如何预防Windows勒索病毒？防止感染ONION、WNCRY勒索病毒补丁下载

5月12日起，Onion、WNCRY两类比特币敲诈者病毒变种在全国乃至全世界大范围内出现爆发态势，大量校园网、个人、企业和各机构Windows系统用户中招。

此次利用的SMB漏洞影响以下未自动更新的操作系统：
Windows XP/Windows 2000/Windows 2003
Windows Vista/Windows Server 2008/WindowsServer 2008 R2
Windows 7/Windows 8/Windows 10
Windows Server 2012/Windows Server 2012 R2/Windows Server 2016

与以往不同的是，这次的新变种病毒添加了NSA(美国国家安全局)黑客工具包中的“永恒之蓝”0day漏洞利用，通过445端口(文件共享)在内网进行蠕虫式感染传播，没有安装安全软件或及时更新系统补丁的其他内网用户就极有可能被动感染，所以目前感染用户主要集中在企业、高校等内网环境下。

一旦感染该蠕虫病毒变种，系统重要资料文件就会被加密，并勒索高额的比特币赎金，折合人民币2000-50000元不等，目前针对已经感染勒索病毒的电脑还没有有效的解决方法，如果没有重要数据，可以通过重装系统解决，不过重要数据会因此而丢失。

从目前监控到的情况来看，全网已经有数万用户感染，QQ、微博等社交平台上也是哀鸿遍野，后续威胁也不容小觑。敲诈勒索病毒＋远程执行漏洞蠕虫传播的组合致使危险度剧增，对近期国内的网络安全形势一次的严峻考验。

事发后，微软和各大安全公司都第一时间跟进，更新旗下安全软件。此次勒索病毒给了我们启示，要及时更新Windows补丁，千万不要裸奔！

本次感染急剧爆发的主要原因在于其传播过程中使用了前段时间泄漏的美国国家安全局(NSA)黑客工具包中的“永恒之蓝”漏洞(微软3月份已经发布补丁，漏洞编号MS17-010)。

和历史上的“震荡波”、“冲击波”等大规模蠕虫感染类似，本次传播攻击利用的“永恒之蓝”漏洞可以通过445端口直接远程攻击目标主机，传播感染速度非常快。

虽然国内部分网络运营商已经屏蔽掉个人用户的445网络端口，但是在教育网、部分运行商的大局域网、校园企业内网依旧存在大量暴漏的攻击目标。

【敲诈蠕虫病毒感染现象】
中招系统中的文档、图片、压缩包、影音等常见文件都会被病毒加密，然后向用户勒索高额比特币赎金。WNCRY变种一般勒索价值300-600美金的比特币，Onion变种甚至要求用户支付3个比特币，以目前的比特币行情，折合人民币在3万左右。

此类病毒一般使用RSA等非对称算法，没有私钥就无法解密文件。WNCRY敲诈者病毒要求用户在3天内付款，否则解密费用翻倍，并且一周内未付款将删除密钥导致无法恢复。从某种意义上来说，这种敲诈者病毒“可防不可解”，需要安全厂商和用户共同加强安全防御措施和意识。

用户文件资料被加密，后缀改为“wncry”，桌面被改为勒索恐吓，对部分变种的比特币支付地址进行追踪发现，目前已经有少量用户开始向病毒作者支付勒索赎金。

从下图中我们可以看到这个变种的病毒作者已经收到19个用户的比特币赎金，累计3.58个比特币，市值约人民币4万元。

【勒索病毒如何防御应对？】
一、打开Windows Update自动更新，及时升级系统补丁
微软在3月份已经针对NSA泄漏的漏洞发布了MS17-010升级补丁，包括本次被敲诈者蠕虫病毒利用的“永恒之蓝”漏洞，同时针对停止支持的Windows XP、Windows Server 2003、Windows 8也发布了就新机补丁。

官方补丁下载地址：https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx
【KB4012598】：http://m.catalog.update.microsoft.com/Search.aspx?q=KB4012598
适用于Windows XP 32位/64位/嵌入式、Windows Server 2003 SP2 32位/64位、Windows 8 32位/64位、Windows Server 2008 32位/64位/安腾

【KB4012212】：http://m.catalog.update.microsoft.com/Search.aspx?q=KB4012212
适用于Windows 7 32位/64位/嵌入式、Windows Server 2008 R2 32位/64位

【KB4012213】：http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4012213
适用于Windows 8.1 32位/64位、Windows Server 2012 R2 32位/64位

【KB4012214】：http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4012214
适用于Windows 8嵌入式、Windows Server 2012

【KB4012606】：http://m.catalog.update.microsoft.com/Search.aspx?q=KB4012606
适用于Windows 10 RTM 32位/64位/LTSB

【KB4013198】：http://m.catalog.update.microsoft.com/Search.aspx?q=KB4013198
适用于Windows 10 1511十一月更新32/64位

【KB4013429】：http://m.catalog.update.microsoft.com/Search.aspx?q=KB4013429
适用于Windows 10 1607周年更新版32/64位、Windows Server 2016 32/64位

Windows XP、Windows Server 2003系统用户还可以关闭445端口，规避遭遇此次敲诈者蠕虫病毒的感染攻击。

二、安装杀毒软件
保持安全防御功能开启，比如360安全卫士、金山毒霸等等，微软自带的Windows Defender也可以。
下载360 NSA武器库免疫工具：http://dl.360safe.com/nsa/nsatool.exe

三、关闭操作系统不必要开放的端口，如445、135、137、138、139等，关闭网络共享
win7/win10系统电脑禁用445端口的详细教程
win7系统电脑使用360安全卫士免疫和防御“勒索病毒”的方法

四、养成良好的备份习惯，及时使用网盘或移动硬盘备份个人重要文件
本次敲诈者蠕虫爆发事件中，国内很多高校和企业都遭遇攻击，很多关键重要资料都被病毒加密勒索，希望广大用户由此提高重要文件备份的安全意识，其中最重要的一点就是，要及时更新微软发布的漏洞补丁，不要学所谓的“大神”裸奔电脑，不然就此付出代价。