必看！勒索病毒预防以及感染后处理方式汇总&5月12日起，Onion、WNCRY两类敲诈者病毒变种在全国乃至全世界大范围内出现爆发态势，大量个人和企业、机构用户中招。
与以往不同的是，这次的新变种病毒添加了NSA(美国国家安全局)黑客工具包中的&永恒之蓝&0day漏洞利用，通过445端口(文件共享)在内网进行蠕虫式感染传播。
没有安装安全软件或及时更新系统补丁的其他内网用户极有可能被动感染，所以目前感染用户主要集中在企业、高校等内网环境下。
一旦感染该蠕虫病毒变种，系统重要资料文件就会被加密，并勒索高额的比特币赎金，折合人民币元不等。
从目前监控到的情况来看，全网已经有数万用户感染，QQ、微博等社交平台上也是哀鸿遍野，后续威胁也不容小觑。
敲诈勒索病毒＋远程执行漏洞蠕虫传播的组合致使危险度剧增，对近期国内的网络安全形势一次的严峻考验。
事发后，微软和各大安全公司都第一时间跟进，更新旗下安全软件。金山毒霸也特别针对本次敲诈者蠕虫，给出了详细的安全防御方案、传播分析，以及其他安全建议。
我们也汇总了所有Windows系统版本的补丁，请大家务必尽快安装更新。
【传播感染背景】
本轮敲诈者蠕虫病毒传播主要包括Onion、WNCRY两大家族变种，首先在英国、俄罗斯等多个国家爆发，有多家企业、医疗机构的系统中招，损失非常惨重。
安全机构全球监测已经发现目前多达74个国家遭遇本次敲诈者蠕虫攻击。
从5月12日开始，国内的感染传播量也开始急剧增加，在多个高校和企业内部集中爆发并且愈演愈烈。
全球74个国家遭遇Onion、WNCRY敲诈者蠕虫感染攻击
24小时内监测到的WNCRY敲诈者蠕虫攻击次数超过10W+
您可能也感兴趣:
今天TechWeb带来的简直就是过年的最大福利，为你推荐几款超级好用的抢红包手机。有了这些手...
官方微博/微信
每日头条、业界资讯、热点资讯、八卦爆料，全天跟踪微博播报。各种爆料、内幕、花边、资讯一网打尽。百万互联网粉丝互动参与，TechWeb官方微博期待您的关注。
↑扫描二维码
想在手机上看科技资讯和科技八卦吗？想第一时间看独家爆料和深度报道吗？请关注TechWeb官方微信公众帐号：1.用手机扫左侧二维码；2.在添加朋友里，搜索关注TechWeb。
本周最推荐
又一款需要App来配合使用的体重秤。比较特别的是...
“苹果iPhone X首次使用AMOLED屏，签下约90亿美元OLED面板订单”的消息在网上传开后，直接点燃了AMOLED的热潮。这个被誉为“下一...
Copyright (C)
All rights reserved. 京ICP证060517号/京ICP备号 京公网安备76号
TechWeb公众号
机情秀公众号368被浏览211,551分享邀请回答mmbiz.qpic.cn/mmbiz_jpg/rkEa3BxqxGm2VeSv8dXUWrJdlY7ctbAcSibt1fibRM5OFP3up7U0A6p2qp0gaSSTMlvV2IsopJ762ia1GX1mLgPug/640?wx_fmt=jpeg&wx_lazy=1&tp=webp&wxfrom=5据BBC报道，全球多地爆发一种软件勒索病毒，只有缴纳高额赎金（有的要比特币），才能解密资料和数据。英国多家医院被这种病毒入侵，病人资料威胁外泄。俄罗斯，意大利，整个欧洲，包括中国很多高校、加油站等纷纷中招。全球被该病毒感染的国家与地区。在此，提醒广大windows用户：1、为计算机安装最新的安全补丁，微软已发布补丁MS17-010修复了“永恒之蓝”攻击的系统漏洞，请尽快安装此安全补丁，网址为；对于windows XP、2003等微软已不再提供安全更新的机器，可使用360“NSA武器库免疫工具”检测系统是否存在漏洞，并关闭受到漏洞影响的端口，可以避免遭到勒索软件等病毒的侵害。免疫工具下载地址：。2、关闭445、135、137、138、139端口，关闭网络共享。3、强化网络安全意识：不明链接不要点击，不明文件不要下载，不明邮件不要打开……4、尽快（今后定期）备份自己电脑中的重要文件资料到移动硬盘、U盘，备份完后脱机保存该磁盘。5、建议仍在使用windows xp，以 2003操作系统的用户尽快升级到 window 7/windows 10，或 windows 16操作系统。“勒索病毒”到底是什么？ 所谓“勒索病毒软件”，是黑客用来攻击用户计算机，对计算机内部的信息、资源进行加密，并以解密为交换条件对用户进行钱财勒索的恶意软件。它收取的赎金一般以“比特币”支付，目的在于隐蔽黑客身份。据了解，按照“汇率”，1比特币约等于582美元。
根据美国政府的统计，在美国国内，单单2016年，“勒索软件”攻击发生的频率就激增了300%，几乎每天都有4000件此类勒索案件发生，其危害程度绝对不容忽视。如今，“勒索软件”更将魔爪伸向移动设备，包括手机。它的阴影笼罩着人们普通生活、工作涉及到的一切。由于利用“勒索软件”攻击发生在缺乏完善监控的网络空间，对于案件的侦破有一定的难度，因此美国政府建议，针对勒索软件最好的防卫措施便是预防，并建议用户应采用“垃圾邮件过滤”、“防火墙”、杀毒软件、备份数据等方法来进行预防。如果计算机不幸被感染，应该尽快将切断任何网络及关机。
“勒索病毒”的黑手是怎么伸出的？ HKCERT （Hong Kong Computer Emergency Response Team Coordination Centre，香港电脑保安事故协调中心）指出，勒索病毒软件主要通过大量垃圾邮件及被入侵的网站快速散播。受害者往往是在打开垃圾电邮的附件时，或使用被入侵的网站和网上广告载入漏洞攻击包而受到感染的。目前已知的垃圾电邮标题包括:ATTN: Invoice J-[RANDOM NUMBERS]
Your booking [RANDOM NUMBERS] is confirmedPayment ACCEPTED [RANDOM NUMBERS]FW: Invoice 2016-M#[RANDOM NUMBER]
data:image/base64,iVBORw0KGgoAAAANSUhEUgAAAAEAAAABCAYAAAAfFcSJAAAADUlEQVQImWNgYGBgAAAABQABh6FO1AAAAABJRU5ErkJggg==这些恶意电邮中的附件，可能是已启动“宏”的微软 Office 档案，亦可能是包含 javascript (.js) 的 zip 压缩档案，或其他格式的档案。这些带有恶意程式或代码的附件通常是可以避过反恶意软件侦测的下载器。此外 HKCERT 亦发现部份受害者在访问被黑客入侵的网站时也会受到感染，这些网站主要是针对 Internet Explorer 的用户。data:image/base64,iVBORw0KGgoAAAANSUhEUgAAAAEAAAABCAYAAAAfFcSJAAAADUlEQVQImWNgYGBgAAAABQABh6FO1AAAAABJRU5ErkJggg==
受到感染后，勒索软件通常会将用户系统上所有的文档、邮件、数据库、源代码、图片、压缩文件等多种文件进行某种形式的加密操作，使之不可用，或者通过修改系统配置文件，干扰用户正常使用系统，使系统的可用性降低；在用户心急如焚想要开启文档时，勒索软件就会通过弹出窗口、对话框或生成文本文件等的方式，向用户发出勒索通知，要求用户向指定帐户汇款来获得解密文件的密码，或者获得恢复系统正常运行的方法。
勒索病毒背后巨大的利益驱动 勒索软件目前的目标主要集中在企业，如这次遭受大规模攻击的英国国立医院系统和中国高校系统。医院、学校和企业的运转牵涉到广大的人群，因而“勒索软件”对其带来的威胁尤其巨大，而所能索取的赎金往往也更高。2013年，一款勒索软件“密码锁”，在两个月之内入侵超过23.4万台微软“视窗”操作系统电脑，最终黑客“获利”2700万美元！除了要支付巨额赎金外，被勒索的对象也面临着其他方面的潜在威胁。如对医院而言，第一，会导致有关于病人的诊病历史和药物历史被加密，难以获取。第二，会影响到整个医院的运作，某些依赖电脑来控制的装置难以运转，其中包括手术室的预约和手术进行。这些威胁无疑非常不利于保障病人的安全。就其他企业而言，其运转同样会受到负面的影响，极可能导致不必要的经济损失。普通民众如何应对？ 1. 删除收到的可疑电邮，尤其是包含链接或附件的。
2. 部份微软Office档案会要求用户启动“宏”以观看其内容，对此类电邮附件必须提高警觉。3. 定期备份电脑上的档案。4. 确保更新电脑上的入侵防护保安软件。5. 保持更新操作系统及其他软件。6. 一旦受到感染，马上将受感染电脑从网络上及外置储存装置隔离。不要在清除恶意软件前开启任何档案。7. 不建议支付赎金。8. 下载软件使用手机、电脑的官方软件下载平台。已中毒用户恢复工具
360首发勒索蠕虫病毒文件恢复工具下载地址：
使用教程：选择加密文件所在驱动器扫描后，选择要恢复的文件 强烈建议您选择把恢复的文件保存在干净的移动硬盘或U盘上 360这套恢复工具恢复程度和文件数量、大小都有关，并不能保证%100成功。一般来说，中毒后越早恢复，成功的几率越高。简单分析一下它的工作机制↓其实这是一个“删除文件”恢复工具类似于“EasyRecovery”或“FinalData”它并不能直接恢复被“加密”的文件却可以从硬盘中恢复被删除的原始文件这样做之所以有效，是因为勒索软件运行原理如下↓读取源文件到内存，完成加密，写入硬盘删除源文件，保留加密文件注意：你的原始文件其实并没有直接被加密而是被黑客删除了被加密的只是副本SO
360这套工具，有可能帮你恢复被删的源文件这对被加密欲哭无泪的用户而言
不失为一根救命稻草！如果你不幸被加密了
赶紧下载碰碰运气吧0添加评论分享收藏感谢收起勒索病毒又来了 专家：陌生邮件不要轻易点_网易新闻
勒索病毒又来了 专家：陌生邮件不要轻易点
用微信扫码二维码
分享至好友和朋友圈
（原标题：席卷全球的勒索病毒又来了！专家：陌生邮件不要轻易点！）
席卷全球的勒索病毒又来了!外事儿注意到，这次最先受到攻击的是东欧国家乌克兰。周二，乌克兰政府、国家银行和大型电力公司都收到网络攻击的警告，乌克兰的机场和地铁也受到影响。同上次引发全球150多个国家和地区超过20万台电脑中招的Wanna
Cry勒索病毒类似，受到感染的电脑会收到英文通知，要求相当于300美元比特币的赎金。乌克兰国家银行称，“由于网络攻击，这些银行难以进行客户服务和银行操作”。乌克兰首都基辅的鲍里斯波尔机场也表示，“我们的IT部门在共同解决问题。由于这个状况，可能将有飞行延误，机场官方网站暂停工作。”很快，这一大型勒索病毒就席卷全球，英国、挪威、印度、俄罗斯、西班牙、法国等国都遭到勒索病毒的袭击，政府、银行、电力系统、通讯系统、企业以及机场都不同程度的受到了影响。福布斯新闻报道称，这次的肇事病毒不是Wanna Cry，而是一个叫Petya的新型病毒。卡巴斯基实验室的专家表示，“这一病毒的袭击规模与Wanna
Cry相比有增无减”。截至目前，这一新型勒索病毒对中国的影响并不大，仅有个别跨国外包公司受到影响。这一勒索病毒是怎么产生及传播的?会不会波及中国?对此，外事儿(微信ID：xjb-waishier)咨询了杭州安恒信息技术有限公司安全研究院院长吴卓群。外事儿：新病毒与之前的Wanna Cry勒索病毒有何不同?吴卓群：首先，被攻击的电脑受感染程度更深了。此前，Wanna Cry勒索病毒只会对文件进行加密，受到攻击的电脑可通过重启的方式恢复系统。这次的新病毒Petya除了对计算机中的文件进行加密之外，还对磁盘引导区做了加密处理。也就是说，被感染的计算机重启后也无法恢复系统，依然会看到告知支付赎金的界面。而且，新病毒的病毒工具包中还装有PsExec工具，可以对被感染电脑进行远程操作，并通过一些root口令(超级管理员密码)，直接在其他计算机上执行命令。此外，病毒的攻击方式也有所不同。上次的Wanna Cry勒索病毒必须首先在互联网传播，再攻击到内网。在这个基础上，这次的新病毒可能还利用了RTF富文本格式的漏洞进行攻击。新病毒将RTF富文本格式作为攻击的载体，将病毒通过电子邮件的方式发送到目标人员的邮箱中。安全意识不高的人，在点击了携带病毒的文件后，病毒就会到达内网，接下来就会通过同Wanna Cry一样的方式传播，导致内网大量的感染。外事儿：为何会在短时间内出现两次全球范围网络袭击?吴卓群：就目前的情况来看，两次勒索病毒袭击都是利用了“永恒之蓝”漏洞，通过这个漏洞，病毒的传播非常方便。虽然针对“永恒之蓝”漏洞的补丁早就出现，但依然有很多计算机没有及时打补丁。我们可以看到，两次病毒袭击的攻击对象都是政府机构、大型企业等内网。通常情况下，内网与外网是隔离状态，防范能力相对较弱。而且，这次病毒攻击是有目的性的，应该是特定人员对特定的目标进行了投递，比如给特定的人员发送了邮件，才会受到感染。根据目前的情况判断，新病毒的投递目标不在中国。
外事儿：我们该如何应对这次勒索病毒袭击?吴卓群：由于勒索者公布的邮箱已被查封，因此，现在即使交付了勒索金，也无法收取到恢复系统的秘钥，所以必须从防范病毒感染的角度入手。首先要修复“永恒之蓝”漏洞。国内大部分暴露在互联网上的服务器都打过补丁，但很多内网的计算机还没有打。对于打过补丁的电脑而言，病毒很难进行远程直接攻击。由于新病毒主要通过邮件进行投递，修复了漏洞的计算机仍然有可能感染病毒。对于收到的恶意邮件或不确定来源的邮件，尽量不要打开。
本文来源：外事儿
责任编辑：杨强_NN6027
用微信扫码二维码
分享至好友和朋友圈
加载更多新闻
热门产品:　　　
:　　　　　　　　
:　　　　　　　　　
热门影院：
阅读下一篇
用微信扫描二维码
分享至好友和朋友圈}