李思佳

摘要：在計(jì)算機(jī)網(wǎng)絡(luò)出現(xiàn)和發(fā)展打破了人類(lèi)生活的地域界線，加速了人類(lèi)文明的發(fā)展，然而利用計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行犯罪的現(xiàn)象也相伴而生。上周爆發(fā)的勒索病毒讓企業(yè)和機(jī)構(gòu)人心惶惶，而作為主要受害平臺(tái)的Windows自然也成為被質(zhì)疑對(duì)象。本人僅僅針對(duì)勒索病毒的防范和被攻擊的數(shù)據(jù)恢復(fù)，立足于普通用戶的立場(chǎng)，提出自己的做法。

關(guān)鍵詞：計(jì)算機(jī)；網(wǎng)絡(luò)病毒；防范；數(shù)據(jù)恢復(fù)

中圖分類(lèi)號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2017）17-0049-02

什么事計(jì)算機(jī)網(wǎng)絡(luò)，所謂計(jì)算機(jī)網(wǎng)絡(luò)就是兩臺(tái)或者兩臺(tái)以上的計(jì)算機(jī)用直接或者通過(guò)電話線的方式連接起來(lái)，用來(lái)實(shí)現(xiàn)信息和資源共享的系統(tǒng)。計(jì)算機(jī)網(wǎng)絡(luò)病毒，就是黑客在這個(gè)虛擬世界中的變形，是指以破壞網(wǎng)絡(luò)系統(tǒng)或敲詐為目的，利用計(jì)算機(jī)通過(guò)互聯(lián)網(wǎng)采用攻擊性軟件傳播，達(dá)到破壞家算計(jì)數(shù)據(jù)的方法，敲詐財(cái)物的行為。

1計(jì)算機(jī)網(wǎng)絡(luò)病毒的構(gòu)成特征

所謂計(jì)算機(jī)病毒，其實(shí)它也是一個(gè)程序，一段可執(zhí)行的代碼。和生物病毒差不多，計(jì)算機(jī)病毒有特殊的復(fù)制能力。計(jì)算機(jī)病毒可以很快地蔓延，蔓延的速度驚人，并且特別難以清除。它們能把它們自己附著在各種類(lèi)型的文件上。當(dāng)文件被復(fù)制或者從一個(gè)用戶傳送到另一個(gè)用戶時(shí)，它們就會(huì)隨著文件一起蔓延開(kāi)來(lái)，從而肆無(wú)忌憚的侵蝕著你的電腦。

1.1計(jì)算機(jī)病毒在什么情況下出現(xiàn)

計(jì)算機(jī)病毒的產(chǎn)生是計(jì)算機(jī)技術(shù)和以計(jì)算機(jī)為核心的社會(huì)信息化進(jìn)程發(fā)展到一定階段的必然產(chǎn)物。它產(chǎn)生的背景是：

①算機(jī)病毒是計(jì)算機(jī)犯罪的一種新的繁衍形式，計(jì)算機(jī)病毒是高技術(shù)犯罪，具有瞬時(shí)性、動(dòng)態(tài)性和隨機(jī)性。不易取證，風(fēng)險(xiǎn)小破壞大，從而刺激了犯罪意識(shí)和犯罪活動(dòng)。是某些人惡作劇和暴富心態(tài)在計(jì)算機(jī)應(yīng)用領(lǐng)域的表現(xiàn)。

②計(jì)算機(jī)軟硬件產(chǎn)品的微弱性是根本的技術(shù)原因

計(jì)算機(jī)是電子產(chǎn)品。數(shù)據(jù)從輸入、存儲(chǔ)、處理、輸出等環(huán)節(jié)，易誤人、篡改、丟失、作假和破壞；程序易被刪除、改寫(xiě)；計(jì)算機(jī)軟件設(shè)計(jì)的手工方式，效率低下且生產(chǎn)周期長(zhǎng)；人們至今沒(méi)有辦法事先了解一個(gè)程序有沒(méi)有錯(cuò)誤，只能在運(yùn)行中發(fā)現(xiàn)、修改錯(cuò)誤，并不知道還有多少錯(cuò)誤和缺陷隱藏在其中。這些脆弱性就為病毒的入侵提供了方便。

③指在攻擊和摧毀計(jì)算機(jī)信息系統(tǒng)和計(jì)算機(jī)系統(tǒng)而制造的病毒一就是蓄意進(jìn)行破壞。例如1987年底出現(xiàn)在以色列耶路撒冷伯萊大學(xué)的猶太人病毒，就是員工在工作中受挫或被辭退是故意制造的。它針對(duì)性強(qiáng)，破壞性大，產(chǎn)生于內(nèi)部，防不勝防。

④用于研究或有益目的而設(shè)計(jì)的程序，由于某種原因失去控制或產(chǎn)生了意想不到的效果。

2計(jì)算機(jī)網(wǎng)絡(luò)勒索病毒的防范

勒索病毒是近年來(lái)增長(zhǎng)迅速且危害巨大的網(wǎng)絡(luò)安全威脅之一，是不法分子通過(guò)加密文件，鎖屏等方式劫持用戶文件等資產(chǎn)或資源，并以此敲詐用戶錢(qián)財(cái)?shù)囊环N惡意軟件。不法分子通過(guò)發(fā)送郵件等網(wǎng)絡(luò)釣魚(yú)方式，向受害電腦或服務(wù)器植入敲詐病毒來(lái)加密硬盤(pán)上的文檔甚至整個(gè)硬盤(pán)，隨后向受害企業(yè)或者個(gè)人索要數(shù)額不等的贖金（一般要求以比特幣方式支付）后才予以解密。

2.1如何設(shè)置電腦，防范勒索病毒

2.1.1計(jì)算機(jī)用戶升級(jí)安裝補(bǔ)丁

地址：https：∥technet.microsoft.com/zh-cn/library/security/MSl7-010.aspx。

Windows2003和XP沒(méi)有官方補(bǔ)丁，相關(guān)用戶可打開(kāi)并啟用Windows防火墻，進(jìn)入“高級(jí)設(shè)置”，禁用“文件和打印機(jī)共享”設(shè)置；或者啟用個(gè)人防火墻關(guān)閉445以及135、137、138、139等高風(fēng)險(xiǎn)端口。

已感染病毒的機(jī)器請(qǐng)立即斷網(wǎng)，避免進(jìn)一步傳播感染。

2.1.2系統(tǒng)設(shè)置

①開(kāi)啟系統(tǒng)防火墻

利用系統(tǒng)防火墻高級(jí)設(shè)置阻止向445端口進(jìn)行連接（該操作會(huì)影響使用445端口的服務(wù)）

打開(kāi)系統(tǒng)自動(dòng)更新，并檢測(cè)更新進(jìn)行安裝

360公司發(fā)布的“比特幣勒索病毒”免疫工具下載地址：http：/dl.360safe.condnsa/nsatool.exe

②Win7、Win8、WinlO的處理流程

打開(kāi)控制面板一系統(tǒng)與安全Windows防火墻，點(diǎn)擊左側(cè)啟動(dòng)或關(guān)閉Windows防火墻

選擇啟動(dòng)防火墻，并點(diǎn)擊確定

③點(diǎn)擊高級(jí)設(shè)置

④點(diǎn)擊入站規(guī)則，新建規(guī)則

⑤選擇端口，下一步

⑥特定本地端口，輸入445，下一步

⑦選擇阻止連接，下一步

⑧配置文件，全選，下一步

⑨名稱(chēng)，可以任意輸入，完成即可。

2.1.3 XP系統(tǒng)的處理流程

①依次打開(kāi)控制面板，安全中心，Windows防火墻，選擇啟用

②點(diǎn)擊開(kāi)始，運(yùn)行，輸入cmd，確定執(zhí)行下面三條命令

net stop rdr

Net stop sry

Net stop netbt

③由于微軟已經(jīng)不再為XP系統(tǒng)提供系統(tǒng)更新，建議用戶盡快升級(jí)到最高版本系統(tǒng)。勒索木馬正處于傳播期，被病毒感染上鎖的電腦還無(wú)法解鎖。建議盡快備份電腦中的重要文件資料到移動(dòng)硬盤(pán)、u盤(pán)，備份完后脫機(jī)保存該磁盤(pán)，同事對(duì)于不明鏈接、文件和郵件要提高警惕，加強(qiáng)防范。

中了敲詐者病毒解決的辦法。

360安全衛(wèi)士西西專(zhuān)區(qū)：http：∥m.cr173.com/k/360safe

360安全衛(wèi)士2016最新版：http：∥www.cr173.com/soft/3188.html

360手機(jī)助手2016版：http：∥m.er173.com/x/41712

3計(jì)算機(jī)網(wǎng)絡(luò)勒索病毒的危害結(jié)果

今年以來(lái)，敲詐者病毒呈現(xiàn)高發(fā)態(tài)勢(shì)，360互聯(lián)網(wǎng)安全中心檢測(cè)到，僅上半年，共截獲電腦端新增敲詐者病毒變種74種，涉及PE樣本40000多個(gè)，涉及非PE文件10000多個(gè)，全國(guó)至少有580000多臺(tái)用戶電腦遭到了敲詐者病毒攻擊，且多達(dá)50000多臺(tái)電腦最終感染敲詐者病毒，平均每天有約300臺(tái)國(guó)內(nèi)電腦感染勒索木馬。

3.1計(jì)算機(jī)網(wǎng)絡(luò)勒索病毒的對(duì)策

5月12日晚，全球爆發(fā)大規(guī)模勒索病毒感染事件。經(jīng)過(guò)初步調(diào)查，此類(lèi)勒索病毒傳播擴(kuò)散利用了基于445端口的SMB漏洞。此次遠(yuǎn)程利用代碼和4月14日黑客組織Shadow Brokers（影子經(jīng)紀(jì)人）公布的Equation Group（方程式組織）使用黑客工具包有關(guān)。其中ETERNALBLUE模塊是SMB漏洞利用程序，可以攻擊開(kāi)放了445端口的Windows機(jī)器，實(shí)現(xiàn)遠(yuǎn)程命令執(zhí)行。微軟在今年3月份發(fā)布的MS17-010補(bǔ)丁，修復(fù)了ETERNAL-BLUE所利用的SMB漏洞。目前基于ETERNALBLUES的多種攻擊代碼已經(jīng)在互聯(lián)網(wǎng)上廣泛流傳，出了捆綁勒索病毒，還發(fā)現(xiàn)有植入遠(yuǎn)程控制木馬等其他多種遠(yuǎn)程利用方式。此次利用的SMB漏洞影響以下未自動(dòng)更新的操作系統(tǒng)：

①Windows XP/Windows 2000/Windows 2003

②Windows Vista/Windows Server 2008/Windows Server2008R2

③windows 7/Windows8/Windows 10

④Windows Server 2012/Windows Server 2012 R2/WindowsServer2016

3.1.1企業(yè)局域網(wǎng)絡(luò)防范措施

①企業(yè)網(wǎng)出口防火墻禁止外網(wǎng)對(duì)企業(yè)網(wǎng)絡(luò)135/137/139/445端口的鏈接。

②企業(yè)網(wǎng)核心和匯聚交換機(jī)的所有VLAN禁止135/137/139/445端口的連接。

3.1.2個(gè)人用戶預(yù)防措施

①及時(shí)升級(jí)操作系統(tǒng)到Windows最新版本，并及時(shí)更新安全補(bǔ)丁。

②定期進(jìn)行重要文件的非本地備份。

③停止使用Windows XP、Windows2003等微軟已不再提供安全更新的操作系統(tǒng)。

④安裝并及時(shí)更新殺毒軟件。

⑤不要輕易打開(kāi)來(lái)源不明的電子郵件。

⑥切勿輕信網(wǎng)上所謂的有償解密方法、渠道，小心網(wǎng)絡(luò)詐騙分子利用這次事件招搖撞騙。

⑦Windows 7、Windows 8和Windows 10啟動(dòng)防火墻關(guān)閉445端口，具體操作如下：

A.打開(kāi)控制面板-系統(tǒng)與安全-Windows防火墻，點(diǎn)擊左側(cè)啟動(dòng)或關(guān)閉Windows防火墻；

B.選擇啟動(dòng)防火墻，并點(diǎn)擊確定；

C.點(diǎn)擊高級(jí)設(shè)置；

D.點(diǎn)擊人站規(guī)則，新建規(guī)則；

E.選擇端口，下一步；

F.特定本地端口，輸入445，下一步；

G.選擇阻止連接，下一步；

H.配置文件，全選，下一步；

I.名稱(chēng)可以任意輸入，完成即可。

J.XP系統(tǒng)也可以采用如下處理流程進(jìn)行應(yīng)急預(yù)防：依次打開(kāi)控制面板，安全中心，Windows防火墻，選擇啟用；然后點(diǎn)擊開(kāi)始，運(yùn)行，輸入cmd，執(zhí)行以下命令：

1）net stop rdr

2）net stop srv

3）Net stop netbt