比特幣勒索軟體全球爆發，這些技巧幫你避免中招【實時更新】

原文發表於少數派：比特幣勒索軟體全球爆發，這些技巧讓你避免中招

作者：化學心情下2

------

昨天夜間，全球近 100 個國家的計算機同時遭到了來自一款名為 wana Decrypt0r 2.0 的勒索軟體的攻擊。幾乎同時，國內各大高校中教育網中計算機也遭到了攻擊，有不少學生朋友已經中招。wana Decrypt0r 是什麼？如何預防它？電腦感染以後又應該如何應對？這篇文章將給你答案。

什麼是 wana Decrypt0r 2.0？

wana Decrypt0r 2.0 的前身是之前泄露的 NSA 黑客武器庫中的「永恆之藍」攻擊程序，在被不法分子改造之後變成了一款「勒索軟體」。被攻擊目標在感染它之後，系統中的圖片、文檔、視頻、壓縮包文件等會被加密，並只有向勒索者支付 5 比特幣或 300 美元的「贖金」才能將文件解鎖。由於它採用了安全性極強的 AES 加密演算法，因此很難被破解或者繞過。

wana Decrypt0r 2.0 會影響哪些系統？

wana Decrypt0r 2.0 目前會影響幾乎所有的基於 Windows NT 內核的客戶端/伺服器操作系統，包括：

客戶端操作系統：

• Windows 2000、XP
• Windows Vista
• Windows 7
• Windows 8 / 8.1
• Windows 10（除Windows 10 Creators Update、build 15063）

伺服器操作系統：

• Windows Server 2008 / 2008 R2
• Windows Server 2012 / 2012 R2
• Windows Server 2016

目前 wana Decrypt0r 2.0 只會感染 Windows 桌面操作系統，如果你使用的是 Linux 或者 macOS 則暫時不會感染，但依然推薦你及時進行安全更新，因為並不知道勒索軟體是否會更新從而支持攻擊 Linux 或者 macOS。

wana Decrypt0r 2.0 如何傳播？

由於 wana Decrypt0r 2.0 基於之前的 NSA 黑客武器「永恆之藍」攻擊程序，因此其攻擊方式均為通過向 Windows SMBv1 伺服器發送特殊設計的消息，從而允許執行遠程的攻擊代碼。黑客會在公網掃描開放 445 埠的 Windows 設備並植入勒索軟體，而這一過程無需用戶的任何操作，這也是其可以快速在全球傳播的原因。

對於國內的普通家庭用戶而言，由於此前國內曾被利用類似技術的蠕蟲病毒攻擊過，因此國內運營商在主幹網上封掉了 445 埠，但是國內高校的「教育網」並未封掉 445 埠，所以本次國內高校計算機成為了受感染的重災區。

此外，國內許多企業內部區域網也沒有封掉 445 埠，因此企業內網中的 Windows 桌面設備感染 wana Decrypt0r 2.0 可能性也相當高。

如何預防 wana Decryptor 2.0？

為了防止中招帶來的數據損失以及財產損失，以下的方式可以幫助你預防 wana Decrypt0r 2.0 勒索軟體。

最簡單的方式：開啟 Windows 安全更新

本次遭到攻擊的設備絕大部分都是教育網以及企業內網中的 Windows 設備，很大一部分的原因是這些設備並未及時安裝系統更新。

早在今年三月份，微軟就已經針對 Windows 設備推出了月度安全更新，其中就已經包括了本次勒索軟體 wana Decrypt0r 2.0 所利用漏洞的安全修補程序。因此，如果你還沒有下載這個更新，你可以在 Windwos 中檢查並下載安裝，防範勒索軟體。

另外，你也可以單獨下載安全修補程序 KB4012212 進行更新，並通過 MS17-010 了解更多相關安全問題。

臨時解決方案一：禁用 SMBv1

如果你的設備處於特殊環境，暫時無法通過 Windows 安全更新進行預防，那麼你也可以通過禁用 SMBv1 來預防，具體操作如下：

對於客戶端操作系統：

1. 打開「控制面板」，單擊「程序」，然後單擊「打開或關閉 Windows 功能」。
2. 在「Windows 功能」窗口中，清除「SMB 1.0/CIFS 文件共享支持」複選框，然後單擊「確定」以關閉此窗口。
3. 重啟系統。

對於伺服器操作系統：

1. 打開「伺服器管理器」，單擊「管理」菜單，然後選擇「刪除角色和功能」。
2. 在「功能」窗口中，清除「SMB 1.0/CIFS 文件共享支持」複選框，然後單擊「確定」以關閉此窗口。
3. 重啟系統。

臨時解決方式二：使用系統防火牆封禁 445 埠

如果你使用系統自帶的防火牆，那麼你可以通過以下步驟封禁 445 埠：

1. 打開「控制面板」
2. 在「控制面板」中選擇「Windows 防火牆」
3. 點擊左側的「高級設置」，在彈出的「高級安全 Windows 防火牆」中選擇「入站規則」
4. 新建規則，點擊「埠」，點下一步；選中「TCP 」埠中的特定的本地埠，填寫 445 埠後，再點下一步；然後點擊「阻止連接」再點擊下一步後；將所有網路選中，然後輸入規則名稱點擊完成即可。

臨時解決方案三：關閉 445 埠（適用於 Windows XP 等）

對於 Windows 2000 / XP 用戶而言，因為目前微軟已經結束了對這兩款操作系統的支持，因此可以通過修改註冊表的方式關閉：

1. 通過 Windows + R 打開「運行」
2. 輸入 regedit，點擊確定後定位到 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServi cesNetBTParameters。
3. 新建名為「SMBDeviceEnabled」的 DWORD 值，並將其設置為 0
4. 重啟電腦

臨時解決方案四：使用 360 的 NSA 武器庫免疫工具

如果你覺得通過修改註冊表的形式太麻煩，也可以使用 360 推出的 NSA 武器庫免疫工具進行檢測，並根據軟體提出的方案進行操作，從而避免中招。

已經中招了應該如何應對？

1. 如果你的設備已經不幸中招，並且裡面的資料極為寶貴且非常緊急，很遺憾，目前可能你只有支付贖金才能解鎖文檔。另外，根據勒索軟體的描述，如果不支付贖金，一周後設備中的數據將會全部丟失。
2. 如果數據並不是非常緊急，你可以等待近期國內外安全公司給出的解決方案。也許在接下來的一段時間可以實現無損解鎖，從而避免損失。

想要避免今後被攻擊，你還需要做這些：

1. 對於重要文件請及時備份至移動設備、 NAS 或者其他雲存儲中。
2. 無論是什麼樣的網路環境，請及時對系統進行安全更新，尤其是微軟每月的安全更新，往往可以讓你避免數據丟失所造成的災難性後果。
3. 開啟 Windows 防火牆避免類似的埠攻擊。

更新

5 月 13 日 16 點：

由於影響過於廣泛，微軟針對此前已經結束支持的 Windows XP、Windows Server 2003 以及 Windows 8 發布了單獨的安全更新，用來封堵本次勒索軟體所利用的安全漏洞，使用以上三款操作系統的用戶或系統管理員點擊 這裡 下載更新。更多詳情請參考 TechNet Blogs。

5 月 13 日 19 點：

國內安全媒體 Freebuf 公布了目前可以嘗試的兩種勒索軟體中招解決方案：

方法一，利用黑客在勒索贖金交易環節設計的疏忽，對其進行交易欺騙，具體操作步驟如下：

1. 打開自己的那個勒索軟體界面，點擊 copy，複製黑客的比特幣地址

2. 把 copy 粘貼到 http://btc.com （區塊鏈查詢器）

3. 在區塊鏈查詢器中找到黑客收款地址的交易記錄，然後隨意選擇一個 txid（交易哈希值）

4. 把 txid 複製粘貼到勒索軟體中，並點擊 connect us。

5. 等黑客看到後，再點擊勒索軟體上的 check payment。

6. 再點擊 decrypt 解密文件即可。

方法二：

使用開源的腳本（需要 Python 3 環境）來運行嘗試恢復，本質與方法一相同。

5 月 14 日 14 點（已失效）：

國外安全專家已經找到了勒索軟體的一個「隱藏後門」，勒索軟體在入侵時會嘗試訪問一個網址，如果可以順利訪問（返回相關網路狀態碼）就不再加密被入侵電腦中的資料文件，而目前這個網址已經被安全人員進行了註冊，從而阻斷了該勒索軟體的進一步傳播。

但是目前該網址在國內訪問不是很順暢，我們可以通過修改系統 host 的方式，將其映射到國內一些網站的 IP 上，從而達到免疫的作用，具體修改操作為：

1. 在「我的電腦」中進入到 C:WindowsSystem32driversetc 目錄中，找到 host 文件

2. 用「記事本」打開 host 文件

3. 添加以下文本：

www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com 220.181.57.217n

4. 保存退出

5. 如果遇到許可權問題，可將 host 文件拷貝至桌面，在桌面修改完成後再覆蓋回源地址。

5 月 14 日 15 點：

據國家網路與信息安全信息通報中心緊急通報：

監測發現，在全球範圍內爆發的 WannaCry 勒索病毒出現了變種：WannaCry2.0，與之前版本的不同是，這個變種取消了 Kill Switch，不能通過註冊某個域名來關閉變種勒索病毒的傳播，該變種傳播速度可能會更快。請廣大網民儘快升級安裝Windows操作系統相關補丁，已感染病毒機器請立即斷網，避免進一步傳播感染。

因此，採用修改 host 來訪問「隱藏後門」的方式已經失效，不能保證免疫作用，請各位參考本文的其他方法或及時更新安全補丁。