蠕虫勒索病毒来袭 吉林省网信办等四部门教你怎么办

　　自5月12日20时左右开始，全球爆发大规模蠕虫勒索病毒（Wannacry、永恒之蓝、Onion、WNCRY）感染事件。现该病毒仍在持续传播。 

　　自5月12日20时左右开始，全球爆发大规模蠕虫勒索病毒（Wannacry、永恒之蓝、Onion、WNCRY）感染事件。现该病毒仍在持续传播。

　　该病毒软件造成大量服务器和个人计算机蓝屏、重启、被远程控制等多种表现形式，甚至被安装勒索软件，磁盘文件会被病毒加密为.onion或者.WNCRY后缀，用户只有支付高额赎金后才能解密恢复文件，对个人文件造成严重损失。现有技术手段暂时无法对已感染该病毒的计算机文件进行完全恢复。

　　该病毒软件利用微软Windows操作系统的SMB漏洞通过开放的445号端口进行攻击及传播。该病毒软件无需用户进行任何操作，只要用户开机上网，黑客就可能在电脑和服务器中植入该病毒软件（漏洞详细信息参见Microsoft 安全公告MS17-010,https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx）。

　　蠕虫勒索病毒来袭，该怎么办？吉林省网信办、吉林省工信厅、吉林省公安厅、吉林省通信管理局四部门为广大互联网用户提出如下建议：

　　一、已感染计算机

　　1、断开已经感染的主机系统的网络连接，防止病毒进一步扩散。

　　2、对于文件未被锁定的计算机，使用蠕虫勒索软件专杀工具、蠕虫勒索软件免疫工具对系统进行病毒查杀。同时进行漏洞修复工作。

　　3、对于文件已被加密锁定的计算机，现有技术无法对其进行解密。对于存在重要文件的电脑暂时停止使用，待后续有解决方案时对文件进行恢复。对于无重要文件的电脑可格式化整个磁盘，重新安装操作系统，及时更新补丁修复漏洞。

　　二、未感染计算机

　　使用蠕虫勒索软件专杀工具、蠕虫勒索软件免疫工具对系统进行病毒查杀。同时进行漏洞修复工作。

　　三、临时加固方案

　　以下临时加固方案可能造成共享服务、名称解析等网络服务功能不可用。

　　1、网络层方面，边界交换机、路由器、防火墙等设备禁止双向 135/137/139/445 端口的 TCP 连接。

　　2、主机层方面，开启操作系统防火墙或第三方防火墙软件，禁止双向 135/137/139/445 端口的 TCP 连接。

　　3、停止rdr、srv、netbt等服务以彻底关闭445端口。　

　 　附:蠕虫勒索软件免疫专杀下载地址

　　 http://www.antiy.com/tools.html

　　windows更新修复方式

　　1、对于Windows XP、Vista、Server 2003等已停止服务的操作系统，微软发布紧急补丁来修复该漏洞，下载地址http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598。

　　2、对于微软公司未停止服务的操作系统开启自动更新方式进行系统更新及漏洞修复，也可通过下列地址下载补丁进行离线升级。

　　SecurityUpdateforWindows7(KB4012212)

　　http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x86_6bb04d3971bb58ae4bac44219e7169812914df3f.msu

　　SecurityUpdateforWindows7x64(KB4012212)

　　http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu

　　SecurityUpdateforWindowsServer2008R2x64(KB4012212)

　　http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu

　　SecurityUpdateforWindows10(kb4012606)

　　http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4012606-x86_8c19e23de2ff92919d3fac069619e4a8e8d3492e.msu

　　SecurityUpdateforWindows10x64(kb4012606)

　　http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4012606-x64_e805b81ee08c3bb0a8ab2c5ce6be5b35127f8773.msu

　　关闭 445 端口批处理方法

　　新建文本文档，复制以下脚本内容，另存为【.bat】格式的文件，并右键【管理员运行】，待 CMD 对话框消失后，进行后续操作。

　　REG ADD HKLM\SYSTEM\CurrentControlSet\services\NetBT\Parameters /v SMBDeviceEnabled /T REG_QWORD /D 0 /F&&sc  config LanmanServer start= disabled&&net stop lanmanserver /y

　　点击“开始”->“运行”->输入“cmd”->依次执行“net  stop rdr”、“net  stop srv”和“net  stop netbt”三条命令。

　　重新启动电脑。