腾讯安全发布处理勒索病毒“WannaCry”最全攻略

　　据了解，此次勒索病毒“Wannacry”事件是黑客利用了去年被盗的美国国家安全局(NSA)自主设计的Windows系统黑客工具Eternal Blue“永恒之蓝”，网上出现的相关攻击脚本和利用教程也以该漏洞为主。与以往相比最大的区别在于，勒索病毒结合了蠕虫的方式进行传播。

　　本次事件影响范围广泛，董志强针对事前防范、事后病毒清理和事后文件恢复三种情形向广大用户提出处理建议：

　　事前预防

　　1. 关闭漏洞端口，安装系统补丁

　　a) 可以采用一些免疫工具进行自动化的补丁安装和端口屏蔽，比如电脑管家勒索病毒免疫工具(下载地址：https://guanjia.qq.com/wannacry/)

　　b) 手动关闭端口，下载安装补丁

　　i. 补丁下载：

　　ii. 利用防火墙添加规则屏蔽端口

　　1. 开始菜单-打开控制面板-选择Windows防火墙

　　2. 如果防火墙没有开启，点击"启动或关闭 Windows防火墙"启用防火墙后点击" 确定"

　　3. 点击" 高级设置"，然后左侧点击"入站规则"，再点击右侧" 新建规则"

　　4. 在打开窗口选择选择要创建的规则类型为"端口"，并点击下一步

　　5. 在"特定本地端口"处填入445并点击"下一步"，选择"阻止连接"，然后一直下一步，并给规则随意命名后点击完成即可。

　　注：不同系统可能有些差异，不过操作类似

　　iii. 腾讯云机器也可以通过配置安全组规则屏蔽445端口

　　1. 选择需要操作机器所属的安全组，点击"编辑规则"

　　2. 直接点击快捷配置按钮"封堵安全漏洞"就可以自动添加规则

　　3. 该快捷按钮将会添加"137、139、445"三个端口的屏蔽规则，如果只想添加本次所影响的445端口，可以在保存前进行调整(如非业务需要，不建议调整)

　　2. 备份数据，安装安全软件，开启防护

　　a) 对相关重要文件采用离线备份(即使用U盘等方式)等方式进行备份

　　b) 部分电脑带有系统还原功能，可以在未遭受攻击之前设置系统还原点，这样即使遭受攻击之后可以还原系统，找回被加密的原文件，不过还原点时间到遭受攻击期间的文件和设置将会丢失

　　c) 目前，大部分安全软件已经具有该勒索软件的防护能力或者其他免疫能力等，可以安装这些安全软件，如腾讯电脑管家，开启实时防护，避免遭受攻击

　　d) 可以采用一些文件防护工具，进行文件的备份、防护，如电脑管家的文档守护者(电脑管家工具箱内可下载使用：工具箱-系统-文档守护者)

　　3. 建立灭活域名实现免疫

　　根据对已有样本分析，勒索软件存在触发机制，如果可以成功访问iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com，则电脑在中了勒索病毒后不会进行文件加密而直接退出。目前该域名已被安全人员注册，可以正常访问。

　　a) 普通用户在可以联网状态下，保证对该网址的可访问，则可以避免在遭受攻击后避免被加密(仅限于已知勒索病毒)

　　b) 企业用户可以通过在内网搭建Web Server，然后通过内网DNS的方式将域名解析到Web Server IP的方式来实现免疫;通过该域名的访问情况也可以监控内网病毒感染的情况

　　事后病毒清理

　　1. 首先可以拔掉网线等方式隔离已遭受攻击电脑，避免感染其他机器

　　2. 病毒清理

　　相关安全软件(如电脑管家)的杀毒功能能直接查杀勒索软件，可以直接进行扫描清理(已隔离的机器可以通过U盘等方式下载离线包安装);

　　3. 也可以在备份了相关数据后直接进行系统重装，并在重装后参考"事前预防"进行预防操作

　　事后文件恢复

　　基于目前已知的情况，当前没有完美的文件恢复方案，可以通过以下的方式恢复部分文件：

　　1. 勒索软件带有恢复部分加密文件的功能，可以直接通过勒索软件恢复部分文件，不过该恢复有限;直接点击勒索软件界面上的"Decrypt"可弹出恢复窗口，显示可免费恢复的文件列表，然后点击"Start"即可恢复列表中文件

　　2. 根据对勒索病毒分析，勒索软件在加密文件后会删除源文件，所以通过数据恢复软件可以有一定概率恢复已被加密的部分文件，可以使用第三方数据恢复工具尝试数据恢复，云上用户可直接联系腾讯安全云鼎实验室协助处理。

　　目前，腾讯安全人员正时刻关注勒索病毒“WannaCry”发展情况，建议广大用户加强网络安全意识，开启腾讯电脑管家对电脑进行实时保护，谨防勒索病毒侵扰。