【科技】腾讯安全发布解决勒索病毒“WannaCry”最全攻略

本篇文章1872字，读完约5分钟

【每日科技网】

5月12日晚，勒索病毒wannacry感染事情爆发，全球范围近百个国家遭到大规模互联网攻击，被攻击者电脑中的文件被加密，被要求支付比特币以解密文件。在英国，至少有40家医疗机构内网被攻陷;而在我国，以教育网最为显著，导致部分教学系统无法正常运行，大量学生毕业论文被加密等。腾讯安全联合实验室云鼎实验室负责人董志强提醒广大客户，勒索病毒wannacry还在持续蔓延中，需要做好防护从业，谨防中招。

据了解，此次勒索病毒wannacry事情是黑客利用了去年被盗的美国国家安全局(nsa)自主设计的windows系统黑客工具eternal blue永恒之蓝，网上出现的关联攻击脚本和利用教程也以该漏洞为主。与以往相比最大的区别在于，勒索病毒结合了蠕虫的方法进行传递。

本次事情影响范围广泛，董志强对比事前防范、事后病毒清理和事后文件恢复三种情形向广大客户提出解决建议：

事前预防

1. 关闭漏洞端口，安装系统补丁

a) 可以使用一点免疫工具进行自动化的补丁安装和端口屏蔽，比如电脑管家勒索病毒免疫工具

b) 手动关闭端口，下载安装补丁

i. 补丁下载地址

ii. 利用防火墙添加规则屏蔽端口

1. 开始菜单-打开控制面板-选择windows防火墙

2. 如果防火墙没有开启，点击启动或关闭 windows防火墙启用防火墙后点击 明确

3. 点击 高级设置，然后左侧点击入站规则，再点击右侧 新建规则

4. 在打开窗口选择选择要创建的规则类型为端口，并点击下一步

5. 在特定本地端口处填入445并点击下一步，选择阻止连接，然后一直下一步，并给规则随意命名后点击完成即可。

注：不同系统可能有些差异，不过操作类似

iii. 腾讯云机器也可以通过配置安全组规则屏蔽445端口

1. 选择需要操作机器所属的安全组，点击规则

2. 直接点击快捷配置按钮封堵安全漏洞就可以自动添加规则

3. 该快捷按钮将会添加137、139、445三个端口的屏蔽规则，如果只想添加本次所影响的445端口，可以在留存前进行调整(如非业务需要，不建议调整)

2. 备份数据，安装安全软件，开启防护

a) 对关联重要文件使用离线备份(即采用u盘等方法)等方法进行备份

b) 部分电脑带有系统还原功能，可以在未遭受攻击之前设置系统还原点，这样即使遭受攻击之后可以还原系统，找回被加密的原文件，不过还原点时间到遭受攻击期间的文件和设置将会丢失

c) 目前，大部分安全软件已经具有该勒索软件的防护能力或者其他免疫能力等，可以安装这些安全软件，如腾讯电脑管家，开启实时防护，不使遭受攻击

d) 可以使用一点文件防护工具，进行文件的备份、防护，如电脑管家的文档守护者(电脑管家工具箱内可下载采用：工具箱-系统-文档守护者)

3. 树立灭活域名实现免疫

根据对已有样本拆析，勒索软件存在触发机制，如果可以成功访问，则电脑在中了勒索病毒后不会进行文件加密而直接退出。目前该域名已被安全人员注册，可以正常访问。

a) 普通客户在可以联网状态下，保证对该网址的可访问，则可以不使在遭受攻击后不使被加密(仅限于已知勒索病毒)

b) 公司客户可以通过在内网搭建web server，然后通过内网dns的方法将域名解析到web server ip的方法来实现免疫;通过该域名的访问情况也可以监控内网病毒感染的情况

事后病毒清理

1. 首先可以拔掉网线等方法隔离已遭受攻击电脑，不使感染其他机器

2. 病毒清理

关联安全软件(如电脑管家)的杀毒功能能直接查杀勒索软件，可以直接进行扫描清理(已隔离的机器可以通过u盘等方法下载离线包安装);

3. 也可以在备份了关联数据后直接进行系统重装，并在重装后参考事前预防进行预防操作

事后文件恢复

基于目前已知的情况，当前没有完美的文件恢复方案，可以通过以下的方法恢复部分文件：

1. 勒索软件带有恢复部分加密文件的功能，可以直接通过勒索软件恢复部分文件，不过该恢复有限;直接点击勒索软件界面上的decrypt可弹出恢复窗口，显示可免费恢复的文件列表，然后点击start即可恢复列表中文件

2. 根据对勒索病毒拆析，勒索软件在加密文件后会删除源文件，所以通过数据恢复软件可以有一定概率恢复已被加密的部分文件，可以采用第三方数据恢复工具尝试数据恢复，云上客户可直接联系腾讯安全云鼎实验室协助解决。

目前，腾讯安全人员正时刻关注勒索病毒wannacry快速发展情况，建议广大客户加强互联网安全意识，开启腾讯电脑管家对电脑进行实时保护，谨防勒索病毒侵扰。