電腦如何防御避免勒索病毒

電腦如何防御避免勒索病毒

　　目前，安全業界暫未能有效破除該勒索軟的惡意加密行為，用戶主機一旦被勒索軟件滲透，只能通過重裝操作系統的方式來解除勒索行為，但用戶重要數據文件不能直接恢復。以下是小編收集的有關電腦安全勒索病毒的知識，希望對您有所幫助。

　　電腦如何防御避免勒索病毒1

　　一、臨時關閉端口。

　　Windows用戶可以使用防火墻過濾個人電腦，并且臨時關閉135、137、445端口3389遠程登錄(如果不想關閉3389遠程登錄，至少也是關閉智能卡登錄功能)，并注意更新安全產品進行防御，盡量降低電腦受攻擊的風險。(Windows用戶可以使用防火墻過濾個人電腦，并且臨時關閉135、137、445端口3389遠程登錄)

　　二、及時更新Windows已發布的安全補丁

　　在3月MS17-010漏洞剛被爆出的時候，微軟已經針對Win7、Win10等系統在內提供了安全更新;此次事件爆發后，微軟也迅速對此前尚未提供官方支持的Windows XP等系統發布了特別補丁。

　　三、利用“勒索病毒免疫工具”等殺毒軟件進行修復

　　將指定電腦在關閉Wi-Fi，拔掉網線，斷網狀態下開機，并盡快備份重要文件;然后通過U盤使用騰訊的“勒索病毒免疫工具”離線版等工具，進行一鍵修復漏洞;聯網即可正常使用電腦。

　　四、備份

　　重要的資料一定要備份，謹防資料丟失。

　　解析：高校為何成勒索病毒重災區

　　馬勁松指出，各大高校通常接入的網絡是為教育、科研和國際學術交流服務的教育科研網，此骨干網出于學術目的，大多沒有對445端口做防范處理，這是導致這次高校成為重災區的原因之一。

　　此外，如果用戶電腦開啟防火墻，也會阻止電腦接收445端口的數據。但中國高校內，一些同學為了打局域網游戲，有時需要關閉防火墻，也是此次事件在中國高校內大肆傳播的另一原因。

　　同時由于該木馬加密使用AES加密文件，并使用非對稱加密算法RSA 2048加密隨機密鑰，每個文件使用一個隨機密鑰，理論上不可破解。針對目前網上有傳該木馬病毒的作者放出密鑰，已證實為謠言。實則是在公網環境中，由于病毒的開關機制被設置為關閉模式暫時停止了傳播，但不排除作者制作新變種的可能。提醒廣大用切勿輕信謠言，以免造成更嚴重的損失。

　　最后，提醒廣大用戶，務必強化網絡安全意識，陌生鏈接不點擊，陌生文件不要下載，陌生郵件不要打開!

　　電腦如何防御避免勒索病毒2

　　一、如何判斷病情

　　如何判斷計算機是否中了勒索病毒呢？勒索病毒有區別于其他病毒的明顯特征：加密受害者主機的文檔和數據，然后對受害者實施勒索，從中非法謀取私利。勒索病毒的主要目的是為了勒索，黑客在植入病毒完成加密后，會提示受害者您的文件已經被加密了無法再打開，需要支付贖金才能恢復文件。如果計算機出現了以下特征，可表明已經中了勒索病毒。

　　1、電腦桌面被篡改

　　服務器被感染勒索病毒后，最明顯的特征是電腦桌面發生明顯變化，即：桌面通常會出現新的文本文件或網頁文件，這些文件用來說明如何解密的信息，同時桌面上顯示勒索提示信息及解密聯系方式。

　　2、文件后綴被篡改

　　服務器感染勒索病毒后，另外一個典型特征是：辦公文檔、照片、視頻等文件的圖標變為不可打開形式，或者文件擴展名被篡改。一般來說，文件擴展名會被改成勒索病毒家族的名稱或其家族代表標志，如：GlobeImposter家族的擴展名為dream、TRUE、CHAK等；Satan家族的擴展名有satan、sicck；Crysis家族的擴展名有ARROW、arena等。

　　二、如何進行自救

　　1、正確處置方法

　　(一)隔離中招主機

　　處置方法

　　當確認服務器已經被感染勒索病毒后，應立即隔離被感染主機，隔離主要包括物理隔離和訪問控制兩種手段，物理隔離主要為斷網或斷電；訪問控制主要是指對訪問網絡資源的權限進行嚴格的認證和控制。

　　1）物理隔離

　　物理隔離常用的操作方法是斷網和關機。

　　斷網主要操作步驟包括：拔掉網線、禁用網卡，如果是筆記本電腦還需關閉無線網絡。

　　2）訪問控制

　　訪問控制常用的操作方法是加策略和修改登錄密碼。

　　加策略主要操作步驟為：在網絡側使用安全設備進行進一步隔離，如防火墻或終端安全監測系統；避免將遠程桌面服務（RDP，默認端口為3389）暴露在公網上，并關閉445、139、135等不必要的端口。

　　修改登錄密碼的主要操作為：立刻修改被感染服務器的登錄密碼；其次，修改同一局域網下的其他服務器密碼；第三，修改最高級系統管理員賬號的登錄密碼。修改的密碼應為高強度的復雜密碼，一般要求：采用大小寫字母、數字、特殊符號混合的組合結構，口令位數足夠長（15位、兩種組合以上）。

　　處置原理

　　隔離的目的，一方面是為了防止感染主機自動通過連接的網絡繼續感染其他服務器；另一方面是為了防止黑客通過感染主機繼續操控其他服務器。

　　有一類勒索病毒會通過系統漏洞或弱密碼向其他主機進行傳播，如WannaCry勒索病毒，一旦有一臺主機感染，會迅速感染與其在同一網絡的其他電腦，且每臺電腦的感染時間約為1-2分鐘左右。所以，如果不及時進行隔離，可能會導致整個局域網主機的癱瘓。

　　另外，近期也發現有黑客會以暴露在公網上的主機為跳板，再順藤摸瓜找到核心業務服務器進行勒索病毒攻擊，造成更大規模的破壞。

　　當確認服務器已經被感染勒索病毒后，應立即隔離被感染主機，防止病毒繼續感染其他服務器，造成無法估計的損失。

　　(二)排查業務系統

　　處置方法

　　在已經隔離被感染主機后，應對局域網內的其他機器進行排查，檢查核心業務系統是否受到影響，生產線是否受到影響，并檢查備份系統是否被加密等，以確定感染的范圍。

　　處置原理

　　業務系統的受影響程度直接關系著事件的風險等級。評估風險，及時采取對應的處置措施，避免更大的危害。

　　另外，備份系統如果是安全的，就可以避免支付贖金，順利的恢復文件。

　　所以，當確認服務器已經被感染勒索病毒后，并確認已經隔離被感染主機的情況下，應立即對核心業務系統和備份系統進行排查。

　　(三)聯系專業人員

　　在應急自救處置后，建議第一時間聯系專業的技術人士或安全從業者，對事件的感染時間、傳播方式，感染家族等問題進行排查。

　　2、錯誤處置方法

　　(一)使用移動存儲設備

　　錯誤操作

　　當確認服務器已經被感染勒索病毒后，在中毒電腦上使用U盤、移動硬盤等移動存儲設備。

　　錯誤原理

　　勒索病毒通常會對感染電腦上的所有文件進行加密，所以當插上U盤或移動硬盤時，也會立即對其存儲的內容進行加密，從而造成損失擴大。從一般性原則來看，當電腦感染病毒時，病毒也可能通過U盤等移動存儲介質進行傳播。

　　所以，當確認服務器已經被感染勒索病毒后，切勿在中毒電腦上使用U盤、移動硬盤等設備。

　　(二)讀寫中招主機上的磁盤文件

　　錯誤操作

　　當確認服務器已經被感染勒索病毒后，輕信網上的各種解密方法或工具，自行操作。反復讀取磁盤上的文件后反而降低數據正確恢復的概率。

　　錯誤原理

　　很多流行勒索病毒的基本加密過程為：

　　1）首先，將保存在磁盤上的文件讀取到內存中；

　　2）其次，在內存中對文件進行加密；

　　3）最后，將修改后的.文件重新寫到磁盤中，并將原始文件刪除。

　　也就是說，很多勒索病毒在生成加密文件的同時，會對原始文件采取刪除操作。理論上說，使用某些專用的數據恢復軟件，還是有可能部分或全部恢復被加密文件的。

　　而此時，如果用戶對電腦磁盤進行反復的讀寫操作，有可能破壞磁盤空間上的原始文件，最終導致原本還有希望恢復的文件徹底無法恢復。

　　三、如何恢復系統

　　1、歷史備份還原

　　如果事前已經對文件進行了備份，那么我們可以直接從云盤、硬盤或其他災備系統中，恢復被加密的文件。值得注意的是，在文件恢復之前，應確保系統中的病毒已被清除，已經對磁盤進行格式化或是重裝系統，以免插上移動硬盤的瞬間，或是網盤下載文件到本地后，備份文件也被加密。

　　事先進行備份，既是最有效也是成本最低的恢復文件的方式。

　　2、解密工具恢復

　　絕大多數勒索病毒使用的加密算法都是國際公認的標準算法，這種加密方式的特點是，只要加密密鑰足夠長，普通電腦可能需要數十萬年才能夠破解，破解成本是極高的。通常情況，如果不支付贖金是無法解密恢復文件的。

　　但是，對于以下三種情況，可以通過各大安全廠商提供的解密工具恢復感染文件：

　　1）勒索病毒的設計編碼存在漏洞或并未正確實現加密算法；

　　2）勒索病毒的制造者主動發布了密鑰或主密鑰；

　　3）執法機構查獲帶有密鑰的服務器，并進行了分享。

　　通過查詢可靠安全廠商的網站，可以了解哪些勒索病毒可以被解密，同時采取相應措施。

　　3、重裝系統

　　當文件無法解密，也覺得被加密的文件價值不大時，也可以采用重裝系統的方法，恢復系統。但是，重裝系統意味著文件再也無法被恢復。另外，重裝系統后需更新系統補丁，并安裝殺毒軟件和更新殺毒軟件的病毒庫到最新版本，而且對于服務器也需要進行針對性的防黑加固。

　　4、如何加強防護

　　雖說部分勒索病毒目前已有解密工具，但勒索病毒制作成本低、利潤高，新型勒索病毒層出不窮，并不是所有的勒索病毒都能進行解密。因此，加強勒索病毒的防護比中了勒索病毒之后再進行補救要有效得多。

　　對于高校師生，加強防護主要有以下相應措施：

　　養成良好的安全習慣

　　1）電腦應當安裝具有云防護和主動防御功能的安全軟件，不隨意退出安全軟件或關閉防護功能，對安全軟件提示的各類風險行為不要輕易放行。

　　2）使用安全軟件的第三方打補丁功能對系統進行漏洞管理，第一時間給操作系統和常用軟件打好補丁，定期更新病毒庫，以免病毒利用漏洞自動入侵電腦。

　　3）電腦設置的口令要足夠復雜，包括數字、大小寫字母、符號且長度至少應該有8位，不使用弱口令，以防攻擊者破解。

　　4）重要文檔數據應經常做備份，一旦文件損壞或丟失，也可以及時找回。

　　減少危險的上網操作

　　5）不要瀏覽來路不明的不良信息網站，這些網站經常被用于發動掛馬、釣魚攻擊。

　　6）不要輕易打開陌生人發來的郵件附件或郵件正文中的網址鏈接。也不要輕易打開擴展名為js、vbs、wsf、bat、cmd、ps1等腳本文件和exe、scr、com等可執行程序，對于陌生人發來的壓縮文件包，更應提高警惕，先使用安全軟件進行檢查后再打開。

　　7）電腦連接移動存儲設備，如U盤、移動硬盤等，應首先使用安全軟件檢測其安全性。

　　8）對于安全性不確定的文件，可以選擇在安全軟件的沙箱功能中打開運行，從而避免木馬對實際系統的破壞。

【電腦如何防御避免勒索病毒】相關文章：

如何防御勒索病毒07-02

如何防御病毒入侵電腦01-13

如何防御電腦病毒01-13

教你三招防御WannaCry勒索病毒07-02

勒索病毒如何查殺01-19

勒索病毒：用戶如何能確保電腦安全07-03

如何防御電腦免受病毒侵害07-02

如何防御電腦免受網絡病毒侵害02-28

電腦中cerber勒索病毒01-14