比特币病毒肆虐，Windows用户该如何生存？ | 完整的极客养成指南

面对来势汹汹的勒索软件，这些事情你需要知道。

引用 Malwarebytes 反恶意软件主管 Adam Kujawa 的话：“WannaCry 的传播范围很广，我从未见过这样的事情。”

感染病毒后，相应设备的磁盘文件会被篡改成相应的后缀，文档、图片、视频、压缩文件等各种资料将无法正常打开。

对于此次波及全球的“勒索软件”攻击事件，国内外媒体进行了大量报道。 在本文中，我们将直奔主题，用户需要特别注意哪些问题，以及如何预防。 另外，最后会有一个简短的回顾（PS：如果你已经对整个事件有了很好的了解，可以跳过）。

当前“重灾区”是Windows，其他平台设备暂时安全

WannaCry（也称为WanaCrypt0r或WCry）是NSA（美国国家安全局）黑客武器库中此前泄露的“永恒之蓝”攻击程序的变种，可以远程攻击Windows 455端口（文件共享）。

目前只有Windows平台被感染，macOS、Linux、Android不在本次攻击范围内，所以如果你的设备运行的是后者平台，暂时是安全的。 不过，谁也不能保证通信器会不会更新软件来攻击其他平台的设备，所以我们也需要关注相关信息。

目前受 WannaCry 影响的 Windows 操作系统包括：

需要特别注意的是，之前多次出现通过455端口传播的蠕虫病毒，部分运营商已经对个人用户屏蔽了455端口。 但教育网并没有对此进行限制，因此仍然有大量开放455端口的设备，这些设备无疑将成为此次感染的“重灾区”。

如何及早采取措施让您的设备免于“幸存”

目前，一旦你的设备被“中枪”，要想恢复加密数据，唯一可能的办法就是按照勒索者的要求，支付 5 个比特币或 300 美元（约合 5 万、2000 多人民币）的赎金。 元）。 此外，据勒索者称，如果一周内不付款，他们将威胁完全删除加密文件。

但问题是，即使你“承认”并支付了相应数额的赎金，也不能保证一定能解密成功。 所以建议，如果不是紧急情况比特币病毒，最好等待后续解决方案出炉。 即使届时无法获得解决方案，现在尝试支付赎金也不晚。

让我们重点关注如何采取措施来保护设备。

事实上，早在今年3月，微软发布的安全更新补丁中就包含了此次WannaCry勒索病毒所利用的漏洞。 不过由于不会影响日常的使用体验，所以人们往往不太关注Windows的日常更新，也有相当一部分人没有及时更新。 目前，最简单可靠的方法是完成之前的系统更新。

好消息是，微软周五表示，它将向“不再受主流支持”的旧操作系统的用户推出更新，包括 Windows XP（仍主要由 NHS 使用）、Windows 8 和 Windows Server 2003。

微软已经发布了相关补丁MS17-010来修复此次被利用的系统漏洞。 可以去微软官网了解详细的解决方法。 直接地址： 。

奇虎360对这次大规模的病毒攻击反应迅速。 根据5月13日早些时候在其微信公众平台发布的相关文章，360安全中心此前推出了“NSA军械库免疫工具”，可一键检测/修复NSA黑客武器攻击漏洞。

对于已经停止更新的Windows XP/2003系统，免疫工具可以关闭漏洞使用的端口，防止NSA黑客植入勒索软件等恶意程序。

随后，腾讯电脑管家也发布消息，提醒用户保持腾讯电脑开机状态，实时阻断病毒。 没有选择修复漏洞的用户可以使用“漏洞修复”功能进行扫描修复。

默认情况下，Windows 端口 135、139 和 445 处于打开状态。 这次WannaCry是通过445端口进行大规模传播的，我们也可以选择手动关闭以上端口。 下面说说如何关闭这次“惹事”的445端口。

目前网上有很多“如何关闭”445端口的方法，但经过多方尝试，亲测（Windows 10系统）通过“修改注册表”有效。 下面说说具体的操作。

在关闭445端口之前，首先要确定你的设备是否开启了这个端口。 检查方法：快捷键Win+R打开运行窗口，调出CMD命令行程序，然后主动输入netstat -na命令，可以看到运行端口状态为Listening。 （PS：由于我在之前的测试中关闭了445端口，大家可以参考135端口的状态。）

以已经开放的445端口为例。 下一步需要完成的是在Parameters服务项下新建一个QWORD（32/64位）值，并重命名为“SMBDeviceEnabled”，同时将其值改为0。

具体操作，打开运行窗口，输入regedit进入“注册表编辑器”。依次点击注册表选项，进入HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\NetBT\Parameters路径即可完成上述操作。

继续往下走。 打开运行窗口，输入services.msc命令，进入服务管理控制台。 然后找到服务器选项，双击进入管理控制页面。 将启动类型更改为“禁用”并将服务状态更改为“停止”。 确认无误后重启电脑，完成445端口的关闭任务。

WannaCry 的影响继续蔓延

据悉，WannaCry 会扫描打开 445 文件共享端口的 Windows 设备。 只要用户的设备开机并连接到互联网，黑客就可以在计算机和服务器中植入勒索软件、远程控制木马、虚拟货币矿机等恶意程序。

糟糕的是，WannaCry 可以通过网络传播自己，这比大多数其他依赖于诱骗用户单击带有攻击代码的附件的恶意程序要快得多。

问题是，攻击的来源目前尚不清楚，因此很难大规模修复。 FOX-IT 研究员在 Twitter 上表示，他怀疑电子邮件可能是其中的一部分，但不是全部。 思科系统公司 Talos Group 的研究人员进一步写道：“我们的研究无法确定该电子邮件是否是最初的感染媒介，目前正在分析中。”

最近几周的互联网扫描显示，有多达 230 万台 445 端口暴露在互联网上的计算机，其中 130 万台是尚未打补丁的 Windows 机器。

截至周五下午，卡巴斯基实验室分析显示，受感染计算机数量已超过45000台，其中大部分来自俄罗斯（乌克兰、印度和台湾）。 目前，校园网设备在国内受到的影响较大。 . 由于我们目前正处于高年级毕业生毕业答辩的前期阶段，这将直接影响到这一过程的顺利进行。

为了避免日后病毒软件大范围传播的影响，我们在日常使用设备的过程中应该养成备份重要文件的习惯（虽然会多花一些时间，但是为了应对异常数据和其他异常情况真的很有用）。

另外，在使用设备的过程中比特币病毒，注意微软推送的安全更新也很重要。 以WannaCry事件为例，如果用户在3月份就安装了相关漏洞的补丁，就不会出现目前大范围传播的情况。

最后，我还是建议大家无论使用什么方法，都尽快修复Windows漏洞，同时打开防火墙，避免类似的端口攻击。 今后我们将持续关注本次活动。

本文由极客公园原创

转载联系wangxue@geekpark.net