比特币勒索软件全球爆发，这些技巧让你避免中招

昨天夜间，全球近 100 个国家的计算机同时遭到了来自一款名为 wana Decrypt0r 2.0 的勒索软件的攻击。几乎同时，国内各大高校中教育网中计算机也遭到了攻击，有不少学生朋友已经中招。wana Decrypt0r 是什么？如何预防它？电脑感染以后又应该如何应对？这篇文章将给你答案。

▍什么是 wana Decrypt0r 2.0？

wana Decrypt0r 2.0 的前身是之前泄露的 NSA 黑客武器库中的「永恒之蓝」攻击程序，在被不法分子改造之后变成了一款「勒索软件」。被攻击目标在感染它之后，系统中的图片、文档、视频、压缩包文件等会被加密，并只有向勒索者支付 5 比特币或 300 美元的「赎金」才能将文件解锁。由于它采用了安全性极强的 AES 加密算法，因此很难被破解或者绕过。

Wana Decrypt0r 2.0 中招画面 来源：idropnews

▍wana Decrypt0r 2.0 会影响哪些系统？

wana Decrypt0r 2.0 目前会影响几乎所有的基于 Windows NT 内核的客户端/服务器操作系统，包括：

客户端操作系统：

• Windows 2000、XP

• Windows Vista

• Windows 7

• Windows 8 / 8.1

• Windows 10（除Windows 10 Creators Update、build 15063）

服务器操作系统：

• Windows Server 2008 / 2008 R2

• Windows Server 2012 / 2012 R2

• Windows Server 2016

目前 wana Decrypt0r 2.0 只会感染 Windows 桌面操作系统，如果你使用的是 Linux 或者 macOS 则暂时不会感染，但依然推荐你及时进行安全更新，因为并不知道勒索软件是否会更新从而支持攻击 Linux 或者 macOS。

▍wana Decrypt0r 2.0 如何传播？

由于 wana Decrypt0r 2.0 基于之前的 NSA 黑客武器「永恒之蓝」攻击程序，因此其攻击方式均为通过向 Windows SMBv1 服务器发送特殊设计的消息，从而允许执行远程的攻击代码。黑客会在公网扫描开放 445 端口的 Windows 设备并植入勒索软件，而这一过程无需用户的任何操作，这也是其可以快速在全球传播的原因。

对于国内的普通家庭用户而言，由于此前国内曾被利用类似技术的蠕虫病毒攻击过，因此国内运营商在主干网上封掉了 445 端口，但是国内高校的「教育网」并未封掉 445 端口，所以本次国内高校计算机成为了受感染的重灾区。

此外，国内许多企业内部局域网也没有封掉 445 端口，因此企业内网中的 Windows 桌面设备感染 wana Decrypt0r 2.0 可能性也相当高。

▍如何预防 wana Decryptor 2.0？

为了防止中招带来的数据损失以及财产损失，以下的方式可以帮助你预防 wana Decrypt0r 2.0 勒索软件。

最简单的方式：开启 Windows 安全更新

本次遭到攻击的设备绝大部分都是教育网以及企业内网中的 Windows 设备，很大一部分的原因是这些设备并未及时安装系统更新。

早在今年三月份，微软就已经针对 Windows 设备推出了月度安全更新，其中就已经包括了本次勒索软件 wana Decrypt0r 2.0 所利用漏洞的安全修补程序。因此，如果你还没有下载这个更新，你可以在 Windwos 中检查并下载安装，防范勒索软件。

另外，你也可以单独下载安全修补程序 KB4012212 进行更新，并通过 MS17-010 了解更多相关安全问题。

安全修补程序：http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212

三月份月度安全更新下载

临时解决方案一：禁用 SMBv1

如果你的设备处于特殊环境，暂时无法通过 Windows 安全更新进行预防，那么你也可以通过禁用 SMBv1 来预防，具体操作如下：

对于客户端操作系统：

1. 打开「控制面板」，单击「程序」，然后单击「打开或关闭 Windows 功能」。

2. 在「Windows 功能」窗口中，清除「SMB 1.0/CIFS 文件共享支持」复选框，然后单击「确定」以关闭此窗口。

3. 重启系统。

对于服务器操作系统：

1. 打开「服务器管理器」，单击「管理」菜单，然后选择「删除角色和功能」。

2. 在「功能」窗口中，清除「SMB 1.0/CIFS 文件共享支持」复选框，然后单击「确定」以关闭此窗口。

3. 重启系统。

临时解决方式二：使用系统防火墙封禁 445 端口

如果你使用系统自带的防火墙，那么你可以通过以下步骤封禁 445 端口：

1. 打开「控制面板」

2. 在「控制面板」中选择「Windows 防火墙」

3. 点击左侧的「高级设置」，在弹出的「高级安全 Windows 防火墙」中选择「入站规则」

4. 新建规则，点击「端口」，点下一步；选中「TCP 」端口中的特定的本地端口，填写 445 端口后，再点下一步；然后点击「阻止连接」再点击下一步后；将所有网络选中，然后输入规则名称点击完成即可。

临时解决方案三：关闭 445 端口（适用于 Windows XP 等）

对于 Windows 2000 / XP 用户而言，因为目前微软已经结束了对这两款操作系统的支持，因此可以通过修改注册表的方式关闭：

1. 通过 Windows + R 打开「运行」

2. 输入 regedit，点击确定后定位到 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servi ces\NetBT\Parameters。

3. 新建名为「SMBDeviceEnabled」的 DWORD 值，并将其设置为 0

4. 重启电脑

临时解决方案四：使用 360 的 NSA 武器库免疫工具

如果你觉得通过修改注册表的形式太麻烦，也可以使用 360 推出的 NSA 武器库免疫工具进行检测，并根据软件提出的方案进行操作，从而避免中招。

下载：http://dl.360safe.com/nsa/nsatool.exe

▍已经中招了应该如何应对？

1. 如果你的设备已经不幸中招，并且里面的资料极为宝贵且非常紧急，很遗憾，目前可能你只有支付赎金才能解锁文档。另外，根据勒索软件的描述，如果不支付赎金，一周后设备中的数据将会全部丢失。

2. 如果数据并不是非常紧急，你可以等待近期国内外安全公司给出的解决方案。也许在接下来的一段时间可以实现无损解锁，从而避免损失。

▍想要避免今后被攻击，你还需要做这些

1. 对于重要文件请及时备份至移动设备、 NAS 或者其他云存储中。

2. 无论是什么样的网络环境，请及时对系统进行安全更新，尤其是微软每月的安全更新，往往可以让你避免数据丢失所造成的灾难性后果。

3. 开启 Windows 防火墙避免类似的端口攻击。

📲欢迎下载少数派 iOS 版本客户端，认识更多优秀数字产品，提升生活品质。点击下图或 App Store 搜索「少数派」即可。