***蠕蟲病毒補丁

　　5月12日起，Onion、WNCRY兩類***者病毒變種在全國乃至全世界大範圍內出現爆發態勢，大量個人和企業、機構使用者中招。小編整理了、比特幣***病毒ms17-010，歡迎閱讀!

　　_比特幣***病毒ms17-010_比特幣***病毒解密工具

　　與以往不同的是，這次的新變種病毒添加了NSA***美國國家安全域性***黑客工具包中的“永恆之藍”0day漏洞利用，通過445埠***檔案共享***在內網進行蠕蟲式感染傳播。

　　沒有安裝安全軟體或及時更新系統補丁的其他內網使用者極有可能被動感染，所以目前感染使用者主要集中在企業、高校等內網環境下。

　　一旦感染該蠕蟲病毒變種，系統重要資料檔案就會被加密，並***高額的比特幣贖金，摺合人民幣2000-50000元不等。

　　從目前監控到的情況來看，全網已經有數萬使用者感染，QQ、微博等社交平臺上也是哀鴻遍野，後續威脅也不容小覷。

　　******病毒+遠端執行漏洞蠕蟲傳播的組合致使危險度劇增，對近期國內的網路安全形勢一次的嚴峻考驗。

　　事發後，微軟和各大安全公司都第一時間跟進，更新旗下安全軟體。金山毒霸也特別針對本次***者蠕蟲，給出了詳細的安全防禦方案、傳播分析，以及其他安全建議。

　　我們也彙總了所有Windows系統版本的補丁，請大家務必儘快安裝更新。

　　【傳播感染背景】

　　本輪***者蠕蟲病毒傳播主要包括Onion、WNCRY兩大家族變種，首先在英國、俄羅斯等多個國家爆發，有多家企業、醫療機構的系統中招，損失非常慘重。

　　安全機構全球監測已經發現目前多達74個國家遭遇本次***者蠕蟲攻擊。

　　從5月12日開始，國內的感染傳播量也開始急劇增加，在多個高校和企業內部集中爆發並且愈演愈烈。

　　全球74個國家遭遇Onion、WNCRY***者蠕蟲感染攻擊

　　24小時內監測到的WNCRY***者蠕蟲攻擊次數超過10W+

　　本次感染急劇爆發的主要原因在於其傳播過程中使用了前段時間洩漏的美國國家安全域性***NSA***黑客工具包中的“永恆之藍”漏洞***微軟3月份已經發布補丁，漏洞編號MS17-010***。

　　和歷史上的“震盪波”、“衝擊波”等大規模蠕蟲感染類似，本次傳播攻擊利用的“永恆之藍”漏洞可以通過445埠直接遠端攻擊目標主機，傳播感染速度非常快。

　　本次***者蠕蟲病毒變種通過“永恆之藍”漏洞進行網路攻擊

　　雖然國內部分網路運營商已經遮蔽掉個人使用者的445網路埠，但是在教育網、部分執行商的大區域網、校園企業內網依舊存在大量暴漏的攻擊目標。

　　對於企業來說尤其嚴重，一旦內部的關鍵伺服器系統遭遇攻擊，帶來的損失不可估量。

　　從檢測到反饋情況看，國內多個高校都集中爆發了感染傳播事件，甚至包括機場航班資訊、加油站等終端系統遭受影響，預計近期由本次***者蠕蟲病毒造成的影響會進一步加劇。

　　全國各地的高校內網的***者蠕蟲感染攻擊爆發

　　某高校機房全部遭遇WNCRY***者蠕蟲攻擊

　　國內某地加油站系統遭遇本次***者蠕蟲變種攻擊

　　某機場航班資訊終端同樣遭遇了***者蠕蟲攻擊

　　【***蠕蟲病毒感染現象】

　　中招系統中的文件、圖片、壓縮包、影音等常見檔案都會被病毒加密，然後向用戶***高額比特幣贖金。

　　WNCRY變種一般***價值300-600美金的比特幣，Onion變種甚至要求使用者支付3個比特幣，以目前的比特幣行情，摺合人民幣在3萬左右。

　　此類病毒一般使用RSA等非對稱演算法，沒有私鑰就無法解密檔案。WNCRY***者病毒要求使用者在3天內付款，否則解密費用翻倍，並且一週內未付款將刪除金鑰導致無法恢復。

　　從某種意義上來說，這種***者病毒“可防不可解”，需要安全廠商和使用者共同加強安全防禦措施和意識。

　　感染WNCRY***病毒的使用者系統彈出比特幣***視窗

　　使用者檔案資料被加密，字尾改為“wncry”，桌面被改為***恐嚇

　　對部分變種的比特幣支付地址進行追蹤發現，目前已經有少量使用者開始向病毒作者支付***贖金。

　　從下圖中我們可以看到這個變種的病毒作者已經收到19個使用者的比特幣贖金，累計3.58個比特幣，市值約人民幣4萬元。

　　某個***者蠕蟲的比特幣支付資訊追蹤

　　【防禦措施建議】

　　1、安裝防毒軟體，保持安全防禦功能開啟，比如金山毒霸已可攔截***下載地址 Defender也可以。

　　金山毒霸查殺WNCRY***者蠕蟲病毒

　　金山毒霸***者病毒防禦攔截WNCRY病毒加密使用者檔案

　　2、開啟Windows Update自動更新，及時升級系統。

　　微軟在3月份已經針對NSA洩漏的漏洞釋出了MS17-010升級補丁，包括本次被***者蠕蟲病毒利用的“永恆之藍”漏洞，同時針對停止支援的Windows XP、Windows Server 2003、Windows 8也釋出了專門的修復補丁。

　　最新版的Windows 10 1703創意者更新已經不存在此漏洞，不需要補丁。

　　各系統補丁官方下載地址如下：

　　【KB4012598】：

　　適用於Windows XP 32位/64位/嵌入式、Windows Vista 32/64位、Windows Server 2003 SP2 32位/64位、Windows 8 32位/64位、Windows Server 2008 32位/64位/安騰

　　【KB4012212】：

　　適用於Windows 7 32位/64位/嵌入式、Windows Server 2008 R2 32位/64位

　　【KB4012213】：

　　適用於Windows 8.1 32位/64位、Windows Server 2012 R2 32位/64位

　　【KB4012214】：

　　適用於Windows 8嵌入式、Windows Server 2012

　　【KB4012606】：

　　適用於Windows 10 RTM 32位/64位/LTSB

　　【KB4013198】：

　　適用於Windows 10 1511十一月更新版32/64位

　　【KB4013429】：

　　適用於Windows 10 1607週年更新版32/64位、Windows Server 2016 32/64位

　　3、Windows XP、Windows Server 2003系統使用者還可以關閉445埠，規避遭遇此次***者蠕蟲病毒的感染攻擊。

　　步驟如下：

　　***1***、開啟系統防火牆保護。控制面板->安全中心->Windows防火牆->啟用。

　　開啟系統防火牆保護

　　***2***、關閉系統445埠。

　　***a***、快捷鍵WIN+R啟動執行視窗，輸入cmd並執行，開啟命令列操作視窗，輸入命令“netstat -an”，檢測445埠是否開啟。

　　***b***、如上圖假如445埠開啟，依次輸入以下命令進行關閉：

　　net stop rdr / net stop srv / net stop netbt

　　功後的效果如下：

　　4、謹慎開啟不明來源的網址和郵件，開啟Office文件的時候禁用巨集開啟，網路掛馬和釣魚郵件一直是國內外***病毒傳播的重要渠道。

　　釣魚郵件文件中暗藏***者病毒，誘導使用者開啟巨集執行病毒

　　5、養成良好的備份習慣，及時使用網盤或行動硬碟備份個人重要檔案。

　　本次***者蠕蟲爆發事件中，國內很多高校和企業都遭遇攻擊，很多關鍵重要資料都被病毒加密***，希望廣大使用者由此提高重要檔案備份的安全意識。

　　2017-05-14更新：金山毒霸釋出比特幣***病毒免疫工具：免費恢復檔案

　　面對肆虐的Onion、WNCRY兩類***病毒變種在全國範圍內出現爆發的情況，金山毒霸中心已緊急釋出比特幣***病毒免疫工具及應急處置方案。

　　據悉，***病毒變種增加了NSA黑客工具包中的“永恆之藍”0day漏洞利用，可在區域網內蠕蟲式主動傳播，未修補漏洞的系統會被迅速感染，***高額的比特幣贖金摺合人民幣2000~50000不等。

　　目前已證實受感染的電腦集中在企事業單位、政府機關、高校等內網環境。毒霸安全專家指出，病毒加密使用者文件後會刪除原檔案，所以，存在一定機會恢復部分或全部被刪除的原檔案。建議電腦中毒後，儘量減少操作，及時使用專業資料恢復工具，恢復概率較高。

　　金山毒霸11下載***推薦!攔截***病毒***：戳此

　　專殺免疫工具：戳此直接下載

　　詳細教程：

　　檢測當前電腦是否有免疫比特幣***病毒攻擊

　　已成功免疫效果如下圖

　　我們知道，那些已經被加密的資料檔案，在沒有取得金鑰的情況下，解密基本沒有可能。但在瞭解到病毒加密的原理之後，發現仍有一定機會找回原始檔案：病毒加密原檔案時，會刪除原檔案，被簡單刪除檔案的硬碟只要未進行大量寫入操作，就存在成功恢復的可能。

　　使用金山毒霸資料恢復找回受損前的文件

　　請使用免費帳號ksda679795862，密碼:kingsoft，來啟用金山毒霸的資料恢復功能。

　　1.選擇刪除檔案恢復

　　2.選擇掃描物件：在介面中選擇檔案丟失前所在的磁碟或資料夾，然後點選“開始掃描”。

　　3.掃描過程：檔案數量越多，掃描時間越長，請耐心等待。***一般掃描速度2分鐘3G***

　　4.掃描完結果預覽：點選檔案可進行預覽，可預覽的就是可有機會成功恢復的。勾選需要恢復檔案***夾***，點選開始恢復即可恢復檔案。

　　5.選擇恢復路徑：恢復的檔案將儲存再您選擇的資料夾路徑，請選擇您要恢復到哪個資料夾。***強烈建議將要恢復的檔案儲存到其他硬碟，而非丟失檔案的硬碟，以避免造成二次損傷。***

　　6.檢視恢復結果：恢復的資料夾將儲存在您選擇的資料夾路徑，開啟目錄可檢查恢復的檔案。

　　以下幾種情況需要注意：

　　1.掃描出來的照片、office文件，顯示不可預覽的，是無法恢復的。***無法預覽office文件，表示文件已部分受損***

　　2.不支援預覽的檔案型別，只能恢復後才能知道是否可以正常使用

　　3.使用誤刪除檔案功能，掃描完後，每個檔案會有恢復概率顯示，恢復概率高，恢復成功率就高

　　4.視訊檔案極易產生碎片和資料覆蓋，所以視訊檔案完全恢復的可能性很小。

　　5.物理損壞的硬碟或其他儲存介質，恢復後的檔案可能是已損壞的檔案。