“勒索病毒风靡全球，病毒肆虐，让企业和单位，包括个人蒙受损失，让大家闻风色变，俗话说：“兵来将挡水来土掩”，病毒虽然猖獗，但是大家平时做好安全防护措施，增加安全意识，不要轻易打开陌生的邮件，包括广告内容，及时更新系统和打系统漏洞补丁，还有使用移动存储设备的时候，要升级病毒库，查杀U盘。在使用移动存储设备，先查杀，后使用原则，做好以下措施，感染勒索病毒或者其他变异病毒，概率会大大降低。大家养成良好的操作习惯。以下是防范勒索病毒措施；Windows客户端和服务器端同样适用。”

一、病毒定义：

勒索病毒，是一种新型电脑病毒，主要以邮件、程序木马、网页挂马的形式进行传播。该病毒性质恶劣、危害极大，一旦感染将给用户带来无法估量的损失。这种病毒利用各种加密算法对文件进行加密，被感染者一般无法解密，必须拿到解密的私钥才有可能破解。

2017年12月13日，“勒索病毒”入选国家语言资源监测与研究中心发布的“2017年度中国媒体十大新词语”。

从2018年初到9月中旬，勒索病毒总计对超过200万台终端发起过攻击，攻击次数高达1700万余次，且整体呈上升趋势。

二、传播途径：

勒索病毒文件一旦进入本地，就会自动运行，同时删除勒索软件样本，以躲避查杀和分析。接下来，勒索病毒利用本地的互联网访问权限连接至黑客的C&C服务器，进而上传本机信息并下载加密私钥与公钥，利用私钥和公钥对文件进行加密。除了病毒开发者本人，其他人是几乎不可能解密。加密完成后，还会修改壁纸，在桌面等明显位置生成勒索提示文件，指导用户去缴纳赎金。且变种类型非常快，对常规的杀毒软件都具有免疫性。攻击的样本以exe、js、wsf、vbe等类型为主，对常规依靠特征检测的安全产品是一个极大的挑战。

通过漏洞发起的攻击占攻击总数的87.7%。由于win7、xp等老旧系统存在大量无法及时修复的漏洞，而政府、企业、学校、医院等局域网机构用户使用较多的恰恰是win7、xp等老旧系统，因此也成为病毒攻击的重灾区，病毒可以通过漏洞在局域网中无限传播。相反，win10系统因为强制更新，几乎不受漏洞攻击的影响。

通过邮件与广告推广的攻击分别为7.4%、3.9%。虽然这两类传播方式占比较少，但对于有收发邮件、网页浏览需求的企业而言，依旧会受到威胁。

此外，对于某些特别依赖U盘、记录仪办公的局域网机构用户来说，外设则成为勒索病毒攻击的特殊途径。

三、攻击对象：

勒索病毒一般分两种攻击对象，一部分针对企业用户(如xtbl，wallet)，一部分针对所有用户。

四、病毒规律：

该类型病毒的目标性强，主要以邮件为传播方式。

勒索病毒文件一旦被用户点击打开，会利用连接至黑客的C&C服务器，进而上传本机信息并下载加密公钥和私钥。然后，将加密公钥私钥写入到注册表中，遍历本地所有磁盘中的Office 文档、图片等文件，对这些文件进行格式篡改和加密;加密完成后，还会在桌面等明显位置生成勒索提示文件，指导用户去缴纳赎金。

该类型病毒可以导致重要文件无法读取，关键数据被损坏，给用户的正常工作带来了极为严重的影响。

五、病毒分析

一般勒索病毒，运行流程复杂，且针对关键数据以加密函数的方式进行隐藏。以下为APT沙箱分析到样本载体的关键行为。

1、调用加密算法库。

2、通过脚本文件进行Http请求。

3、通过脚本文件下载文件。

4、读取远程服务器文件。

5、通过wscript执行文件。

6、收集计算机信息。

7、遍历文件。

六、病毒防御

1：关闭服务进程（杜绝445端口）

开始菜单-》控制面板-》管理工具-》服务-》Server,点击禁止，然后启动类型选择禁用。

2：注册表关闭勒索病毒服务

开始菜单-》运行-》REGEDIT

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters新建DWORD键值，数值数据填写为0，基数选择十六进制，确定即可。

3：开启防火墙，防微杜渐过滤危险端口

开始菜单-》控制面板-》管理工具-》高级安全Windows Defender防火墙-》入站规则-》-》新建规则-》端口-》TCP-》特定本地端口-》阻止连接-》（域和专用还有公用）-》下一步-》名称和描述（比如135 & 135端口过滤阻止），其他端口过滤同上方法。

4：组策略安全设置ip安全策略

开始菜单-》运行-》gpedit.msc,打开本地组策略编辑器。依次展开“计算机配置---windows设置---安全设置---ip安全策略，在本地计算机”

以关闭139端口为例（其他端口操作相同）：

在本地组策略编辑器右边空白处 右键单击鼠标，选择“创建IP安全策略”，弹出IP安全策略向导对话框，单击下一步；在出现的对话框中的名称处写“关闭端口”（可随意填写），点击下一步；对话框中的“激活默认响应规则”选项不要勾选，然后单击下一步；勾选“编辑属性”，单击完成。在出现的“关闭端口 属性”对话框中，选择“规则”选项卡，去掉“使用添加向导”前边的勾后，单击“添加”按钮。在出现的“关闭端口 属性”对话框中，选择“规则”选项卡，去掉“使用 添加向导”前边的勾后，单击“添加”按钮。出现添加对话框，名称出填“封端口”（可随意填写），去掉“使用添加向导”前边的勾后，单击右边的“添加”按钮. 在出现的“IP筛选器属性”对话框中，选择“地址”选项卡，“源地址”选择“任何”，“目标地址”选择“我的IP地址”；

选择“协议”选项卡，各项设置如图片中所示。设置好后点击“确定”。 返回到“ip筛选器列表”，点击“确定”。返回到“新规则 属性”对话框

在ip筛选器列表中选择刚才添加的“封端口”，然后选择“筛选器操作”选项卡，，去掉“使用 添加向导”前面的勾，单击“添加”按钮

在“筛选器操作 属性”中，选择“安全方法”选项卡，选择“阻止”选项；在“常规”选项卡中，对该操作命名，点确定.

选中刚才新建的“新建1”，单击关闭，返回到“关闭端口属性“对话框，确认“IP安全规则”中 封端口 规则被选中后，单击 确定。

在组策略编辑器中，可以看到刚才新建的“关闭端口”规则，选中它并单击鼠标右键，选择“分配”选项，使该规则开始应用！

到此，大功告成，同样的方法你可以添加对任何你想限制访问的端口的规则。

“综上所述：增加个人网络安全意识，养成良好的上网习惯和日常操作习惯，安装杀毒软件和防火墙，升级病毒库，定期全盘杀毒，及时打系统漏洞补丁。定时做好数据备份，把重要数据加密转移到安全的存储介质上，比如云盘和移动硬盘。不要安装过多的应用软件，不要轻易打开陌生的电子邮件，不要点击陌生人给你发送的链接地址，不要访问不知名的网站，不要点击广告内容，使用移动存储设备，先查杀，后使用。”