勒索病毒是什麼？該如何處置

勒索軟件利用此前披露的Windows SMB服務漏洞（對應微軟漏洞公告：MS17-010）攻擊手段，向終端用戶進行滲透傳播，並向用戶勒索比特幣或其他價值物。

勒索病毒

（01）綜合CNCERT和國內網絡安全企業已獲知的樣本情況和分析結果，該勒索軟件在傳播時基於445端口並利用SMB服務漏洞（MS17-010），總體可以判斷是由於此前“Shadow Brokers”披露漏洞攻擊工具而導致的後續黑產攻擊威脅。

（02）當用戶主機系統被該勒索軟件入侵後，彈出如下勒索對話框，提示勒索目的並向用戶索要比特幣。而對於用戶主機上的重要檔案，如：照片、圖片、文檔、壓縮包、音頻、視頻、可執行程序等幾乎所有類型的檔案，都被加密的檔案後綴名被統一修改爲“Y”。

（03）目前安全業界暫未能有效破除該勒索軟的惡意加密行爲，用戶主機一旦被勒索軟件滲透，只能透過重裝操作系統的方式來解除勒索行爲，但用戶重要數據檔案不能直接恢復。

應急處置

（01）及時升級Windows操作系統，及時更新Windows已發佈的安全補丁，目前微軟公司已發佈相關補丁程序MS17-010，可透過微軟公司正規渠道進行升級。

（02）及時關閉計算機、網絡設備上的445端口。關閉445等端口(其他關聯端口如:135、137、139)的外部網絡訪問權限，在服務器上關閉不必要的上述服務端口。

（03）關閉 445 端口開始-執行輸入 regedit. 確定後定位到 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNetBTParameters，新建名爲“SMBDeviceEnabled”的DWORD值，並將其設定爲 0，則可關閉 445 端口。

（04）在 Windows 電腦上執行系統自帶的免費殺毒軟件並啓用 Windows Updates 的用戶可以免受這次病毒的攻擊。Windows 10 的用戶可以透過設定-Windows 更新啓用 Windows Updates 安裝最新的更新，同時可以透過設定-Windows Defender，開啟安全中心。