【简明教程】关于WannaCry勒索病毒，你需要知道的6个问题

从5月12日起，互联网世界遭遇一种名为WannaCry（想哭）的勒索病毒攻击，这波攻击来势汹汹，席卷了全球150多个国家，数千家企业和机构、超过30万台设备受到影响。美国白宫官员博赛特5月15日表示，黑客目前已非法攫取7万美元赎金，但其身份仍未查明。

同时，多名网络安全专家指出，目前病毒事态只是由于多种原因而稍显缓和，但许多网络用户特别是中国用户仍面临风险关口。

从图中我们可以看到，受攻击的范围集中在欧洲、美国以及亚太地区，我国也遭受了大量攻击。学校、政府单位和企业成为重灾区，业务瘫痪，大量文件被加密，被要求支付赎金。

面对这突如其来的病毒攻击，作为普遍网民的我们该怎么处置，保护个人财产安全？记者就此专访了 网易云安全易顿实验室专家 ，整理了六大问题，帮助读者简明分析这个蠕虫的前世今生，有效地学习应对措施。

网易云课堂课程地址：

http://study.163.com/course/introduction/1003935024.htm（点击阅读原文可一键到达哦^^）

问题一：已经感染病毒的如何降低影响？

如果你不幸遭遇病毒，电脑被勒索病毒感染，或者你的朋友中招，向你求助，那我们该怎么处理将影响降到最低呢？

首先，这是一款勒索蠕虫，蠕虫病毒的特点是会通过网络进行自动复制和传播，就像电影《釜山行》中，被僵尸噬咬过的人也会变成僵尸去传染给更多的人。所以第一步需要做的就是断开网络，防止自己的电脑去感染更多的电脑。其次， 网易信息安全部 建议中招用户将硬盘进行格式化处理，彻底消除硬盘上蠕虫病毒，就像一次彻底的细胞切除手术。 然后，再重新安装系统，并安装相应的系统补丁。最后，还需要安装杀毒软件，并把杀毒软件的病毒库更新到最新版本。

目前，许多人最常犯的错误就是心存侥幸，将受到感染的电脑继续连接到网络里，做各种尝试操作，亦或是认为支付赎金可以解密。 其实该勒索蠕虫会对电脑中的文档进行RSA加密。这种加密方式的特点是，只要加密密钥足够长，普通电脑需要数十万年才能够破解，等于说个人几乎是不可能破解的。所以一旦电脑中毒，基本没有挽回余地。

问题二：未中毒者如何排除风险？

如果你是幸运儿，并未在此次攻击中受影响，那么也请别做一个普通的吃瓜群众， 只要你使用的是Windows系统，很久不曾更新补丁，就仍有很大的中毒风险。 网易信息安全部 建议通过“三步法”提前排除这个风险：

第一步：关网络。该勒索蠕虫需要通过网络传播，关闭网络也就切断了病毒的传播途径。针对普通的台式机，最直接的方式就是拔掉网线；如果家里使用的是笔记本电脑，可以关闭本机的无线网卡；家中如果使用了无线路由器的，也可以关闭无线路由器；最后，还可以通过在已开机的PC中禁用网络的方法进行关闭。个人可以根据自己的实际情况，选择对应的方式来进行断网操作。

第二步：关端口。该勒索蠕虫是通过扫描电脑上的TCP 445端口（Server MessageBlock/SMB）进行攻击的，所以关闭445端口也就关闭了勒索蠕虫的攻击大门。该动作分为以下几步：

a. 打开控制面板-系统与安全-Windows防火墙，点击左侧启动或关闭Windows防火墙

b. 选择启动防火墙，并点击确定

c. 点击高级设置

d. 点击入站规则，新建规则，以445端口为例

e. 选择端口、下一步

f. 选择特定本地端口，输入445，下一步

g. 选择阻止连接，下一步

h. 配置文件，全选，下一步

i. 名称，可以任意输入，完成即可

第三步：打补丁。前两步属于指标不治本的方式，只是临时阻止了勒索蠕虫的攻击， 如果要治本还需要及时利用官方的系统补丁堵上系统漏洞。 早在今年3月份，微软就提供了该漏洞的补丁，建议用户开启系统自动更新，并检测更新进行安装。如果自动更新失败，也可以手动从微软的官方网站下载补丁进行安装。补丁下载地址为：https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx 。

问题三：手机会不会中毒？

保证了电脑万无一失，那么我们使用频率更高的手机会不会面临风险呢？

网易信息安全部 表示：手机不会受该勒索蠕虫影响。该勒索蠕虫利用的是windows系统漏洞，受影响的系统是从win xp到xin 2016的各个版本。而目前手机的操作系统则是ios、android、winphone等，并不属于windows，所以不受该勒索蠕虫的影响。

问题四：为什么此次勒索病毒传播如此迅速？

要了解这个原因，我们还得从勒索蠕虫的原理说起。

首先，WannaCry蠕虫利用的漏洞非常普遍，绝大部分的个人PC机仍然使用微软的windows操作系统，而windwos系统默认打开了445端口，并且大量的windows用户没有定期更新补丁的习惯，这给蠕虫的传播提供了大量宿主。其次，传统的勒索软件需要靠“骗”，也就是说需要哄骗受害者主动点击某个附件、某个网址等等。 而此次蠕虫病毒可以进行自我传播和自动复制，也就是可以进行主动的探测和传播。这个从“被动”到“主动”的转化，造成了传播速度上质的差异。

其次，WannaCry勒索病毒传播利用了一个特殊的漏洞工具，叫“永恒之蓝”，听起来像是某颗名贵钻石的名字。 这个漏洞起源于美国国家安全局以及和他们一伙的方程式安全组织，这是一个被美国国家安全局用来网络攻击的工具，它利用了微软编号为MS17-010的漏洞。 在被另外一个叫“影子代理人”的黑客组织黑吃黑之后，“永恒之蓝”伴随着其他大量的黑客攻击被影子代理人公布到网络上。当时，该事件引起了安全圈子的轰动，但是并未给企业和机构敲响警钟，尽管微软早就对该漏洞发布了补丁，但是大量的企业和组织并没有安装补丁。

问题五：病毒得到遏制了么？会不会出现新的变种？

从目前的数据分析，该勒索蠕虫已经得到了遏制，新增的受感染系统正在下降。同时，有国外网络安全公司捕获到该病毒的2.0版本，所以不排除新一轮攻击的扩大。“就像地震往往会有余震一样，我们需要警惕病毒的各种变种”， 网易信息安全部