電腦如何防御避免勒索病毒

　　目前，安全業(yè)界暫未能有效破除該勒索軟的惡意加密行為，用戶主機(jī)一旦被勒索軟件滲透，只能通過重裝操作系統(tǒng)的方式來解除勒索行為，但用戶重要數(shù)據(jù)文件不能直接恢復(fù)。以下是小編收集的有關(guān)電腦安全勒索病毒的知識(shí)，希望對(duì)您有所幫助。

　　電腦如何防御避免勒索病毒1

　　一、臨時(shí)關(guān)閉端口。

　　Windows用戶可以使用防火墻過濾個(gè)人電腦，并且臨時(shí)關(guān)閉135、137、445端口3389遠(yuǎn)程登錄(如果不想關(guān)閉3389遠(yuǎn)程登錄，至少也是關(guān)閉智能卡登錄功能)，并注意更新安全產(chǎn)品進(jìn)行防御，盡量降低電腦受攻擊的風(fēng)險(xiǎn)。(Windows用戶可以使用防火墻過濾個(gè)人電腦，并且臨時(shí)關(guān)閉135、137、445端口3389遠(yuǎn)程登錄)

　　二、及時(shí)更新Windows已發(fā)布的安全補(bǔ)丁

　　在3月MS17-010漏洞剛被爆出的時(shí)候，微軟已經(jīng)針對(duì)Win7、Win10等系統(tǒng)在內(nèi)提供了安全更新;此次事件爆發(fā)后，微軟也迅速對(duì)此前尚未提供官方支持的Windows XP等系統(tǒng)發(fā)布了特別補(bǔ)丁。

　　三、利用“勒索病毒免疫工具”等殺毒軟件進(jìn)行修復(fù)

　　將指定電腦在關(guān)閉Wi-Fi，拔掉網(wǎng)線，斷網(wǎng)狀態(tài)下開機(jī)，并盡快備份重要文件;然后通過U盤使用騰訊的“勒索病毒免疫工具”離線版等工具，進(jìn)行一鍵修復(fù)漏洞;聯(lián)網(wǎng)即可正常使用電腦。

　　四、備份

　　重要的資料一定要備份，謹(jǐn)防資料丟失。

　　解析：高校為何成勒索病毒重災(zāi)區(qū)

　　馬勁松指出，各大高校通常接入的網(wǎng)絡(luò)是為教育、科研和國(guó)際學(xué)術(shù)交流服務(wù)的教育科研網(wǎng)，此骨干網(wǎng)出于學(xué)術(shù)目的，大多沒有對(duì)445端口做防范處理，這是導(dǎo)致這次高校成為重災(zāi)區(qū)的原因之一。

　　此外，如果用戶電腦開啟防火墻，也會(huì)阻止電腦接收445端口的數(shù)據(jù)。但中國(guó)高校內(nèi)，一些同學(xué)為了打局域網(wǎng)游戲，有時(shí)需要關(guān)閉防火墻，也是此次事件在中國(guó)高校內(nèi)大肆傳播的另一原因。

　　同時(shí)由于該木馬加密使用AES加密文件，并使用非對(duì)稱加密算法RSA 2048加密隨機(jī)密鑰，每個(gè)文件使用一個(gè)隨機(jī)密鑰，理論上不可破解。針對(duì)目前網(wǎng)上有傳該木馬病毒的作者放出密鑰，已證實(shí)為謠言。實(shí)則是在公網(wǎng)環(huán)境中，由于病毒的開關(guān)機(jī)制被設(shè)置為關(guān)閉模式暫時(shí)停止了傳播，但不排除作者制作新變種的可能。提醒廣大用切勿輕信謠言，以免造成更嚴(yán)重的損失。

　　最后，提醒廣大用戶，務(wù)必強(qiáng)化網(wǎng)絡(luò)安全意識(shí)，陌生鏈接不點(diǎn)擊，陌生文件不要下載，陌生郵件不要打開!

　　電腦如何防御避免勒索病毒2

　　一、如何判斷病情

　　如何判斷計(jì)算機(jī)是否中了勒索病毒呢？勒索病毒有區(qū)別于其他病毒的明顯特征：加密受害者主機(jī)的文檔和數(shù)據(jù)，然后對(duì)受害者實(shí)施勒索，從中非法謀取私利。勒索病毒的主要目的是為了勒索，黑客在植入病毒完成加密后，會(huì)提示受害者您的文件已經(jīng)被加密了無法再打開，需要支付贖金才能恢復(fù)文件。如果計(jì)算機(jī)出現(xiàn)了以下特征，可表明已經(jīng)中了勒索病毒。

　　1、電腦桌面被篡改

　　服務(wù)器被感染勒索病毒后，最明顯的特征是電腦桌面發(fā)生明顯變化，即：桌面通常會(huì)出現(xiàn)新的文本文件或網(wǎng)頁文件，這些文件用來說明如何解密的信息，同時(shí)桌面上顯示勒索提示信息及解密聯(lián)系方式。

　　2、文件后綴被篡改

　　服務(wù)器感染勒索病毒后，另外一個(gè)典型特征是：辦公文檔、照片、視頻等文件的圖標(biāo)變?yōu)椴豢纱蜷_形式，或者文件擴(kuò)展名被篡改。一般來說，文件擴(kuò)展名會(huì)被改成勒索病毒家族的名稱或其家族代表標(biāo)志，如：GlobeImposter家族的擴(kuò)展名為dream、TRUE、CHAK等；Satan家族的擴(kuò)展名有satan、sicck；Crysis家族的擴(kuò)展名有ARROW、arena等。

　　二、如何進(jìn)行自救

　　1、正確處置方法

　　(一)隔離中招主機(jī)

　　處置方法

　　當(dāng)確認(rèn)服務(wù)器已經(jīng)被感染勒索病毒后，應(yīng)立即隔離被感染主機(jī)，隔離主要包括物理隔離和訪問控制兩種手段，物理隔離主要為斷網(wǎng)或斷電；訪問控制主要是指對(duì)訪問網(wǎng)絡(luò)資源的權(quán)限進(jìn)行嚴(yán)格的認(rèn)證和控制。

　　1）物理隔離

　　物理隔離常用的操作方法是斷網(wǎng)和關(guān)機(jī)。

　　斷網(wǎng)主要操作步驟包括：拔掉網(wǎng)線、禁用網(wǎng)卡，如果是筆記本電腦還需關(guān)閉無線網(wǎng)絡(luò)。

　　2）訪問控制

　　訪問控制常用的操作方法是加策略和修改登錄密碼。

　　加策略主要操作步驟為：在網(wǎng)絡(luò)側(cè)使用安全設(shè)備進(jìn)行進(jìn)一步隔離，如防火墻或終端安全監(jiān)測(cè)系統(tǒng)；避免將遠(yuǎn)程桌面服務(wù)（RDP，默認(rèn)端口為3389）暴露在公網(wǎng)上，并關(guān)閉445、139、135等不必要的端口。

　　修改登錄密碼的主要操作為：立刻修改被感染服務(wù)器的登錄密碼；其次，修改同一局域網(wǎng)下的其他服務(wù)器密碼；第三，修改最高級(jí)系統(tǒng)管理員賬號(hào)的登錄密碼。修改的密碼應(yīng)為高強(qiáng)度的復(fù)雜密碼，一般要求：采用大小寫字母、數(shù)字、特殊符號(hào)混合的組合結(jié)構(gòu)，口令位數(shù)足夠長(zhǎng)（15位、兩種組合以上）。

　　處置原理

　　隔離的目的，一方面是為了防止感染主機(jī)自動(dòng)通過連接的網(wǎng)絡(luò)繼續(xù)感染其他服務(wù)器；另一方面是為了防止黑客通過感染主機(jī)繼續(xù)操控其他服務(wù)器。

　　有一類勒索病毒會(huì)通過系統(tǒng)漏洞或弱密碼向其他主機(jī)進(jìn)行傳播，如WannaCry勒索病毒，一旦有一臺(tái)主機(jī)感染，會(huì)迅速感染與其在同一網(wǎng)絡(luò)的其他電腦，且每臺(tái)電腦的感染時(shí)間約為1-2分鐘左右。所以，如果不及時(shí)進(jìn)行隔離，可能會(huì)導(dǎo)致整個(gè)局域網(wǎng)主機(jī)的癱瘓。

　　另外，近期也發(fā)現(xiàn)有黑客會(huì)以暴露在公網(wǎng)上的主機(jī)為跳板，再順藤摸瓜找到核心業(yè)務(wù)服務(wù)器進(jìn)行勒索病毒攻擊，造成更大規(guī)模的破壞。

　　當(dāng)確認(rèn)服務(wù)器已經(jīng)被感染勒索病毒后，應(yīng)立即隔離被感染主機(jī)，防止病毒繼續(xù)感染其他服務(wù)器，造成無法估計(jì)的損失。

　　(二)排查業(yè)務(wù)系統(tǒng)

　　處置方法

　　在已經(jīng)隔離被感染主機(jī)后，應(yīng)對(duì)局域網(wǎng)內(nèi)的其他機(jī)器進(jìn)行排查，檢查核心業(yè)務(wù)系統(tǒng)是否受到影響，生產(chǎn)線是否受到影響，并檢查備份系統(tǒng)是否被加密等，以確定感染的范圍。

　　處置原理

　　業(yè)務(wù)系統(tǒng)的受影響程度直接關(guān)系著事件的風(fēng)險(xiǎn)等級(jí)。評(píng)估風(fēng)險(xiǎn)，及時(shí)采取對(duì)應(yīng)的處置措施，避免更大的危害。

　　另外，備份系統(tǒng)如果是安全的，就可以避免支付贖金，順利的恢復(fù)文件。

　　所以，當(dāng)確認(rèn)服務(wù)器已經(jīng)被感染勒索病毒后，并確認(rèn)已經(jīng)隔離被感染主機(jī)的情況下，應(yīng)立即對(duì)核心業(yè)務(wù)系統(tǒng)和備份系統(tǒng)進(jìn)行排查。

　　(三)聯(lián)系專業(yè)人員

　　在應(yīng)急自救處置后，建議第一時(shí)間聯(lián)系專業(yè)的技術(shù)人士或安全從業(yè)者，對(duì)事件的感染時(shí)間、傳播方式，感染家族等問題進(jìn)行排查。

　　2、錯(cuò)誤處置方法

　　(一)使用移動(dòng)存儲(chǔ)設(shè)備

　　錯(cuò)誤操作

　　當(dāng)確認(rèn)服務(wù)器已經(jīng)被感染勒索病毒后，在中毒電腦上使用U盤、移動(dòng)硬盤等移動(dòng)存儲(chǔ)設(shè)備。

　　錯(cuò)誤原理

　　勒索病毒通常會(huì)對(duì)感染電腦上的所有文件進(jìn)行加密，所以當(dāng)插上U盤或移動(dòng)硬盤時(shí)，也會(huì)立即對(duì)其存儲(chǔ)的內(nèi)容進(jìn)行加密，從而造成損失擴(kuò)大。從一般性原則來看，當(dāng)電腦感染病毒時(shí)，病毒也可能通過U盤等移動(dòng)存儲(chǔ)介質(zhì)進(jìn)行傳播。

　　所以，當(dāng)確認(rèn)服務(wù)器已經(jīng)被感染勒索病毒后，切勿在中毒電腦上使用U盤、移動(dòng)硬盤等設(shè)備。

　　(二)讀寫中招主機(jī)上的磁盤文件

　　錯(cuò)誤操作

　　當(dāng)確認(rèn)服務(wù)器已經(jīng)被感染勒索病毒后，輕信網(wǎng)上的各種解密方法或工具，自行操作。反復(fù)讀取磁盤上的文件后反而降低數(shù)據(jù)正確恢復(fù)的概率。

　　錯(cuò)誤原理

　　很多流行勒索病毒的基本加密過程為：

　　1）首先，將保存在磁盤上的文件讀取到內(nèi)存中；

　　2）其次，在內(nèi)存中對(duì)文件進(jìn)行加密；

　　3）最后，將修改后的.文件重新寫到磁盤中，并將原始文件刪除。

　　也就是說，很多勒索病毒在生成加密文件的同時(shí)，會(huì)對(duì)原始文件采取刪除操作。理論上說，使用某些專用的數(shù)據(jù)恢復(fù)軟件，還是有可能部分或全部恢復(fù)被加密文件的。

　　而此時(shí)，如果用戶對(duì)電腦磁盤進(jìn)行反復(fù)的讀寫操作，有可能破壞磁盤空間上的原始文件，最終導(dǎo)致原本還有希望恢復(fù)的文件徹底無法恢復(fù)。

　　三、如何恢復(fù)系統(tǒng)

　　1、歷史備份還原

　　如果事前已經(jīng)對(duì)文件進(jìn)行了備份，那么我們可以直接從云盤、硬盤或其他災(zāi)備系統(tǒng)中，恢復(fù)被加密的文件。值得注意的是，在文件恢復(fù)之前，應(yīng)確保系統(tǒng)中的病毒已被清除，已經(jīng)對(duì)磁盤進(jìn)行格式化或是重裝系統(tǒng)，以免插上移動(dòng)硬盤的瞬間，或是網(wǎng)盤下載文件到本地后，備份文件也被加密。

　　事先進(jìn)行備份，既是最有效也是成本最低的恢復(fù)文件的方式。

　　2、解密工具恢復(fù)

　　絕大多數(shù)勒索病毒使用的加密算法都是國(guó)際公認(rèn)的標(biāo)準(zhǔn)算法，這種加密方式的特點(diǎn)是，只要加密密鑰足夠長(zhǎng)，普通電腦可能需要數(shù)十萬年才能夠破解，破解成本是極高的。通常情況，如果不支付贖金是無法解密恢復(fù)文件的。

　　但是，對(duì)于以下三種情況，可以通過各大安全廠商提供的解密工具恢復(fù)感染文件：

　　1）勒索病毒的設(shè)計(jì)編碼存在漏洞或并未正確實(shí)現(xiàn)加密算法；

　　2）勒索病毒的制造者主動(dòng)發(fā)布了密鑰或主密鑰；

　　3）執(zhí)法機(jī)構(gòu)查獲帶有密鑰的服務(wù)器，并進(jìn)行了分享。

　　通過查詢可靠安全廠商的網(wǎng)站，可以了解哪些勒索病毒可以被解密，同時(shí)采取相應(yīng)措施。

　　3、重裝系統(tǒng)

　　當(dāng)文件無法解密，也覺得被加密的文件價(jià)值不大時(shí)，也可以采用重裝系統(tǒng)的方法，恢復(fù)系統(tǒng)。但是，重裝系統(tǒng)意味著文件再也無法被恢復(fù)。另外，重裝系統(tǒng)后需更新系統(tǒng)補(bǔ)丁，并安裝殺毒軟件和更新殺毒軟件的病毒庫到最新版本，而且對(duì)于服務(wù)器也需要進(jìn)行針對(duì)性的防黑加固。

　　4、如何加強(qiáng)防護(hù)

　　雖說部分勒索病毒目前已有解密工具，但勒索病毒制作成本低、利潤(rùn)高，新型勒索病毒層出不窮，并不是所有的勒索病毒都能進(jìn)行解密。因此，加強(qiáng)勒索病毒的防護(hù)比中了勒索病毒之后再進(jìn)行補(bǔ)救要有效得多。

　　對(duì)于高校師生，加強(qiáng)防護(hù)主要有以下相應(yīng)措施：

　　養(yǎng)成良好的安全習(xí)慣

　　1）電腦應(yīng)當(dāng)安裝具有云防護(hù)和主動(dòng)防御功能的安全軟件，不隨意退出安全軟件或關(guān)閉防護(hù)功能，對(duì)安全軟件提示的各類風(fēng)險(xiǎn)行為不要輕易放行。

　　2）使用安全軟件的第三方打補(bǔ)丁功能對(duì)系統(tǒng)進(jìn)行漏洞管理，第一時(shí)間給操作系統(tǒng)和常用軟件打好補(bǔ)丁，定期更新病毒庫，以免病毒利用漏洞自動(dòng)入侵電腦。

　　3）電腦設(shè)置的口令要足夠復(fù)雜，包括數(shù)字、大小寫字母、符號(hào)且長(zhǎng)度至少應(yīng)該有8位，不使用弱口令，以防攻擊者破解。

　　4）重要文檔數(shù)據(jù)應(yīng)經(jīng)常做備份，一旦文件損壞或丟失，也可以及時(shí)找回。

　　減少危險(xiǎn)的上網(wǎng)操作

　　5）不要瀏覽來路不明的不良信息網(wǎng)站，這些網(wǎng)站經(jīng)常被用于發(fā)動(dòng)掛馬、釣魚攻擊。

　　6）不要輕易打開陌生人發(fā)來的郵件附件或郵件正文中的網(wǎng)址鏈接。也不要輕易打開擴(kuò)展名為js、vbs、wsf、bat、cmd、ps1等腳本文件和exe、scr、com等可執(zhí)行程序，對(duì)于陌生人發(fā)來的壓縮文件包，更應(yīng)提高警惕，先使用安全軟件進(jìn)行檢查后再打開。

　　7）電腦連接移動(dòng)存儲(chǔ)設(shè)備，如U盤、移動(dòng)硬盤等，應(yīng)首先使用安全軟件檢測(cè)其安全性。

　　8）對(duì)于安全性不確定的文件，可以選擇在安全軟件的沙箱功能中打開運(yùn)行，從而避免木馬對(duì)實(shí)際系統(tǒng)的破壞。

【電腦如何防御避免勒索病毒】相關(guān)文章：

如何防御勒索病毒07-02

如何防御病毒入侵電腦01-13

如何防御電腦病毒01-13

教你三招防御WannaCry勒索病毒07-02

勒索病毒如何查殺01-19

勒索病毒：用戶如何能確保電腦安全07-03

如何防御電腦免受病毒侵害07-02

如何防御電腦免受網(wǎng)絡(luò)病毒侵害02-28

電腦中cerber勒索病毒01-14