1、附件3:针对敲诈病毒(WanaCrypt0r2.0)的解决方案病毒背景一、病毒背景5月12日起,Onion 、WNCRY两类敲诈者病毒变种在全国乃至全世界大范围内出现爆发态势,中国大陆大量教育网用户和企业用户中招。与以往不同的是,这次的新变种病毒添加了NSA(美国国家安全局)黑客工具包中的“永恒之蓝”0day漏洞利用,通过445端口(文件共享)在内网进行蠕虫式感染传播。微软在今年3月10日已发布补丁MS17-010修复了“永恒之蓝” 攻击的系统漏洞,请尽快安装此安全补丁,网址为https:/ 变种甚至要求用户支付3个比特币,以目前的比特币行情,折合人民币在3 万左右。此类病毒一般使用RSA等非
2、对称算法,没有私钥就无法解密文件。WNCRY 敲诈者病毒要求用户在3 天内付款,否则解密费用翻倍,并且一周内未付款将删除密钥导致无法恢复。从某种意义上来说,这种敲诈者病毒“可防不可解”,需要安全厂商和用户共同加强安全防御措施和意识。中毒后的勒索提示部分系统桌面变化针对未中病毒系统解决方案三、针对未中病毒系统解决方案1、 为计算机安装最新的安全补丁,微软已发布补丁MS17-010修复了“永恒之蓝” 攻击的系统漏洞,请尽快安装此补丁,请参考本文档安全补丁下载章节内容进行下载安装。2、 开启Windows防火墙。请参考打开Windows 防火墙章节进行Windows防火墙启用。3、 针对暂时无法安装
3、补丁的Windows Server 2003以及Windows XP系统,可以通过关闭445端口(监控其他关联端口如: 135、137、139)来避免病毒侵害。a) 快捷键WIN+R启动运行窗口,输入cmd 并执行,打开命令行操作窗口,输入命令:netstat -an*用于检测445端口是否开启上图为未关闭445端口b) 如445端口开启(如上图),依次输入以下命令进行关闭:net stop rdr / net stop srv / net stop netbt功后的效果如下:4、 强化网络安全意识:不明链接不要点击,不明文件不要下载,不明邮件不要打开。 5、 尽快(今后定期)备份自己电脑中的
4、重要文件资料到移动硬盘、U盘,备份完后脱机保存该磁盘。6、 建议仍在使用Windows XP,Windows Server 2003操作系统的用户尽快升级到 Window 7/Windows 10,或 Windows 2008/2012/2016操作系统。7、 若是Windows 7、Windows 8/8.1、Windows 10(不包含LTSB)以上操作系统在启用自动更新情况下对此病毒免疫。8、 安装正版操作系统、Office软件等。针对已中病毒系统解决方案在没有解密密钥情况下,中病毒计算机中的文件恢复的成本非常高昂、难度非常大。若确定计算机已经中毒,应将该计算机隔离或断网(拔网线 ),以
5、免进行病毒扩散。若存在该计算机备份,则启动备份恢复程序。若没有重要文件,可通过对磁盘全盘进行格式化,重装系统恢复使用。安全补丁下载针对不同的系统所安装的补丁不同,请严格按照系统版本下载相对应的安全补丁对系统进行更新。-以下系统版本:Windows XP 32位/64 位/嵌入式Windows Vista 32/64位Windows Server 2003 SP2 32位/64位Windows 8 32位/64 位Windows Server 2008 32位/64 位/ 安腾对应补丁下载地址:http:/ 7 32位/64 位/嵌入式Windows Server 2008 R2 32位/64
6、位对应补丁下载地址:http:/ 8.1 32位/64位Windows Server 2012 R2 32位/64 位对应补丁下载地址:http:/ 8嵌入式Windows Server 2012对应补丁下载地址:http:/ 10 RTM 32位/64 位/LTSB对应补丁下载地址:http:/ 10 1511十一月更新版32/64 位对应补丁下载地址:http:/ 10 1607周年更新版32/64 位Windows Server 2016 32/64位对应补丁下载地址:http:/ XPWindows Server 2003启用Windows防火墙步骤如下:打开控制面板在控制面板中找到 Windows防火墙将Windows防火墙由关闭改为启用
