如何防范勒索病毒

　　勒索病毒防范指南

　中国此次遭受攻击的主要是教育网用户。这种勒索软件利用微软“视窗”操作系统445端口的漏洞，国内一些网络运营商此前已封掉了该端口，但教育网并未设限。微软此前已发布相关漏洞补丁，但一些没来得及更新的电脑就会被攻击。

　电脑被这种勒索软件感染后，其中文件会被加密，支付黑客所要求赎金后才能解密恢复。据悉，勒索金额最高达5个比特币，目前价值人民币5万多元。

　勒索软件在全球多国的猖獗行为也“惹毛”了微软，据该公司官网消息，微软专门为已经不受支持的Windows XP，Windows 8和Windows Server 2003版本推出了特别版补丁。

　未来一周仍然是企业办公电脑的“危险期”。“周一又会有很多办公电脑重新开工，估计又会出现一轮爆发的情况，但是未来随着大家都开始给电脑打补丁、用工具杀毒，这种病毒的影响会逐步减弱。”

　应对方法：

　1、数据备份和恢复措施是发生被勒索事件挽回损失的重要工作。建议各位老师及时对重要文件数据做好异地备份或云备份，以防感染病毒造成损失。

　2、确保所使用电脑防火墙处于打开状态。

　3、不要轻易打开不明邮件或链接。

　临时解决方案：

　开启系统防火墙

　利用系统防火墙高级设置阻止向445端口进行连接(该操作会影响使用445端口的服务)

　打开系统自动更新，并检测更新进行安装

　360公司发布的“比特币勒索病毒”免疫工具下载地址：http://dl360safecom/nsa/nsatoolexe

　小伙伴们，我们要对不明链接、文件和邮件要提高警惕，加强防范。

1、为计算机安装最新的安全补丁，微软已发布补丁MS17-010修复了“永恒之蓝”攻击的系统漏洞，请尽快安装此安全补丁；对于windows XP、2003等微软已不再提供安全更新的机器，可使用360“NSA武器库免疫工具”检测系统是否存在漏洞，并关闭受到漏洞影响的端口，可以避免遭到勒索软件等病毒的侵害。

2、关闭445、135、137、138、139端口，关闭网络共享。

3、强化网络安全意识：不明链接不要点击，不明文件不要下载，不明邮件不要打开……

4、尽快（今后定期）备份自己电脑中的重要文件资料到移动硬盘、U盘，备份完后脱机保存该磁盘。

5、建议仍在使用windows xp， windows 2003操作系统的用户尽快升级到 window 7/windows 10，或 windows 2008/2012/2016操作系统。

关闭445端口，及时安装发布的系统补丁，然后安装防护类的软件。

Windows用户可以通过格式化所有硬盘从而彻底在设备上消除wanacry勒索病毒。

个人用户可以联系国内外安全厂商例如:奇虎360，金山毒霸，卡巴斯基，麦克菲尔，腾讯安全管家等安全中心寻求协助恢复重要数据。

利用“勒索病毒免疫工具”进行修复。用户通过其他电脑下载腾讯电脑管家“勒索病毒免疫工具”离线版，并将文件拷贝至安全、无毒的U盘；再将指定电脑在关闭WiFi，拔掉网线，断网状态下开机，并尽快备份重要文件；然后通过U盘使用“勒索病毒免疫工具”离线版，进行一键修复漏洞；联网即可正常使用电脑。

利用“文件恢复工具”进行恢复。已经中了病毒的用户，可以使用电脑管家-文件恢复工具进行文件恢复，有一定概率恢复您的文档。

注意:也可持续关注相关安全厂商的处理办法，等待更加优越的完美解锁。

Globelmposter勒索病毒防范提示

经安全专家分析，存在弱口令且Windows远程桌面服务（3389端口）暴露在互联网上、未做好内网安全隔离、Windows服务器或终端未部署或未及时更新杀毒软件等漏洞和风险的信息系统更容易遭受该病毒侵害。

防范提示：

一、及时加强终端、服务器防护。所有服务器、终端应强行实施复杂密码策略，杜绝弱口令；安装杀毒软件、终端安全管理软件并及时更新病毒库；及时安装补丁；服务器开启关键日志收集功能，为安全事件的追溯提供基础。

二、严格控制端口管理。尽量关闭不必要的文件共享权限以及关闭不必要的端口，如：445、135、139、3389；建议关闭远程桌面协议。

三、及时进行个人数据备份。

四、及时上报事件。

关于ApacheTomcat存在绕过漏洞的安全提示

近日，Apache发布了Tomcat存在2个安全限制绕过漏洞的安全公告。漏洞存在于7到9版本，存在漏洞的系统面临被恶意攻击者访问到目标系统表面上受限制的WEB应用程序资源的可能，直接影响到系统的安全性，此次漏洞被官方定为高危级别。具体漏洞情况、影响范围以及网络安全工作提示汇总如下：

一、影响范围

该漏洞影响的范围包括：

9版本（900M1到904）

8版本（850到8527, 800RC1到8049）

7版本（700到7084）

二、安全加固提示

1、及时更新Apache版本，按照目前官方已提供安全更新版本下载（漏洞修复后版本）：9版本（905以后版本）；8版本（8528以后版本）；8版本（8050以后版本）；7版本（7085以后版本）。

https://tomcatapaceorg/download-70cgi

https://tomcatapaceorg/download-80cgi

https://tomcatapaceorg/download-90cgi

2、建议使用该产品的单位通过部署安全防护设备及时防御。

企业和个人防御勒索病毒:

1限制管理员权限。Petya勒索病毒的运行需要管理员权限，企业网管可以通过严格审查限制管理员权限的方式减少攻击面，个人用户可以考虑使用非管理员权限的普通账号登陆进行日常操作。

2关闭系统崩溃重启。Petya勒索病毒的“发病”需要系统重启，因此想办法避免系统重启也能有效防御Petya并争取漏洞修补或者文件抢救时间。大多数Windows系统都被设置为崩溃自动重启，用户可以在系统中手关闭此设置。只要系统不重新启动引导，病毒就没有机会加密MFT主文件分区表，用户就有机会备份磁盘中的文件（微软官方教程）。

3立刻安装微软针对SMB漏洞的MS17-010补丁。与防范Wannacry病毒一样禁用SMBv1。但是未经确实的报告显示，即使是更新补丁和杀毒软件的Windows 10（对Wannacry免疫），也会被Petya勒索病毒感染，因此仅仅更新补丁和杀毒软件并不能高枕无忧。

4立刻警告并培训终端用户加强对钓鱼邮件附件的防范。不要点击未知链接和附件。这一条也许是最重要的。

5立即更新杀毒软件。目前主流杀毒软件都已经发布了针对Petya的病毒样本更新。

6备份重要数据。重要文件进行本地磁盘冷存储备份，以及云存储备份。

7接种Petya勒索病毒疫苗。目前安全专家发现Petya/NotPetya/Petna等勒索病毒在运行时会扫描硬盘中的一个名为Perfc的文件，如果该文件存在，则攻击终止。因此如果用户自己手工在对应目录（C:\windows）下添加同名文件，就可实现对上述勒索病毒的免疫。这个文件也被称为疫苗。添加方法也非常简单：

首先在windows文件夹选项中打开“显示隐藏文件和后缀名”，然后在C:\windows目录下找到notepadexe这个文件（其他文件也可以的，以下流程相同），拷贝复制到同目录重命名为perfc（无后缀名），并在文件属性中将其设置为“只读”，至此大功告成。就这么简单，对于熟悉windows操作的用户来说，整个疫苗接种只需要一两分钟。用户还可以重复两次上述流程，生成perfcdat和perfcdll两个文件，据说可以增加保险系数。

“疫苗接种法”有两点注意事项：1这种方法需要每台电脑逐一操作，企业网管或安全部门可以制作一个批处理文件来提高接种效率。2此种方法未必能够防范发酵中的其他勒索病毒变种，因此前述其他防范措施依然不可省略。

7中招也不要支付赎金。Petyawrap的赎金接收邮箱已经关闭(根据Petya赎金实时统计目前只收到36比特币)，而且也没有C&C命令控制服务器，这意味着Petyawrap受害者已经没有办法支付赎金解密文件。有业界人士认为这种不要赎金直接“撕票”的做法背后另有企图。