被wannacry的變種攻擊應(yīng)該怎么辦？

WannaCry（又名Wanna Decryptor）及其變種病毒（WannaCry2.0）可以說(shuō)是目前為止最為兇險(xiǎn)的計(jì)算機(jī)病毒。病毒制作者在去年被盜的美國(guó)國(guó)家安全局（NSA）設(shè)計(jì)的Windows系統(tǒng)黑客工具Eternal Blue（永恒之藍(lán)）的基礎(chǔ)上進(jìn)行修改開(kāi)發(fā)，制造了一個(gè)一旦被感染導(dǎo)致文件被加密，便無(wú)法硬解的勒索工具。WannaCry會(huì)掃描電腦上的TCP445端口（Server Message Block/SMB），一旦發(fā)現(xiàn)該端口開(kāi)放，便以類似于蠕蟲(chóng)病毒的方式傳播，攻擊主機(jī)并加密主機(jī)上存儲(chǔ)的文件。然后顯示病毒控制者的勒索要求：以比特幣的形式支付贖金，方可解鎖文件，否則將銷毀全部數(shù)據(jù)。目前勒索的金額為300至600美元不等，但只能使用比特幣支付，所以又稱為比特幣勒索病毒。盡管微軟在今年3月份曾發(fā)出過(guò)緊急修復(fù)補(bǔ)丁，但WannaCry及其變種還是在近期在全球范圍內(nèi)瘋狂肆虐、迅速蔓延，截止目前已經(jīng)入侵150多個(gè)國(guó)家的數(shù)十萬(wàn)臺(tái)電腦，已勒索贖金超過(guò)7萬(wàn)美元。中國(guó)在數(shù)量上成為重災(zāi)區(qū)，超過(guò)60所高校受到危害，部分實(shí)驗(yàn)數(shù)據(jù)、論文等被加密。（5月16日中國(guó)教育和科研計(jì)算機(jī)網(wǎng)發(fā)布聲明指出，部分安全廠商“出于自己的商業(yè)目的，連續(xù)發(fā)表不實(shí)言論和所謂技術(shù)報(bào)告，或無(wú)中生有，捏造事實(shí)，或惡意放大該病毒的影響，主要包括“中國(guó)此次遭受攻擊的主要是教育網(wǎng)用戶”，原因是“教育網(wǎng)節(jié)點(diǎn)之間對(duì)445端口訪問(wèn)控制不夠嚴(yán)格，造成病毒在校園網(wǎng)和教育科研網(wǎng)中大量傳播，呈現(xiàn)爆發(fā)的態(tài)勢(shì)””等言論不實(shí)，并公布了受感染的高校情況）。據(jù)malwaretech.com發(fā)布的實(shí)時(shí)監(jiān)測(cè)數(shù)據(jù)，目前被感染的計(jì)算機(jī)數(shù)量超過(guò)16萬(wàn)臺(tái)

中國(guó)之所以在數(shù)量上成為重災(zāi)區(qū)，主要原因有：（1）國(guó)人使用Windows系統(tǒng)，尤其是“盜 版”Windows系統(tǒng)用戶占比很高，而這些系統(tǒng)往往沒(méi)有自動(dòng)升級(jí)功能或沒(méi)有開(kāi)啟該功能；（2）國(guó)人的防范意識(shí)不高，特別是對(duì)重要文件沒(méi)有高效、合理的備份、保護(hù)方案（比如很多人不知道使用網(wǎng)盤）；（3）國(guó)人過(guò)于依賴于一些所謂“安全衛(wèi)士”等工具，造成了信息安全的慵懶心態(tài)，以為只要安裝了某大品牌的衛(wèi)士、或者裝多幾個(gè)衛(wèi)士，電腦便堅(jiān)不可摧。令人振奮（沮喪）的是，這個(gè)病毒剛在國(guó)內(nèi)蔓延，某個(gè)最不要臉的安全公司便立即發(fā)出了安全警告、不失時(shí)機(jī)地推出了“免疫工具”，卻一如既往地捆綁了其流氓特性萬(wàn)分鮮明的安全衛(wèi)士。這本來(lái)也不算什么，公司推銷自己的產(chǎn)品見(jiàn)縫插針也屬正常，但是該公司倡導(dǎo)的解決方案和推出的免疫工具卻幾乎成了XX安全中心、應(yīng)急指揮中心、信息管理部門、包括電信運(yùn)營(yíng)商發(fā)布的官方推薦解決方案，這就有些堂而皇之，令人匪夷所思了：難道花1億元，不但能買下大褲衩的廣告位，還能買斷這些技術(shù)部門的官方支持？WannaCry及其變種其實(shí)僅僅是利用了Windows系統(tǒng)的一個(gè)漏洞（有可能變種出多個(gè)）、準(zhǔn)確地說(shuō)是利用了Windows本來(lái)不應(yīng)該開(kāi)放的一個(gè)端口（TCP 445）來(lái)傳播、攻擊的（也就是說(shuō)，如果你用的是Apple Mac、Linux系統(tǒng)，則完全不用擔(dān)心這個(gè)病毒，事實(shí)上，針對(duì)Linux和Mac的病毒真的很少），預(yù)防的方案非常簡(jiǎn)單，而且高效、實(shí)用。如果你的電腦已經(jīng)被感染了（如下圖），那么沒(méi)有別的辦法，乖乖交贖金讓黑客幫你解鎖吧。如果你的文件不值錢，或者沒(méi)有那么多錢交，或者咽不下這口惡氣不愿花錢，那么只能格式化硬盤重新安裝系統(tǒng)。（聽(tīng)說(shuō)今天有人成功向黑客討價(jià)還價(jià)還成功了，估計(jì)那么走運(yùn)的人不會(huì)多，別抱希望了。）

如果你的電腦還沒(méi)有被感染，那么很簡(jiǎn)單，先把網(wǎng)絡(luò)斷開(kāi)（拔掉網(wǎng)線或關(guān)掉WiFi），并執(zhí)行以下操作即可。（1）在桌面上找到“網(wǎng)絡(luò)”并在該圖標(biāo)上點(diǎn)擊鼠標(biāo)右鍵，選擇彈出的“屬性”。如果你的電腦桌面上沒(méi)有找到“網(wǎng)絡(luò)”圖標(biāo)，則在右下角任務(wù)欄里找找“連接”然后找到“網(wǎng)絡(luò)設(shè)置”，或者從開(kāi)始菜單打開(kāi)“控制面板”找到-->控制面板\網(wǎng)絡(luò)和 Internet\網(wǎng)絡(luò)和共享中心。

步驟1

（2）在“網(wǎng)絡(luò)和共享中心”窗口左側(cè)找到“Windows防火墻”，并打開(kāi)。

步驟2

（3）先確認(rèn)防火墻是開(kāi)啟狀態(tài)（如圖片中的“啟用”）【如果沒(méi)有開(kāi)啟，通知點(diǎn)擊左側(cè)的“啟用或關(guān)閉Windows防火墻”來(lái)開(kāi)啟】，然后點(diǎn)擊左側(cè)的“高級(jí)設(shè)置”。

步驟3

（4）在“高級(jí)安全Windows防火墻”窗口，點(diǎn)擊左側(cè)的“入站規(guī)則”，然后在右側(cè)點(diǎn)擊“新建規(guī)則”，在彈出的對(duì)話框里，點(diǎn)擊“端口”單選框，并點(diǎn)擊“下一步”。

步驟4

（5）選擇TCP，并在第二選項(xiàng)里選擇“特定本地端口”，并在后面的文本框里輸入445，然后點(diǎn)擊“下一步”。

步驟5

（6）選中“阻止連接”單選項(xiàng)，并點(diǎn)擊“下一步”。

步驟6

（7）保持默認(rèn)選中的“域”、“專用”和“公用”三個(gè)復(fù)選框，并點(diǎn)擊“下一步”。

步驟7

（8）為這個(gè)新規(guī)則取個(gè)名字，例如“445TCP”，描述可以不寫(xiě)，然后點(diǎn)擊“完成”。

步驟8

（9）為了防止變種利用其它可能使用的端口，重復(fù)上面的4-8步驟，把123、137、138、139商品均阻止連接。

步驟9

（10）最后，也是最重要的一步，回到“高級(jí)Windows防火墻”窗口，左側(cè)點(diǎn)擊“入站規(guī)則”，在中間部分通過(guò)點(diǎn)擊“本地端口”，找到端口為445的項(xiàng)目，除了剛才新建那個(gè)項(xiàng)，其它的全部選中，然后刪除。

步驟10

做最后一步，主要是為了把以前可能設(shè)置為允許使用445端口連接的規(guī)則去掉，保證該端口不被使用。在目前沒(méi)有更新變種的情況下，使用以上方法就足以應(yīng)付WannaCry了，完全沒(méi)有必要下載安裝某衛(wèi)士的免疫工具，更沒(méi)有必要安裝多個(gè)衛(wèi)士，那只能讓你的電腦更慢、更亂、更不安全。這次攻擊，其實(shí)是云盤提供商的一個(gè)絕佳營(yíng)銷機(jī)會(huì)：如果我們習(xí)慣地把重要文件實(shí)時(shí)備份到云盤，那么根本就不用擔(dān)心這個(gè)病毒了，云服務(wù)的安全性是有足夠保障的。過(guò)去兩年了，國(guó)內(nèi)曾經(jīng)瘋狂一時(shí)的云盤、網(wǎng)盤紛紛停止服務(wù)或者壓縮空間，但免費(fèi)的云盤還是有的，快快用起來(lái)吧，別再拿個(gè)U盤插來(lái)插去了，真沒(méi)意思。