如何應對勒索病毒

前言：勒索病毒WannaCry肆虐全球，利用Windows操作系統漏洞，因鏈式反應迅猛自動傳播，校園電腦、個人電腦、政府機關都是重災區。中毒電腦所有文檔被加密，將被勒索高達300美元以上。管家與你，一起防治！

防治指南：

I：天吶！原來正確開機可以防毒！

無論是在家庭、公司還是公共網絡，普通的網絡使用者，只要在開機前完成以下4件事，就可以完美避開勒索病毒。

1、開機前斷網

如果電腦插了網線，則先拔掉網線；如果是通過路由器連接wifi，則先關閉路由器。

2、備份重要文檔

將電腦中的重要文檔拷貝至移動硬盤或U盤備份。

3、下載免疫工具

在另一臺沒有重要文檔的電腦上，下載電腦管家“勒索病毒離線版免疫工具”，并將工具拷貝至安全的U盤。

下載鏈接：http://url.cn/496kcwV

4、漏洞修復

拷貝U盤里的“勒索病毒離線版免疫工具”到電腦上，雙擊運行，等待漏洞修復完成后重啟電腦，就可以正常上網。

【管理員用戶】

1、    禁止接入層交換機PC網段之間445端口訪問

2、    要求所有員工按照前文1-4步修復漏洞

3、可用“管理員助手”確認員工電腦漏洞是否修復

下載鏈接：http://url.cn/499YVsJ

命令行：MS_17_010_Scan.exe 192.168.164.128

II：哎呀，我已經開機了，怎么辦？

已經開機聯網的用戶，也不要慌張。電腦管家會實時保護您的電腦安全。

1、使用電腦管家-勒索病毒免疫工具，關閉漏洞端口并安裝系統補丁。

下載地址：http://url.cn/498da3o

2、開啟電腦管家實時防護，啟用文檔守護者功能，預防變種***。

開啟路徑：電腦管家工具箱 - 文檔守護者

III：啊！我中毒了！還有救嗎？

您可以使用文件恢復工具。已經中了病毒的用戶，使用電腦管家-文件恢復工具有一定概率恢復您的文檔。

下載地址：http://url.cn/499UAm7

事件背景：

I：勒索病毒是什么？

WannaCry病毒與其他同類勒索病毒不同，它是一種可自動感染其他電腦進行傳播的蠕蟲病毒，因鏈式反應而迅猛爆發。

這種勒索病毒主要感染Windows系統，它會利用加密技術鎖死文件，禁止用戶訪問，并以此勒索用戶

襲擊者聲稱，索要價值300美元以上的比特幣后方能解鎖文件。實際上，即使支付贖金，也未必能解鎖文件

II：為什么會被感染？

該勒索蠕蟲一旦***進入能連接公網的用戶機器，則會掃描內網和公網的ip，若被掃描到的ip打開了445端口，則會使用“EternalBlue”（藍之永恒）漏洞安裝后門。一旦執行后門，則會釋放一個名為WanaCrypt0r敲詐者病毒，從而加密用戶機器上所有的文檔文件，進行勒索。

III：為什么使用比特幣？

比特幣是一種點對點網絡支付系統和虛擬計價工具，通俗的說法是數字貨幣。比特幣在網絡犯罪分子之中很受歡迎，因為它是分散的、不受管制的，而且幾乎難以追蹤。

IV：歷史病毒介紹？

【案例一】偽裝成Chrome字體更新程序的Spora敲詐者***

簡介：用戶在Chrome內核瀏覽器中打開部分網站時出現亂碼，并提示需要下載字體更新程序并執行后才能正常訪問。一旦用戶點擊下載更新，植入其中的新型敲詐者病毒Spora便會自動運行，將用戶所有文件加密。

【案例二】只需一封郵件，便能鎖定電腦重要文件進行敲詐

簡介：從事互聯網工作的汪為（化名），正查看一封主題為Delivery Notification的郵件，打開其中的附件后，卻發現電腦上的文件被改成亂碼無法打開，桌面背景也被修改為敲詐提示文字。郵件附件是敲詐者***的常見傳播渠道。

【案例三】通過看圖軟件傳播的“縱情”敲詐者***

簡介：“縱情”國產敲詐者***最初植入在一款名為“識圖看看”的軟件中，隨后通過各大社交平臺、論壇及網盤瘋狂傳播。用戶一旦中招，電腦上所有文檔、文件的名稱都被修改，且無法正常打開，只能通過繳納贖金進行恢復。