比特幣勒索病毒 一下子這麼瘋狂，有何猜想？

一開始聽說，一下子這麼嚴重，作為一個從業者，真是有種恐懼感，一旦在我的範圍傳播，對我的工作造成無窮的麻煩，而且報道中誇大了一些現象，比如不需要操作，自動感染病毒，這個原理不知道怎麼來的，是不是神話了網路技術，病毒木馬惡意軟體變成無法控制的魔頭。

「永恆之藍病毒」即可掃描開放445文件共享埠的Windows機器，從而植入惡意程序。世上沒有絕對安全的操作系統，都是外國人早的系統，再說世界上本來就沒有完美無瑕的東西，只能自己多加學習，好好防範，我就從事企業信息化及安全工作，知道病毒，木馬，惡意程序的危害，早起的熊貓燒香就鬧騰的人不行。解決方案搞了一大堆，還是有人中毒。

今天一聽說這個無敵的病毒，我嚇了一大跳，祈求自己公司的伺服器，客戶端都別出問題了。真是傷不起啊，小企業技術不強，運維能力不夠。一旦出現系統宕機癱瘓，對於我們來說就是遭難，沒完沒了的加班處理，知道業務正常。

「永恆之藍」可遠程攻擊Windows的445埠(文件共享)，今年3月的微軟補丁就出來了，打補丁也有風險，怕系統反應遲鈍，怕打補丁之後系統藍屏之類的，顧慮重重，所以很少在伺服器上面亂操作，及時是系統漏洞補丁也不敢亂打。這個病毒最牛叉就是無需用戶任何操作，只要開機上網，445埠敞開，「永恆之藍」就能在電腦里執行任意代碼，植入勒索病毒等惡意程序。萬惡的資本家也許就是從這裡來的。

當用戶主機系統被該勒索軟體入侵後，彈出勒索對話框，提示勒索目的並索要比特幣。而對於用戶主機上的重要文件，如：照片、圖片、文檔、壓縮包、音頻、視頻、可執行程序等幾乎所有類型的文件，都被加密的文件後綴名統一修改為「.WNCRY」。只有支付贖金才能解密恢復。這類勒索病毒，勒索金額分別是5個比特幣和300美元，摺合人民幣分別為5萬多元和2000多元。一般人是支付不起的，只有悔恨受氣的份了，比特幣在中國是禁止，不然還有人能用來騙錢，真是夠了。

比特幣敲詐病毒CTB-Locker，NSA黑客武器庫中的「永恆之藍」攻擊程序，國家機器生產出來的漏洞補丁病毒，放出來害人，最後也追究不到一個具體的責任人，而且此病毒經過各路大神的修改升級，變得異常詭異，比特幣也不受監控，監管，所有這些監管疏忽成就這個勒索軟體。工具沒有好壞，決定其利弊的，是使用它的人。任何好東西被壞人利用起來，對於世界，對於人類來說就是災難。

如果及時更新了系統，打上安全漏洞補丁，這次攻擊就與你無關，越來越依賴於電子設備，無論是電腦還是智能手機等移動設備都有可能受到不安全因素的影響，這個漏洞處理關閉埠，打微軟的漏洞沒有別的好辦法。比特幣的特性，匿名性和難以監管。因為比特幣具有便捷、匿名性，可以實現快速全球轉賬的特徵，才被犯罪組織所看中。比特幣並非病毒，這次電腦病毒名為「永恆之藍」，比特幣純屬「躺槍」。只要不修復就會蔓延，用戶及時更新Windows已發布的安全補丁更新，同時在網路邊界、內部網路區域、主機資產、數據備份方面，平常養成多方備份的好習慣，可靠的數據備份可以將勒索軟體帶來的損失最小化。

我把自己使用的一些處理辦法共享出來，供大家簡單立刻快速解決問題。如題操作如下：關閉445等埠(其他關聯埠如: 135、137、139)的外部網路訪問許可權，在伺服器上關閉不必要的上述服務埠；加強對445等埠的內部網路區域訪問審計，及時發現非授權行為或潛在的攻擊行為；及時更新操作系統補丁；補丁 MS17-010 用以修復被 「 Eternal Blue」 攻擊的系統漏洞。安裝並及時更新殺毒軟體，防止病毒入侵，運行；不要輕易打開來源不明的電子郵件；定期在不同的存儲介質上備份信息系統業務和個人數據。

具體如何關閉 445、135、137、138、139 埠，關閉網路共享也可以避免中招。方法如下：

運行 輸入「dcomcnfg」，在「計算機」選項右邊，右鍵單擊「我的電腦」，選擇「屬性」。在出現的「我的電腦屬性」對話框「默認屬性」選項卡中，去掉「在此計算機上啟用分散式 COM」前的勾，選擇「默認協議」選項卡，選中「面向連接的TCP/IP」，單擊「刪除」按鈕，

關閉 135、137、138 埠：在網路鄰居上點右鍵選屬性，在新建好的連接上點右鍵選屬性再選擇網路選項卡，去掉 Microsoft 網路的文件和印表機共享，和 Microsoft 網路客戶端的複選框。這樣就關閉了共享端 135 和 137 還有 138埠。

關閉 139 埠：139 埠是 NetBIOS Session 埠，用來文件和列印共享。關閉 139 的方法是在「網路和撥號連接」中「本地連接」中選取「Internet協議 (TCP/IP)」屬性，進入「高級 TCP/IP 設置」「WINS設置」裡面有一項「禁用 TCP/IP的 NETBIOS 」，打勾就可關閉 139 埠。

關閉 445 埠：開始-運行輸入 regedit. 確定後定位到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNetBTParameters，新建名為「SMBDeviceEnabled」的DWORD值，並將其設置為 0，則可關閉 445 埠。

不管是從業者還是一般用戶，面對病毒木馬漏洞惡意代碼都是個難題，如何確保自己安全，就是要提前行動，防範於未然，把安全警示常記心間，不要亂上網，亂操作，亂點擊。壞人這麼多，防不勝防，那就全民全社會行動起來，讓病毒，壞人無處藏身。

一開始聽說，一下子這麼嚴重，作為一個從業者，真是有種恐懼感，一旦在我的範圍傳播，對我的工作造成無窮的麻煩，而且報道中誇大了一些現象，比如不需要操作，自動感染病毒，這個原理不知道怎麼來的，是不是神話了網路技術，病毒木馬惡意軟體變成無法控制的魔頭。

「永恆之藍病毒」即可掃描開放445文件共享埠的Windows機器，從而植入惡意程序。世上沒有絕對安全的操作系統，都是外國人早的系統，再說世界上本來就沒有完美無瑕的東西，只能自己多加學習，好好防範，我就從事企業信息化及安全工作，知道病毒，木馬，惡意程序的危害，早起的熊貓燒香就鬧騰的人不行。解決方案搞了一大堆，還是有人中毒。

今天一聽說這個無敵的病毒，我嚇了一大跳，祈求自己公司的伺服器，客戶端都別出問題了。真是傷不起啊，小企業技術不強，運維能力不夠。一旦出現系統宕機癱瘓，對於我們來說就是遭難，沒完沒了的加班處理，知道業務正常。

「永恆之藍」可遠程攻擊Windows的445埠(文件共享)，今年3月的微軟補丁就出來了，打補丁也有風險，怕系統反應遲鈍，怕打補丁之後系統藍屏之類的，顧慮重重，所以很少在伺服器上面亂操作，及時是系統漏洞補丁也不敢亂打。這個病毒最牛叉就是無需用戶任何操作，只要開機上網，445埠敞開，「永恆之藍」就能在電腦里執行任意代碼，植入勒索病毒等惡意程序。萬惡的資本家也許就是從這裡來的。

當用戶主機系統被該勒索軟體入侵後，彈出勒索對話框，提示勒索目的並索要比特幣。而對於用戶主機上的重要文件，如：照片、圖片、文檔、壓縮包、音頻、視頻、可執行程序等幾乎所有類型的文件，都被加密的文件後綴名統一修改為「.WNCRY」。只有支付贖金才能解密恢復。這類勒索病毒，勒索金額分別是5個比特幣和300美元，摺合人民幣分別為5萬多元和2000多元。一般人是支付不起的，只有悔恨受氣的份了，比特幣在中國是禁止，不然還有人能用來騙錢，真是夠了。

比特幣敲詐病毒CTB-Locker，NSA黑客武器庫中的「永恆之藍」攻擊程序，國家機器生產出來的漏洞補丁病毒，放出來害人，最後也追究不到一個具體的責任人，而且此病毒經過各路大神的修改升級，變得異常詭異，比特幣也不受監控，監管，所有這些監管疏忽成就這個勒索軟體。工具沒有好壞，決定其利弊的，是使用它的人。任何好東西被壞人利用起來，對於世界，對於人類來說就是災難。

如果及時更新了系統，打上安全漏洞補丁，這次攻擊就與你無關，越來越依賴於電子設備，無論是電腦還是智能手機等移動設備都有可能受到不安全因素的影響，這個漏洞處理關閉埠，打微軟的漏洞沒有別的好辦法。比特幣的特性，匿名性和難以監管。因為比特幣具有便捷、匿名性，可以實現快速全球轉賬的特徵，才被犯罪組織所看中。比特幣並非病毒，這次電腦病毒名為「永恆之藍」，比特幣純屬「躺槍」。只要不修復就會蔓延，用戶及時更新Windows已發布的安全補丁更新，同時在網路邊界、內部網路區域、主機資產、數據備份方面，平常養成多方備份的好習慣，可靠的數據備份可以將勒索軟體帶來的損失最小化。

我把自己使用的一些處理辦法共享出來，供大家簡單立刻快速解決問題。如題操作如下：關閉445等埠(其他關聯埠如: 135、137、139)的外部網路訪問許可權，在伺服器上關閉不必要的上述服務埠；加強對445等埠的內部網路區域訪問審計，及時發現非授權行為或潛在的攻擊行為；及時更新操作系統補丁；補丁 MS17-010 用以修復被 「 Eternal Blue」 攻擊的系統漏洞。安裝並及時更新殺毒軟體，防止病毒入侵，運行；不要輕易打開來源不明的電子郵件；定期在不同的存儲介質上備份信息系統業務和個人數據。

具體如何關閉 445、135、137、138、139 埠，關閉網路共享也可以避免中招。方法如下：

運行 輸入「dcomcnfg」，在「計算機」選項右邊，右鍵單擊「我的電腦」，選擇「屬性」。在出現的「我的電腦屬性」對話框「默認屬性」選項卡中，去掉「在此計算機上啟用分散式 COM」前的勾，選擇「默認協議」選項卡，選中「面向連接的TCP/IP」，單擊「刪除」按鈕，

關閉 135、137、138 埠：在網路鄰居上點右鍵選屬性，在新建好的連接上點右鍵選屬性再選擇網路選項卡，去掉 Microsoft 網路的文件和印表機共享，和 Microsoft 網路客戶端的複選框。這樣就關閉了共享端 135 和 137 還有 138埠。

關閉 139 埠：139 埠是 NetBIOS Session 埠，用來文件和列印共享。關閉 139 的方法是在「網路和撥號連接」中「本地連接」中選取「Internet協議 (TCP/IP)」屬性，進入「高級 TCP/IP 設置」「WINS設置」裡面有一項「禁用 TCP/IP的 NETBIOS 」，打勾就可關閉 139 埠。

關閉 445 埠：開始-運行輸入 regedit. 確定後定位到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNetBTParameters，新建名為「SMBDeviceEnabled」的DWORD值，並將其設置為 0，則可關閉 445 埠。

不管是從業者還是一般用戶，面對病毒木馬漏洞惡意代碼都是個難題，如何確保自己安全，就是要提前行動，防範於未然，把安全警示常記心間，不要亂上網，亂操作，亂點擊。壞人這麼多，防不勝防，那就全民全社會行動起來，讓病毒，壞人無處藏身。