勒索病毒发生变种 已感染病毒机器请立即断网 这样设置电脑可杜绝感染勒索病毒

　　从12日开始，一款名为“想解密”，又称“想哭”的勒索病毒在全球范围内疯狂传播。欧洲刑警组织14日称，已经有上百个国家和地区，数十万台电脑被感染，而后需要支付高额赎金，才能解锁计算机中被感染的文件。我国部分高校和大型企业的内网也遭受到病毒的波及。

　　勒索病毒，从发现到大面积传播，仅仅用了几个小时，其中高校成为了重灾区。那么，这款病毒是一个什么样的病毒，如何传播，何以造成如此严重的后果呢？

　　【记者现场演示】

　　现在我们就见证一下它的威力到底有多大，我身后这台电脑就有一个勒索者蠕虫病毒样本就是这一个，桌面上还有一些照片文件我们先打开一个照片，是可以正常打开的现在我们请技术人员激活病毒，已经双击了，病毒被激活了，现在还没有反应，出现了很多的附件，现在黑屏了，这就算中毒了吗？

　　技术人员：“对。”

　　我们打开一个照片文档

　　技术人员：“现在已经打不开了。”

　　被感染蠕虫病毒后，不到十秒，电脑里的所有用户文件全部被加密无法打开。

　　广西师范大学的王刘娟5月8日上网查询时，打开了一个陌生的附件，她很快发现，自己计算机里包括研究生论文在内的所有文件，有一些打开出现乱码，有的文件根本就打不开了。

　　据广西师范大学设计学院2014级研究生王刘娟介绍说，杀毒、修复系统和重启电脑之后，发现所有的软件、所有的文件都被加密了。

　　有类似遭遇的人不止她一个，国家计算机病毒应急处理中心的工程师告诉记者，这个名为“想哭”的病毒在加密了受害者的文件后会进行勒索，让受害者将价值300美元以上的比特币转到黑客的账户上，交了赎金才能解锁文件，还对交付提出了时间限制。

　　国家计算机病毒应急处理中心工程师王文一认为，它的承诺是三天，以后赎金翻倍，一周以后你就没有机会再进行解密了，相当于你失去了文件。

　　网络安全专家孙晓骏说，这个病毒利用了一个漏洞，但是我们用户没有打补丁的习惯，没有及时修复这次漏洞，这个病毒样本通过漏洞攻击了非常多的电脑。

　　这款勒索蠕虫病毒是针对微软的永恒之蓝的漏洞进行传播和攻击的。一旦电脑感染该病毒，被感染电脑会主动对局域网内的其他电脑进行随机攻击，局域网内没有修补漏洞的电脑理论上将无一幸免的感染该病毒。而该漏洞微软在今年3月份已经发布补丁，对漏洞进行了修复。

　　今日开机需谨慎 先断网自查

　　工作人员建议，计算机使用者要谨慎打开来路不明的链接和文件，并及时备份重要的数据和文件，面对周一工作日带来的大范围开机，需要及时断网自查。

　　国家计算机病毒应急处理中心工程师王文一说，我们需要先断网，断网之后对我们的机器进行自查，使用咱们网上的免疫工具，或者漏洞查询工具，查找看它是否存在漏洞，打好补丁。

　　除此之外，对于在内网中经常使用的U盘和移动硬盘也要进行杀毒，确保病毒不在内网中进行扩散。

　　专家：不建议支付赎金解锁文件

　　在病毒爆发后，国家计算机病毒应急处理中心的工作人员已经对病毒进行了研究，目前针对该病毒虽然可以做到查杀，但被加密的文件暂时不能做到解密恢复。尽管支付赎金后文件会被解密，但增加了个人信息曝露的风险。

　　国家计算机病毒应急处理中心工程师王文一说，如果咱们支付了赎金，可能会记录咱们的个人信息，包括咱们的账户等等个人信息，这些信息被他们利用之后，可能会变成二次进行攻击的目标。

　　监测发现，在全球范围内爆发的WannaCry 勒索病毒出现了变种：WannaCry 2.0。

　　与之前版本的不同是，这个变种取消了Kill Switch，不能通过注册某个域名来关闭变种勒索病毒的传播，该变种传播速度可能会更快。

　　请广大网民尽快升级安装Windows操作系统相关补丁，已感染病毒机器请立即断网，避免进一步传播感染。

　　文丨新华社、国家网络与信息安全通报中心、安天安全研究与应急处理中心

　　此前通报

　　国家网络与信息安全信息通报中心更早之前紧急通报称：2017年5月12日20时左右，新型“蠕虫”式勒索病毒爆发，目前已有100多个国家和地区的数万台电脑遭该勒索病毒感染，我国部分Windows系列操作系统用户已经遭到感染。

　　请广大计算机用户尽快升级安装补丁，地址为：https://technet.microsoft.com/zh-cn/library/security/MS17-010.aspx。

　　Windows 2003和XP没有官方补丁，相关用户可打开并启用Windows防火墙，进入"高级设置"，禁用"文件和打印机共享"设置；或启用个人防火墙关闭445以及135、137、138、139等高风险端口。

　　已感染病毒机器请立即断网，避免进一步传播感染。

　　分析：勒索软件的威胁远未消失

　　网络安全专家指出，勒索软件网络攻击大规模爆发于北京时间12日晚8点左右，当时国内有大量机构和企业的网络节点已关机，因此15日开机将面临安全考验。许多重要的计算机系统处于内网环境，无法访问前述域名，并且也可能无法及时更新安全补丁，因此仍可能面临较大风险。

　　网络安全专家建议，用户要断网开机，即先拔掉网线再开机，这样基本可以避免被勒索软件感染。开机后应尽快想办法打上安全补丁，或安装各家网络安全公司针对此事推出的防御工具，才可以联网。

　　被该勒索软件入侵后，用户主机系统内的照片、图片、文档、音频、视频等几乎所有类型的文件都将被加密，加密文件的后缀名被统一修改为．WNCRY，并会在桌面弹出勒索对话框，要求受害者支付价值数百美元的比特币到攻击者的比特币钱包，且赎金金额还会随着时间的推移而增加。

　　国家互联网应急中心博士、工程师韩志辉表示，目前，安全业界暂未能有效破除该勒索软件的恶意加密行为。用户主机一旦被勒索软件渗透，只能通过专杀工具或重装操作系统的方式来清除勒索软件，但用户重要数据文件不能完全恢复。

　　建议解决方案

　　除了国家网络与信息安全信息通报中心的建议外，我们帮您整理了一份临时解决方案，现在就手把手教你：如何设置电脑，防范勒索病毒。

　　临时解决方案：

　　开启系统防火墙

　　利用系统防火墙高级设置阻止向445端口进行连接（该操作会影响使用445端口的服务）

　　打开系统自动更新，并检测更新进行安装

　　360公司发布的“比特币勒索病毒”免疫工具下载地址

　　Win7、Win8、Win10的处理流程

　　1、打开控制面板-系统与安全-Windows防火墙，点击左侧启动或关闭Windows防火墙

　　2、选择启动防火墙，并点击确定

　　3、点击高级设置

　　4、点击入站规则，新建规则

　　5、选择端口，下一步

　　6、特定本地端口，输入445，下一步

　　7、选择阻止连接，下一步

　　8、配置文件，全选，下一步　

　　9、名称，可以任意输入，完成即可。

　　XP系统的处理流程

　　1、依次打开控制面板，安全中心，Windows防火墙，选择启用

　　2、点击开始，运行，输入cmd，确定执行下面三条命令

　　net stop rdr

　　net stop srv

　　net stop netbt

　　3、由于微软已经不再为XP系统提供系统更新，建议用户尽快升级到高版本系统。

　　敲诈者木马正处于传播期，被病毒感染上锁的电脑还无法解锁。建议尽快备份电脑中的重要文件资料到移动硬盘、U 盘，备份完后脱机保存该磁盘，同时对于不明链接、文件和邮件要提高警惕，加强防范。