网络安全(14)——勒索病毒防护

美国国家安全局被泄漏的黑客工具，可以远程攻击全球约7 0 %的Window s机器，紧急建议网民关闭135、137、445端口和3389远程登录，并注意更新安全产品进行防御。重点是XP、2003这种已经停止系统更新服务的老旧系统，从已泄漏的“网络武器”来看，这些端口很有可能成为黑客入侵的“路径”。此前，国内也曾多次爆发利用445端口传播病毒的网络安全事件，下面为大家说下怎么防护： 一、特征： 勒索软件会感染用户的计算机、锁定系统（通常会给硬盘数据加密），随后要求用户支付赎金换取解密密钥，而赎金通常会要求通过比特币形式来支付，要求用户支付300美元比特币的赎金来解锁计算机。

二、防护： 1.针对于 windows XP、Windows 2003 等更加久远的系统： 微软已经发布相关的补丁 MS17-010 用以修复被 “ Eternal Blue” 攻击的系统漏洞，请尽快安装此安全补丁，网址为 https://technet.microsoft.com/zh-cn/library/security/MS17-010 。对于 windows XP、Windows 2003 等更加久远的系统，微软则不再提供安全补丁，请通过关闭端口的方式进行防护。 在 Windows 电脑上运行系统自带的免费杀毒软件并启用 Windows Updates 的用户可以免受这次病毒的攻击。Windows 10 的用户可以通过设置-Windows 更新启用 Windows Updates 安装最新的更新，同时可以通过设置-Windows Defender，打开安全中心。 2.关闭 135、137、138、139、445端口，关闭网络共享也可以避免中招，操作方法如下： a.方法 1) 运行 输入“dcomcnfg”； 2)在“计算机”选项右边，右键单击“我的电脑”，选择“属性” 3)在出现的“我的电脑属性”对话框“默认属性”选项卡中，去掉“在此计算机上启用分布式 COM”前的勾； 4)选择“默认协议”选项卡，选中“面向连接的TCP/IP”，单击“删除”按钮，最后“确认”。 b.关闭 135、137、138 端口 1）在网络邻居上点右键选属性，在新建好的连接上点右键选属性再选择网络选项卡，去掉 Microsoft 网络的文件和打印机共享，以及 Microsoft 网络客户端的复选框。这样就关闭了共享端 135 、137、138端口。 c.关闭 139 端口 1）139 端口是 NetBIOSSession 端口，用来文件和打印共享。关闭 139 的方法是：在“网络和拨号连接”中的“本地连接”中，选取“Internet协议 (TCP/IP)”属性，进入“高级 TCP/IP 设置”“WINS设置”里面，有一项“禁用TCP/IP的 NETBIOS ”，打勾就可关闭 139 端口。 d.关闭 445 端口 1）开始-运行输入 regedit. 确定后定位到 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNetBTParameters，新建名为“SMBDeviceEnabled”的DWORD值，并将其设置为 0，则可关闭 445 端口。

三、开启系统防火墙。利用系统防火墙高级设置阻止向445端口进行连接（该操作会影响使用445端口的服务） a.Win7、Win8、Win10的处理流程 1） 点击开始，点击控制面板，点击系统与安全，点击windows防火墙； 2） 点击高级设置； 3） 点击入站规则，点击新建规则； 4） 点击端口，点击下一步； 5） 点击特定本地端口，输入445，点击下一步； 6） 点击阻止连接； 7） 点击下一步； 8） 输入名称例如勒索病毒，点击完成即可。 b.XP系统的处理流程 1）依次打开控制面板，安全中心，Windows防火墙，选择启用 2）点击开始，运行，输入cmd，确定执行下面三条命令 a) net stop rdr b) net stop srv c) net stop netbt

四、由于微软已经不再为XP系统提供系统更新，建议用户尽快升级到高版本系统。

360公司发布的“比特币勒索病毒”免疫工具下载地址：http://dl.360safe.com/nsa/nsatool.exe