據(jù)BBC報道，計算機(jī)網(wǎng)絡(luò)病毒攻擊已擴(kuò)散到美國、英國、中國、俄羅斯、西班牙、意大利等74個國家。

請注意：目前國內(nèi)正在大規(guī)模的傳播勒索軟件，本次攻擊的主要目標(biāo)是位于全國各地的高校。

疑似通過校園網(wǎng)傳播，十分迅速。目前受影響的有賀州學(xué)院、桂林電子科技大學(xué)、桂林航天工業(yè)學(xué)院以及廣西等地區(qū)的大學(xué)。另外有網(wǎng)友反映，大連海事大學(xué)、山東大學(xué)等也受到了病毒攻

攻擊者利用Windows系統(tǒng)默認(rèn)開放的445端口在高校校園網(wǎng)內(nèi)進(jìn)行傳播，攻擊者不需要用戶進(jìn)行任何操作即可進(jìn)行感染。

感染后設(shè)備上的所有文件都將會被加密，攻擊者聲稱用戶需要支付300~600美元的比特幣才可以解鎖。

而目前眾多高校學(xué)生正在忙著論文，一旦被加密即使支付也不一定能夠獲得解密密鑰。

漏洞名稱：

Microsoft Windows SMB遠(yuǎn)程任意代碼執(zhí)行漏洞 (MS17-010)

包含如下CVE：

CVE-2017-0143 嚴(yán)重 遠(yuǎn)程命令執(zhí)行

CVE-2017-0144 嚴(yán)重 遠(yuǎn)程命令執(zhí)行

CVE-2017-0145 嚴(yán)重 遠(yuǎn)程命令執(zhí)行

CVE-2017-0146 嚴(yán)重 遠(yuǎn)程命令執(zhí)行

CVE-2017-0147 重要 信息泄露

CVE-2017-0148 嚴(yán)重 遠(yuǎn)程命令執(zhí)行

漏洞描述

SMBv1 server是其中的一個服務(wù)器協(xié)議組件。

Microsoft Windows中的SMBv1服務(wù)器存在遠(yuǎn)程代碼執(zhí)行漏洞。

遠(yuǎn)程攻擊者可借助特制的數(shù)據(jù)包利用該漏洞執(zhí)行任意代碼。

以下版本受到影響：Microsoft Windows Vista SP2，Windows Server 2008 SP2和R2 SP1，Windows 7 SP1，Windows 8.1，Windows Server 2012 Gold和R2，Windows RT 8.1，Windows 10 Gold，1511和1607，Windows Server 2016。

預(yù)感染方案

方法1

1.目前微軟已發(fā)布補(bǔ)丁MS17-010修復(fù)了“永恒之藍(lán)”攻擊的系統(tǒng)漏洞，請盡快為電腦安裝此補(bǔ)丁，網(wǎng)址為

對于XP、2003等微軟已不再提供安全更新的機(jī)器，推薦使用360“NSA武器庫免疫工具”檢測系統(tǒng)是否存在漏洞，并關(guān)閉受到漏洞影響的端口，可以避免遭到勒索軟件等病毒的侵害。

免疫工具下載地址：

2.安裝正版操作系統(tǒng)、Office軟件等。

3.關(guān)閉445、137、138、139端口，關(guān)閉網(wǎng)絡(luò)共享；

4.強(qiáng)化網(wǎng)絡(luò)安全意識，“網(wǎng)絡(luò)安全就在身邊，要時刻提防”：不明鏈接不要點(diǎn)擊，不明文件不要下載……

5.盡快（今后定期）備份自己電腦中的重要文件資料到移動硬盤/U盤／網(wǎng)盤上。

方法2 *自動

查看更多請百度搜索：萬向異次元

方法3 *手動

1.防火墻屏蔽445、137、138、139端口 （①控制面板→windows防火墻→高級設(shè)置→入站規(guī)則→新建規(guī)則→端口→tcp→下面輸入“445”→阻止連接→再新建一次規(guī)則里面選udp，依次安裝本方法操作，主要最值阻止445端口）★★★★★

2.利用 Windows Update 進(jìn)行系統(tǒng)更新★

3.網(wǎng)絡(luò)連接→本地連接→右鍵屬性→取消“Microsoft 網(wǎng)絡(luò)的文件和打印機(jī)共享”★★★

4.關(guān)閉 SMBv1 服務(wù)★★★★

4.1 適用于運(yùn)行 Windows 8.1 或 Windows Server 2012 R2 及更高版本的客戶

對于客戶端操作系統(tǒng)：

打開“控制面板”，單擊“程序”，然后單擊“打開或關(guān)閉 Windows 功能”。

在“Windows 功能”窗口中，清除“SMB 1.0/CIFS 文件共享支持”復(fù)選框，然后單擊“確定”以關(guān)閉此窗口。

重啟系統(tǒng)。

4.2 對于服務(wù)器操作系統(tǒng)：

打開“服務(wù)器管理器”，單擊“管理”菜單，然后選擇“刪除角色和功能”。

在“功能”窗口中，清除“SMB 1.0/CIFS

文件共享支持”復(fù)選框，然后單擊“確定”以關(guān)閉此窗口。

重啟系統(tǒng)。

4.3適用于運(yùn)行Windows 7、 Windows Server 2008 R2、 Windows Vista 和 Windows Server 2008，修改注冊表

注冊表路徑︰ HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\LanmanServer\\Parameters

新建項︰ SMB1，值0（DWORD）

重新啟動計算機(jī)

勒索病毒中招嘗試解決方案

方法一:

1:打開自己的那個勒索軟件界面，點(diǎn)擊copy. （復(fù)制黑客的比特幣地址）

2:把copy粘貼到b （區(qū)塊鏈查詢器）

3:在區(qū)塊鏈查詢器中找到黑客收款地址的交易記錄，然后隨意選擇一個txid（交易哈希值）

4:把txid 復(fù)制粘貼給 勒索軟件界面按鈕connect us.

5:等黑客看到后 你再點(diǎn)擊勒索軟件上的check payment.

6:再點(diǎn)擊decrypt 解密文件即可。

方法二:

下載開源的腳本(需要python3環(huán)境)來運(yùn)行嘗試恢復(fù)。

下載鏈接：