浅谈勒索病的防范与对策

李思佳

摘要：在计算机网络出现和发展打破了人类生活的地域界线，加速了人类文明的发展，然而利用计算机网络进行犯罪的现象也相伴而生。上周爆发的勒索病毒让企业和机构人心惶惶，而作为主要受害平台的Windows自然也成为被质疑对象。本人仅仅针对勒索病毒的防范和被攻击的数据恢复，立足于普通用户的立场，提出自己的做法。

关键词：计算机；网络病毒；防范；数据恢复

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2017）17-0049-02

什么事计算机网络，所谓计算机网络就是两台或者两台以上的计算机用直接或者通过电话线的方式连接起来，用来实现信息和资源共享的系统。计算机网络病毒，就是黑客在这个虚拟世界中的变形，是指以破坏网络系统或敲诈为目的，利用计算机通过互联网采用攻击性软件传播，达到破坏家算计数据的方法，敲诈财物的行为。

1计算机网络病毒的构成特征

所谓计算机病毒，其实它也是一个程序，一段可执行的代码。和生物病毒差不多，计算机病毒有特殊的复制能力。计算机病毒可以很快地蔓延，蔓延的速度惊人，并且特别难以清除。它们能把它们自己附着在各种类型的文件上。当文件被复制或者从一个用户传送到另一个用户时，它们就会随着文件一起蔓延开来，从而肆无忌惮的侵蚀着你的电脑。

1.1计算机病毒在什么情况下出现

计算机病毒的产生是计算机技术和以计算机为核心的社会信息化进程发展到一定阶段的必然产物。它产生的背景是：

①算机病毒是计算机犯罪的一种新的繁衍形式，计算机病毒是高技术犯罪，具有瞬时性、动态性和随机性。不易取证，风险小破坏大，从而刺激了犯罪意识和犯罪活动。是某些人恶作剧和暴富心态在计算机应用领域的表现。

②计算机软硬件产品的微弱性是根本的技术原因

计算机是电子产品。数据从输入、存储、处理、输出等环节，易误人、篡改、丢失、作假和破坏；程序易被删除、改写；计算机软件设计的手工方式，效率低下且生产周期长；人们至今没有办法事先了解一个程序有没有错误，只能在运行中发现、修改错误，并不知道还有多少错误和缺陷隐藏在其中。这些脆弱性就为病毒的入侵提供了方便。

③指在攻击和摧毁计算机信息系统和计算机系统而制造的病毒一就是蓄意进行破坏。例如1987年底出现在以色列耶路撒冷伯莱大学的犹太人病毒，就是员工在工作中受挫或被辞退是故意制造的。它针对性强，破坏性大，产生于内部，防不胜防。

④用于研究或有益目的而设计的程序，由于某种原因失去控制或产生了意想不到的效果。

2计算机网络勒索病毒的防范

勒索病毒是近年来增长迅速且危害巨大的网络安全威胁之一，是不法分子通过加密文件，锁屏等方式劫持用户文件等资产或资源，并以此敲诈用户钱财的一种恶意软件。不法分子通过发送邮件等网络钓鱼方式，向受害电脑或服务器植入敲诈病毒来加密硬盘上的文档甚至整个硬盘，随后向受害企业或者个人索要数额不等的赎金（一般要求以比特币方式支付）后才予以解密。

2.1如何设置电脑，防范勒索病毒

2.1.1计算机用户升级安装补丁

地址：https：∥technet.microsoft.com/zh-cn/library/security/MSl7-010.aspx。

Windows2003和XP没有官方补丁，相关用户可打开并启用Windows防火墙，进入“高级设置”，禁用“文件和打印机共享”设置；或者启用个人防火墙关闭445以及135、137、138、139等高风险端口。

已感染病毒的机器请立即断网，避免进一步传播感染。

2.1.2系统设置

①开启系统防火墙

利用系统防火墙高级设置阻止向445端口进行连接（该操作会影响使用445端口的服务）

打开系统自动更新，并检测更新进行安装

360公司发布的“比特币勒索病毒”免疫工具下载地址：http：/dl.360safe.condnsa/nsatool.exe

②Win7、Win8、WinlO的处理流程

打开控制面板一系统与安全Windows防火墙，点击左侧启动或关闭Windows防火墙

选择启动防火墙，并点击确定

③点击高级设置

④点击入站规则，新建规则

⑤选择端口，下一步

⑥特定本地端口，输入445，下一步

⑦选择阻止连接，下一步

⑧配置文件，全选，下一步

⑨名称，可以任意输入，完成即可。

2.1.3 XP系统的处理流程

①依次打开控制面板，安全中心，Windows防火墙，选择启用

②点击开始，运行，输入cmd，确定执行下面三条命令

net stop rdr

Net stop sry

Net stop netbt

③由于微软已经不再为XP系统提供系统更新，建议用户尽快升级到最高版本系统。勒索木马正处于传播期，被病毒感染上锁的电脑还无法解锁。建议尽快备份电脑中的重要文件资料到移动硬盘、u盘，备份完后脱机保存该磁盘，同事对于不明链接、文件和邮件要提高警惕，加强防范。

中了敲诈者病毒解决的办法。

360安全卫士西西专區：http：∥m.cr173.com/k/360safe

360安全卫士2016最新版：http：∥www.cr173.com/soft/3188.html

360手机助手2016版：http：∥m.er173.com/x/41712

3计算机网络勒索病毒的危害结果

今年以来，敲诈者病毒呈现高发态势，360互联网安全中心检测到，仅上半年，共截获电脑端新增敲诈者病毒变种74种，涉及PE样本40000多个，涉及非PE文件10000多个，全国至少有580000多台用户电脑遭到了敲诈者病毒攻击，且多达50000多台电脑最终感染敲诈者病毒，平均每天有约300台国内电脑感染勒索木马。

3.1计算机网络勒索病毒的对策

5月12日晚，全球爆发大规模勒索病毒感染事件。经过初步调查，此类勒索病毒传播扩散利用了基于445端口的SMB漏洞。此次远程利用代码和4月14日黑客组织Shadow Brokers（影子经纪人）公布的Equation Group（方程式组织）使用黑客工具包有关。其中ETERNALBLUE模块是SMB漏洞利用程序，可以攻击开放了445端口的Windows机器，实现远程命令执行。微软在今年3月份发布的MS17-010补丁，修复了ETERNAL-BLUE所利用的SMB漏洞。目前基于ETERNALBLUES的多种攻击代码已经在互联网上广泛流传，出了捆绑勒索病毒，还发现有植入远程控制木马等其他多种远程利用方式。此次利用的SMB漏洞影响以下未自动更新的操作系统：

①Windows XP/Windows 2000/Windows 2003

②Windows Vista/Windows Server 2008/Windows Server2008R2

③windows 7/Windows8/Windows 10

④Windows Server 2012/Windows Server 2012 R2/WindowsServer2016

3.1.1企业局域网络防范措施

①企业网出口防火墙禁止外网对企业网络135/137/139/445端口的链接。

②企业网核心和汇聚交换机的所有VLAN禁止135/137/139/445端口的连接。

3.1.2个人用户预防措施

①及时升级操作系统到Windows最新版本，并及时更新安全补丁。

②定期进行重要文件的非本地备份。

③停止使用Windows XP、Windows2003等微软已不再提供安全更新的操作系统。

④安装并及时更新杀毒软件。

⑤不要轻易打开来源不明的电子邮件。

⑥切勿轻信网上所谓的有偿解密方法、渠道，小心网络诈骗分子利用这次事件招摇撞骗。

⑦Windows 7、Windows 8和Windows 10启动防火墙关闭445端口，具体操作如下：

A.打开控制面板-系统与安全-Windows防火墙，点击左侧启动或关闭Windows防火墙；

B.选择启动防火墙，并点击确定；

C.点击高级设置；

D.点击人站规则，新建规则；

E.选择端口，下一步；

F.特定本地端口，输入445，下一步；

G.选择阻止连接，下一步；

H.配置文件，全选，下一步；

I.名称可以任意输入，完成即可。

J.XP系统也可以采用如下处理流程进行应急预防：依次打开控制面板，安全中心，Windows防火墙，选择启用；然后点击开始，运行，输入cmd，執行以下命令：

1）net stop rdr

2）net stop srv

3）Net stop netbt