关于新的勒索病毒爆发如何预防！【windows7吧】_百度贴吧
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&签到排名：今日本吧第个签到，本吧因你更精彩，明天继续来努力！
本吧签到人数：0成为超级会员，使用一键签到本月漏签0次！成为超级会员，赠送8张补签卡连续签到：天&&累计签到：天超级会员单次开通12个月以上，赠送连续签到卡3张
关注：459,335贴子：
关于新的勒索病毒爆发如何预防！收藏
Win7以上用户安装ms17-010补丁，WinXP/2003安装KB4012598 补丁自行关闭138，139，445端口（一般家庭网络没什么问题）防范方法：1.我们仍然建议使用者过旧系统（XP等）的用户尽快升级至仍在受支持的系统2.不要访问可疑的网站或者点开可疑的链接3.使用微软官方提供的补丁（见帖末）或手动关闭135,137-139,445,3389等端口4.定期备份至可靠的云存储或者是移动硬盘5.不要成为信息孤岛，定期查看科技网站的新闻6.最好不要关闭Windows的定期的安全更新本次攻击受影响的多数是校园网和医疗系统。 被加密无救，比特币挖矿特困难，等待安全软件修复吧
转自Windows Bar
2017年全新windows7,32位/64位win7系统下载 纯净稳定,下载速度快
请升级到Win10 1703彻底预防病毒！
拔网线，拔插头
w8.1行吗？
楼主 这个应该下载哪个啊
前几天看个帖子，一堆裸奔的，就我天天打补丁，打完win7再打office，终于看到成果了
还有，已经感染病毒的用户请断开网络！防止进一步感染，来源楼下
不打补丁，自己关闭端口行吗？
我发的很多都被删除了……
2017新版Ghost Win7旗舰版系统,win7系统下载,安全稳定,装机必备之选.本站系统下载速度快,免激活,万能驱动完美兼容笔记本,新老台式机,是电脑装机好系统.
楼主这个补丁360有了没啊
win10大法好
楼主，这个win7补丁哪里有啊
新：Win7以上用户补加MS17-101补丁！！！！
登录百度帐号推荐应用紧急！国内爆发新型勒索病毒！中国多所高校已中招_凤凰资讯
紧急！国内爆发新型勒索病毒！中国多所高校已中招
用微信扫描二维码分享至好友和朋友圈
感染病毒后需要支付比特币才能恢复。
东北财经大学向师生发布安全提醒
　　正值毕业论文季，一种新型勒索病毒爆发，为高校学生们带来了挑战。近日这种病毒在国内一些高校的教育网、校园网已经造成了影响，致使许多实验室数据和毕业设计被锁，昨夜今晨多家高校发布紧急通知，提醒师生注意。
　　5月12日23时，山东大学对校园网用户发布通知称，近期国内多所院校(包括我校部分单位)出现ONION勒索软件感染情况，磁盘文件会被病毒加密为.onion后缀，该勒索软件是此前活跃的勒索软件Wallet的一类变种，运用了高强度的加密算法难以破解，被攻击者除了支付高额赎金外，往往没有其他办法解密文件，只有支付高额赎金才能解密恢复文件，对学习资料和个人数据造成严重损失。根据网络安全机构通报，这是不法分子利用NSA黑客武器库泄漏的“永恒之蓝”发起的病毒攻击事件。从我校被感染机器的情况来看，一是操作系统、Office软件等没有采用正版软件，且漏洞、补丁更新不及时；二是不常用端口没有封闭；三是个人网络安全意识淡漠，没有定期备份文档的习惯。
　　5月13日凌晨，电子科技大学中山学院网络维护科发布通报称，近期国内多所院校出现ONION勒索软件感染情况，磁盘文件会被病毒加密为.onion后缀，只有支付高额赎金才能解密恢复文件，对学习资料和个人数据造成严重损失。
　　根据网络安全机构通报，这是不法分子利用NSA黑客武器库泄漏的“永恒之蓝”发起的病毒攻击事件。“永恒之蓝”会扫描开放445文件共享端口的Windows机器，无需用户任何操作，只要开机上网，不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序。
　　由于以前国内多次爆发利用445端口传播的蠕虫，运营商对个人用户已封掉445端口，但是教育网并没有此限制，仍然存在大量暴露445端口的机器。据有关机构统计，目前国内平均每天有5000多台机器遭到NSA“永恒之蓝”黑客武器的远程攻击，教育网就是受攻击的重灾区！
　　南昌大学发布紧急通知
　　南昌大学通过官方微博提醒师生：
　　一、做好个人重要数据备份。个人的科研数据、工作文档、照片等，根据其重要程度，定期备份到移动存储介质、知名网盘或其他计算机中。
　　二、养成良好的网络浏览习惯。不要轻易下载和运行未知网页上的软件，减少计算机被入侵的可能。
　　三、注意个人计算机安全维护。自动定期更新系统补丁，安装常用杀毒软件和安全软件，升级到最新病毒库，并打开其实时监控功能。
　　四、停止使用微软官方已经明确声明不会进行安全漏洞修补的操作系统和办公软件。Office文档中的宏是默认禁止的，在无法确认文档是安全的情况下，切勿盲目打开宏功能。
　　五、不要打开来历不明或可疑的电子邮件和附件。
　　六、注意个人手机安全，安装手机杀毒软件，从可靠安全的手机市场下载手机应用程序。
　　据记者梳理发现，包括山东大学、南昌大学、广西师范大学、东北财经大学在内十几家高校发布通知，提醒师生注意防范。
　　另据外媒报道，这种病毒在英国造成了多家医院的病人资料被加密，目前已经有74个国家和地区的数万台电脑遭到攻击。
大家都在看
（摘自中国青年网）
用微信扫描二维码分享至好友和朋友圈
凤凰资讯官方微信
播放数：1443918
播放数：1867777
播放数：497040
播放数：5808920&&|&&责编：王征
&&&&【】从昨天开始，许久不见的计算机病毒又开始了全球性的爆发，此次爆发的是勒索病毒。上一次如此规模爆发并导致不良后果的，笔者印象里好像还是多年前的CIH。废话不多说，此次勒索病毒正在蔓延，作为普通计算机使用者，我们应该怎么做？中毒界面&&&&病毒特征：&&&&此次病毒会将系统上的大量文件加密成为.onion为后缀的文件，如果要解密，则需要缴纳价值300美元的比特币。这是一种非常恶心的病毒，这种勒索病毒使用的是2048位RSA加密，目前的计算机没有办法解密，暴力破解的时间可能要以百万年计或是等到量子计算机实用化。并不能解密这些加密后的文件，除了花钱没有其它办法恢复……万一你中了病毒也别给钱，且不说300美元的比特币价格不菲，黑客们未必会给你解密的密钥！&&&&第一步：确保安装的系统来自微软官方的光盘镜像微软的正版光盘&&&&这里已经不去讨论你系统盘的来路是否正版盗版，而是关系到系统安全，必须要用来自微软官方的光盘镜像。在国内，有大量的“xxxxGhost系统”“一键安装Windows7/10&等等的安装盘，这些系统有的会对系统的功能进行精简，而操作系统作为一个整体，无论任何形式的精简，都将影响系统的安全性，更何况今天用U盘引导重新安装个纯净系统也就十分钟时间，作为计算机用户，你的系统是来自微软官方的吗？&&&&你不懂没关系，找个懂的朋友，请他/她吃顿饭，让他给你重新安装一个纯净系统及程序及各种你要用到的，这个过程可能要折腾半天，所以为了安全，你这一顿饭不算亏。&&&第二步：安装系统安全补丁微软的安全公告页面附带不同系统的更新补丁&&&&很多人都不喜欢给系统打补丁，这是个非常差的习惯。当然微软的补丁很多都会要求重启计算机，这可能不算什么好体验，但是为了安全不得不这样。微软针对勒索病毒其实已经有了系统安全补丁MS17-010，在（点击跳转微软官方网站）可以根据系统选择对应的补丁进行安装。&&&第三部：安装安全软件微软的Windows&Defender免费的国产安全软件360&&&&安全软件很多，这里就不一一列举了，比如微软自己的MS&Defender、、等等。都可以进行一定程度上的防御。不愿意花钱买防毒软件，可以考虑国产的这些免费工具，可能会有些骚扰，不过总体的使用体验还算能接受。&&&&手动操作：关闭计算机的135、139等445端口&&&&我们的电脑与网络通信，有许多端口，比如常见的HTTP协议的80端口等等。而此次病毒威胁比较大的危险端口为135、136、445等，这里要教大家如何封堵这些端口。这里演示的是如何在windows7系统通过组策略封锁445端口，操作繁琐。因此需要有些耐心，不要被吓跑。&&&开始-运行-gpedit.msc点击展开创建新的IP安全策略给策略起名这里不要勾选点击完成，勾选编辑属性添加之后会弹出选项卡继续添加任意来源地址我的IP地址在第二张选项卡里选择筛选器操作后弹出此界面，选择TCP协议、照图操作选择阻止确定完成在组策略里面点击这个“否”点击分配，封锁端口操作才算完成&&&&这个操作非常复杂，而且这只是封锁了一个445端口，另外两个也要照此操作。&&&&最后，祝大家好运！本文属于原创文章，如若转载，请注明来源：.cn/639/6392344.html
产品定位 最大打印幅面
投诉欺诈商家:
天津重庆哈尔滨沈阳长春石家庄呼和浩特西安太原兰州乌鲁木齐成都昆明贵阳长沙武汉郑州济南青岛烟台合肥南京杭州东莞南宁南昌福州厦门深圳温州佛山宁波泉州惠州银川
本城市下暂无经销商新一轮勒索病毒又开始爆发，这次连切尔诺贝利也遭殃了
2017 年 6 月底爆发的勒索病毒 Petrwrap 是什么？是否会进一步影响中国？
知乎用户，安全转开发，快乐你我他/网络安全
网上详细的分析报告都出来了。
我直接整理一下。
如果要看详细的直接看文末分析报告。
此答案末尾会更新事件进展。
1.是什么？
Petya 类似于永恒之蓝，但是不同的是，它不会对电脑中的每个文件都进行加密，而是加密 NTFS 分区、覆盖 MBR、阻止机器正常启动，影响更加严重。攻击者通过发送恶意的求职邮件进行鱼叉攻击，如果想要恢复，需要支付价值相当于 300 美元的比特币。
Petya 勒索病毒变种会通过邮箱附件传播，利用携带漏洞的 DOC 文档进行攻击。中毒后，病毒会修改系统的 MBR 引导扇区，当电脑重启时，病毒代码会在 Windows 操作系统之前接管电脑，执行加密等恶意操作。电脑重启后，会显示一个伪装的界面，此界面实际上是病毒显示的，界面上假称正在进行磁盘扫描，实际上正在对磁盘数据进行加密操作。
Petya 利用（MS17-010)SMB 漏洞进行内网传播。
至于是否利用了（CVE-）RTF 漏洞进行钓鱼攻击，目前存疑。
有安全厂商认为此事和（CVE-）无关
感染源头是 CVE- 漏洞吗？ 根据我们捕获的样本分析，并没有发现相应依据。 目前多家安全公司报道称此次攻击是利用携带 CVE- 漏洞附件的钓鱼邮件进行投放，该样本（SHA256:FE2E5D9E401EC216D78A5A3547DFD426FD47E097DF04A5F7D6D206）执行后下载 myguy.xls（SHA256:EE29B9C36BD4811246FDAE2F41DF9F0DCD922C63BC6）文件，进一步该样本会请求域名，下载新的 Payload (SHA256：120dd2ae02b4134bcbb7055cb4bdbd17dda1d4a4baa2)，经过微步在线确认，该样本为 LokiBot 家族，并非 Petya 家族（注：此样本会请求域名 COFFEINOFFICE.XYZ 进行进一步的恶意行为），跟此次事件没有直接关系，也并非最初始的感染源头。
2.怎么传播？
（来自思科 Talos、ESET、卡巴斯基实验室的分析称，黑客首先攻击了乌克兰的会计软件厂商 M.E.Doc，随后黑客通过 M.E.Doc 的更新服务器推送推给用户。用户更新软件时，便感染了病毒）
同时 Petya 会尝试在内存或者本地文件系统中提取密码，寻求入侵其他系统的途径。
随后，Petya 会利用 PsExec 和 WMI。PsExec 原本是用来远程执行操作的工具，而 Petya 把它用来在其他电脑执行恶意代码。如果受感染的电脑拥有整个网络的管理权限，整个网络中的电脑都可能被感染。
3.感染过程
C:\Windows\dllhost.dat \\10.141.2.26 -accepteula -s -d C:\Windows\System32\rundll32.exe “C:\Windows\perfc.dat”,##1 60 “RCAD\ryngarus.ext:FimMe21Pass!roy4″”RCAD\svcomactions:3GfmGeif”
c:\windows\system32\wbem\wmic.exe /node:”IP_ADDR” /user:”User” /password:”PWD” process call create “c:\windows\system32\rundll32.exe” \”c:\windows\perfc.dat\” #1
4.主要功能描述
系统重启，恶意 MBR 加载；
检测磁盘是否被加密，如果没有则显示伪造 的检测磁盘界面、并加密 MFT；
显示红色的勒索界面，让用户输入秘钥；
5.会不会进一步影响中国？
会。已经影响。
6.怎么办？
2.暂时关闭 WMIC 功能。
Posteo 宣布关闭勒索病毒制作者的邮箱账户 ，而该邮箱地址是 Petya 勒索信息显示的唯一联系方式，是勒索病毒作者确认比特币支付的手段。也就是说，受害者目前无法再交付赎金……
阿里云云栖社区，汇集阿里技术精粹，
回答来自机构帐号：
看到十七兄的精彩分析顺手点个赞，在这里社区附上阿里云安全部门专家的安全建议作为补充：
阿里云安全团队第一时间拿到病毒样本，并进行了分析：
这是一种新型勒索蠕虫病毒。电脑、服务器感染这种病毒后会被加密特定类型文件，导致系统无法正常运行。目前，该勒索蠕虫通过 Windows 漏洞进行传播，一台中招可能就会感染局域网内其它电脑。
一、Petya 与 WannaCry 病毒的对比
1、加密目标文件类型
Petya 加密的文件类型相比 WannaCry 少。
Petya 加密的文件类型一共 65 种，WannaCry 为 178 种，不过已经包括了常见文件类型。
2、支付赎金
Petya 需要支付 300 美金，WannaCry 需要支付 600 美金。
二、云用户是否受影响？
截止发稿，云上暂时未发现受影响用户。
6 月 28 日凌晨，阿里云对外发布了公告预警。
三、勒索病毒传播方式分析
Petya 勒索蠕虫通过 Windows 漏洞进行传播，同时会感染局域网中的其它电脑。电脑感染 Petya 勒索病毒后，会被加密特定类型文件，导致电脑无法正常运行。
阿里云安全专家研究发现，Petya 勒索病毒在内网系统中，主要通过 Windows 的协议进行横向移动。
主要通过 Windows 管理体系结构（Microsoft Windows Management Instrumentation），和 PSEXEC（SMB 协议）进行扩散。
截止到当前，黑客的比特币账号(1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX)中只有 3.39 个比特币（1 比特币=2459 美金），33 笔交易，说明已经有用户支付了赎金。
四、技术和加密过程分析
阿里云安全专家对 Petya 样本进行研究后发现，操作系统被感染后，重新启动时会造成无法进入系统。如下图显示的为病毒伪装的磁盘扫描程序。
Petya 病毒对勒索对象的加密，分为以下 7 个步骤：
首先，函数 sub_10001EEF 是加密操作的入口。遍历所有磁盘，对每个固定磁盘创建一个线程执行文件遍历和加密操作，线程参数是一个结构体，包含一个公钥和磁盘根路径。
然后，在线程函数（StartAddress）中，先获取密钥容器，
pszProvider="MicrosoftEnhanced RSA and AES Cryptographic Provider"
dwProvType=PROV_RSA_AES Provider 为 RSA_AES。
调用 sub_10001B4E，通过 CryptGenKey 生成 AES128 密钥，用于后边进行文件加密。
如果生成密钥成功，接着调用 sub_ 和 sub_10001D32，分别是遍历磁盘加密文件和保存密钥的功能。
在 sub_ 函数中判断了只对特定文件后缀加密。
sub_10001D32 函数功能是将密钥加密并写入磁盘根路径的 README.TXT 文件中，
该函数在开始时调用了 sub_10001BA0 获取一个程序内置的公钥
之后，调用 sub_10001C7F 导出 AES 密钥，在这个函数中用前边的公钥对它加密。
最后，在 README.TXT 中写了一段提示付款的文字，并且将加密后的密钥写入其中。
因为密钥经过了程序中内置的公钥加密，被勒索对象必须要有黑客的私钥才能解密。这也就造成了勒索加密的不可逆性。
五、安全建议
目前勒索者使用的邮箱已经被关停，不建议支付赎金。
所有在 IDC 托管或自建机房有服务器的企业，如果采用了 Windows 操作系统，立即安装微软补丁。
对大型企业或组织机构，面对成百上千台机器，最好还是使用专业客户端进行集中管理。可靠的数据备份可以将勒索软件带来的损失最小化。
相关内容推荐：
「知乎机构帐号」是机构用户专用的知乎帐号，与知乎社区内原有的个人帐号独立并行，其使用者为有正规资质的组织机构，包括但不限于科研院所、公益组织、政府机关、媒体、企业等。这不仅是知乎对机构的「身份认证」，更是涵盖了内容流通机制、帐号规范等全套帐号体系。和个人帐号一样，机构帐号开通不需要任何费用，同时也受社区规范的监督管理，并要遵守相关协议。目前机构帐号入驻采用邀请制。您可以通过
来了解更多机构帐号信息。
客官，这篇文章有意思吗？