连接勒索病毒通常需要与远程服务器通信来发送解密密钥或接收支付信息。

断开计算机与网络的连接可以阻止病毒与其控制服务器进行通信。

WannaCry勒索病毒紧急处理（通用版）（本文适用于任何条件，纯普通用户操作）由于该病毒已在全球爆发，且中毒后会造成电脑上的绝大部分文件被加密，目前无有效解决办法。

1，漏洞未处理完成，请勿随意插入U盘，打开他人发过来的文件，或邮件附件。

2，如果已中病毒，请马上强制关机（防止感染他人），并上报行政部。

已中毒界面如下：未中病毒防护步骤1，临时断开网络2，停止server服务3，开启系统防火墙4，关闭445端口5，开启网络6，安装检测工具7，通过360卫士打补丁8，检测工具验证OK详细处理步骤：一、临时断开网络1，使用网线上网，请直接拔网线2，使用WIFI上网，请断开无线网络连接或禁用网卡。

如下：二、停止server服务1，左下角点击“开始”，输入services.msc进入“服务”，找到名称为“server”，双击打开先“停止”，再“禁用”三、开启系统防火墙打开控制面板-系统与安全-Windows防火墙，点击左侧启动或关闭Windows防火墙选择“启用windows防火墙”，如下图选择，确定。

四、关闭445端口（XP系统不适用）1，点击“高级设置”，2，先点击“入站规则”，再点击“新建规则”，如下图：3，选择“端口”，下一步4，选择TCP，特定端口输入4455，选择“阻止连接”6，配置文件，都选7，规则名称，任意，如Deny445TCP8，生成规则如下：9，再次从1-8过程，生成一个新的入站规则，其中第“4”选择UDP，五、恢复正常网络1，使用网线上网，请直接插上网线2，使用WIFI上网，请连接无线网络，六、安装检测工具下载检测工具，/nsa/nsatool.exe 运行，并查看结果有发现漏洞，如下图：请点击“立即修复”未发现漏洞，如下图：七、通过360卫士打补丁检测工具会自动提示下载360卫士，同意安装。

进入“系统修复”--“漏洞修复”，一键修复。

等待完成，时间较长。

八、检测工具验证OK再次使用检测工具，如果提示“经检测，未发现您的电脑存在该漏洞”则修复完成，否则，请重新进行第“七”步骤，进入360安全卫士—漏洞修复，进行。

国内爆发新型勒索病毒wannacry （附解决方法）北京时间2017 年5 月12 日20 时左右，全球爆发大规模勒索软件感染事件，我国大量行业企业内网大规模感染，教育网受损严重，攻击造成了教学系统瘫痪，甚至包括校园一卡通系统。

据BBC 报道，今天全球很多地方爆发一种软件勒索病毒，只有缴纳高额赎金（有的要比特币）才能解密资料和数据，英国多家医院中招，病人资料威胁外泄，同时俄罗斯，意大利，整个欧洲，包括中国很多高校…… 该勒索软件是一个名称为“ wannacry ”的新家族，目前无法解密该勒索软件加密的文件。

该勒索软件迅速感染全球大量主机的原因是利用了基于445 端口传播扩散的SMB 漏洞MS17-101 ，微软在今年3 月份发布了该漏洞的补丁。

2017 年4 月14日黑客组织Shadow Brokers （影子经纪人）公布的Equation Group （方程式组织）使用的“网络军火”中包含了该漏洞的利用程序，而该勒索软件的攻击者或攻击组织在借鉴了该“网络军火”后进行了些次全球性的大规模攻击事件。

安天依托对“勒索软件”的分析和预判，不仅能够有效检测防御目前“勒索软件”的样本和破坏机理，还对后续“勒索软件” 可能使用的技巧进行了布防。

安天智甲终端防御系统完全可以阻止此次勒索软件新家族“ wannacry ”加密用户磁盘文件。

事件分析该勒索软件是一个名称为wannacry ”的新家族，目前无法解密该勒索软件加密的文件。

该勒索软件迅速感染全球大量主机的原因是利用了基于445 端口传播扩散的SMB 漏洞MS17-101 ，微软在今年3 月份发布了该漏洞的补丁。

2017 年4月14 日黑客组织Shadow Brokers （影子经纪人）公布的Equation Group （方程式组织）使用的“网络军火”中包含了该漏洞的利用程序，而该勒索软件的攻击者或攻击组织在借鉴了该“网络军火”后进行了些次全球性的大规模攻击事件。

勒索病毒“wannacry”升级新变种”wannasister”2017年5月16日，金睛安全研究团队监控到了席卷全球的“wannacry”勒索病毒出现了一个最新变种，名为“wannasister。

该变种增加了一些反调试功能，同时将主要的勒索模块代码注入到正常的记事本（notepad.exe）进程中，并且其中用于加密AES密钥的内置RSA 公钥也与之前的版本有了变化。

种种迹象显示，勒索病毒有可能在短期内出现第二波攻势，用户需高度警惕。

技术分析1.新变种在运行之初增加了一些反调试的功能。

(1) 通过检测DebugPort来检测调试器是否存在。

(2)通过检测NtGlobalFlag来检测调试器是否存在。

(3) 如果检测出调试器则直接构造异常。

2.新变种的主要功能函数写在了窗口回调函数中，手法更加隐蔽(1) 通过RegisterClassExA注册窗口回调(2)主要的窗口回调函数3.新变种的主要勒索功能采用了注入正常记事本进程（notepad.exe）进程的方式。

这样做是为了躲避一些杀软主动防御功能，甚至可能会绕过一些软件的勒索保护功能，潜在危害更大。

因为某些具有勒索保护功能的主动防御类软件是默认放过notepad.exe,winword.exe等文字编辑工具修改文档文件的。

4.notepad.exe中被注入的代码为和wannacry勒索病毒释放的勒索主程序tasksche.exe完全相同。

但其内嵌的用来加密AES密钥的RSA公钥出现了变化。

解决方案1.景云终端防病毒最新版本可彻底查杀”wannasister”病毒最新变种。

2.即使未来再出现新的勒索病毒变种，也可使用景云杀毒与APT联动的方式，进行未知勒索病毒的检测与防护。

关于VenusEye金睛安全研究团队：VenusEye金睛安全研究团队是启明星辰集团检测产品本部从事专业安全分析的技术型团队，主要职责是对现有产品上报的安全事件、样本数据进行挖掘、分析，并向用户提供专业的分析报告。

WannaCry勒索病毒紧急处理（通用版）（本文适用于任何条件，纯普通用户操作）由于该病毒已在全球爆发，且中毒后会造成电脑上的绝大部分文件被加密，目前无有效解决办法。

1，漏洞未处理完成，请勿随意插入U盘，打开他人发过来的文件，或邮件附件。

2，如果已中病毒，请马上强制关机（防止感染他人），并上报行政部。

已中毒界面如下：未中病毒防护步骤1，临时断开网络2，停止server服务3，开启系统防火墙4，关闭445端口5，开启网络6，安装检测工具7，通过360卫士打补丁8，检测工具验证OK详细处理步骤：一、临时断开网络1，使用网线上网，请直接拔网线2，使用WIFI上网，请断开无线网络连接或禁用网卡。

如下：二、停止server服务1，左下角点击“开始”，输入services.msc进入“服务”，找到名称为“server”，双击打开先“停止”，再“禁用”三、开启系统防火墙打开控制面板-系统与安全-Windows防火墙，点击左侧启动或关闭Windows防火墙选择“启用windows防火墙”，如下图选择，确定。

四、关闭445端口（XP系统不适用）1，点击“高级设置”，2，先点击“入站规则”，再点击“新建规则”，如下图：3，选择“端口”，下一步4，选择TCP，特定端口输入4455，选择“阻止连接”6，配置文件，都选7，规则名称，任意，如Deny445TCP8，生成规则如下：9，再次从1-8过程，生成一个新的入站规则，其中第“4”选择UDP，五、恢复正常网络1，使用网线上网，请直接插上网线2，使用WIFI上网，请连接无线网络，六、安装检测工具下载检测工具，/nsa/nsatool.exe 运行，并查看结果有发现漏洞，如下图：请点击“立即修复”未发现漏洞，如下图：七、通过360卫士打补丁检测工具会自动提示下载360卫士，同意安装。

进入“系统修复”--“漏洞修复”，一键修复。

等待完成，时间较长。

八、检测工具验证OK再次使用检测工具，如果提示“经检测，未发现您的电脑存在该漏洞”则修复完成，否则，请重新进行第“七”步骤，进入360安全卫士—漏洞修复，进行。