勒索病毒︱全球肆虐的勒索病毒，金蝶软件客户如何保护数据安全

 

 5 月12 日晚上20 时左右，全球爆发大规模勒索软件感染事件，用户只要开机上网就可被攻击。五个小时内，包括英国、俄罗斯、整个欧洲以及国内多个高校校内网、大型企业内网和政府机构专网中招，被勒索支付高额赎金（有的需要比特币）才能解密恢复文件，这场攻击甚至造成了教学系统瘫痪，包括校园一卡通系统。 

 

 

而这个问题也逐渐的登上了各大新闻头条，事态一度发酵，愈加严峻，到底是怎么一回事呢？

简单来说：这是一次到目前为止，全球最大规模的勒索病毒网络攻击事件，这种勒索病毒名为WannaCry（及其变种），全球各地的大量组织机构遭受了它的攻击。被其攻击的计算机会被黑客锁定，然后会收到提示：需要支付价值相当于300美元的比特币才能解锁。

 

据报道显示，该病毒已经在99个国家观察到超过57000个感染例子。受到感染的国家包括英国、美国、西班牙、意大利、葡萄牙、俄罗斯和乌克兰和中国等。

 

 

普通应对方案分为2个部分：分别针对尚未感染和受到感染的用户。

 

尚未感染，担心有风险的用户

1. 核对操作系统版本

若Windows7及以上操作版本系统，建议尽快安装微软官网布补丁MS17-010，该补丁修复了“永恒之蓝”攻击的系统漏洞。 

 

*补丁下载地址：

https://technet.microsoft.com/zh-cn/library/security/MS17-010

同时检查系统更新，将各种系统版本更新至最新。

 

若是XP等微软已不再提供安全更新的机器，可以安装反勒索防护软件。例如360“NSA武器库免疫工具” 下载地址：

http://dl.360safe.com/nsa/nsatool.exe；

注：此软件属于第三方软件，联想无法对使用此软件后出现的问题承担责任，请慎重使用。

 

2. 关闭445、135、137、138、139端口，关闭网络共享

关闭方法参考如下：

家庭普通版系统（无组策略）：https://jingyan.baidu.com/article/0aa22375bf88b288cc0d6490.html

专业版系统（有策略）: http://blog.csdn.net/wangjialiang/article/details/7241875

注：以上文章来自互联网，仅供参考，无法对文章承担相关责任。

 

3. 强化网络安全意识

不明链接不要点击，不明文件不要下载，不明邮件不要打开；

 

4. 数据备份

免费方案：

将金蝶ERP数据进行备份，并且在备份后，要效验数据备份结果，也就是验证备份文件是否可用，并拷贝到其他外部介质上，如移动硬盘，不建议U盘（软件数据量大一旦损坏无法恢复），最好是另外一台，LINUX系统的电脑上。

收费方案：

可采用ERP专用数据备份产品来进行企业数据防护，如霆智X8III存储阵产品，该设备可以自动分钟级抓取增量数据，完成数据自动备份工作，并且可以智能自动效验数据准确性，确保ERP数据备份后的100%准确，X8III存储阵自带的LINUX专用安全系统，可以有效避免勒索病毒对数据的攻击影响，是更完善的数据安全解决方案。

 

5. 系统升级

建议仍在使用Windows XP， Windows 2003操作系统的用户尽快升级到 Window 7/Windows 10，或 Windows Server 2008/Windows Server 2012/Windows Server 2016操作系统并更新至最新版本；

 

6. 必须安装杀毒软件，并打开响应防护措施。

安装杀毒软件和相关安全软件；建议安装360文档卫士、NSA武器库免疫工具，进行防范。

 

7.使用正版的常用软件。

 

目前已经中毒，受到感染的用户

1. 建议全盘格式化，清空磁盘后，重新安装系统

注：格式化磁盘重新安装系统会导致之前硬盘上所以数据的清空，请提前知晓。如果涉及硬盘有个人重要数据，请先考虑数据恢复的可能性。

 

补充知识点：何为勒索病毒？

————————————————————————————————

    勒索病毒，是一种新型电脑病毒，主要以邮件，程序木马，网页挂马的形式进行传播。这种病毒利用各种加密算法对文件进行加密，被感染者一般无法解密，必须拿到解密的私钥才有可能破解。被勒索软件感染情况，磁盘文件会被病毒加密为.onion后缀，该勒索软件是此前活跃的勒索软件Wallet的一类变种，运用了高强度的加密算法难以破解，被攻击者除了支付高额赎金外，往往没有其他办法解密文件，只有支付高额赎金才能解密恢复文件，对学习资料和个人数据造成严重损失。

    目前，“永恒之蓝”传播的勒索病毒以ONION和WNCRY两个家族为主，受害机器的磁盘文件会被篡改为相应的后缀，图片、文档、视频、压缩包等各类资料都无法正常打开，只有支付赎金才能解密恢复。这两类勒索病毒，勒索金额分别是5个比特币和300美元，折合人民币分别为5 万多元和2000 多元。

安全专家还发现，ONION勒索病毒还会与挖矿机（运算生成虚拟货币）、远控木马组团传播，形成一个集合挖矿、远控、勒索多种恶意行为的木马病毒“大礼包”，专门选择高性能服务器挖矿牟利，对普通电脑则会加密文件敲诈钱财，最大化地压榨受害机器的经济价值。

 

猎豹移动安全专家李铁军：

勒索病毒能防不可治

 

针对该病毒，猎豹移动安全专家李铁军对腾讯科技表示，这个病毒的破坏是勒索病毒结合了蠕虫病毒的攻击方式，在全球范围内造成了巨大破坏：“病毒加密的文件，是不可恢复的，除了病毒作者，其他人没办法解密。总的来说，勒索病毒，能防不可治。”

 

据李铁军介绍，攻击者会利用各种方式实施欺骗，比如钓鱼邮件、伪装成PDF、DOC文档的攻击文件，存在漏洞的机器打开就可能中招：“勒索者病毒存在已经相当长的时间了，之前是利用Adobe Acrobat存在的安全漏洞或flash漏洞，伪造PDF、swf文件，通过邮件欺骗点击；也有利用office的若干漏洞，伪造成office文档，受害者打开邮件附件，就可能中毒。现在这个，是直接利用了3月份公开的漏洞武器，就凶猛得多了。”他还强调加密本身是系统正常的功能，杀毒软件其实并不好防御，关键还得靠用户自身的防御意识。

 

在防御方面，李铁军表示要及时修补系统漏洞，Windows Update一定要做。同时李铁军还建议最好的防御方法是把重要文档备份，但局域网同步盘的备份往往会失败，网盘的同步盘备份也会失败：“因为病毒感染后，会把存储在同步盘上的文档也覆盖掉。不同步的备份会有用，相当于物理隔离。”

 

 

奇虎360董事长周鸿祎：

教育网大量电脑445端口暴露，导致中招

 

据360安全中心分析，此次校园网勒索病毒是由NSA泄漏的“永恒之蓝”黑客武器传播的。“永恒之蓝”可远程攻击Windows的445端口（文件共享），如果系统没有安装今年3月的微软补丁，无需用户任何操作，只要开机上网，“永恒之蓝”就能在电脑里执行任意代码，植入勒索病毒等恶意程序。

 

由于国内曾多次出现利用445端口传播的蠕虫病毒，部分运营商对个人用户封掉了445端口。但是教育网并无此限制，存在大量暴露着445端口的机器，因此成为不法分子使用NSA黑客武器攻击的重灾区。正值高校毕业季，勒索病毒已造成一些应届毕业生的论文被加密篡改，直接影响到毕业答辩。

 

目前，“永恒之蓝”传播的勒索病毒以ONION和WNCRY两个家族为主，受害机器的磁盘文件会被篡改为相应的后缀，图片、文档、视频、压缩包等各类资料都无法正常打开，只有支付赎金才能解密恢复。这两类勒索病毒，勒索金额分别是5个比特币和300美元，折合人民币分别为5万多元和2000多元。

 

360针对校园网勒索病毒事件的监测数据显示，国内首先出现的是ONION病毒，平均每小时攻击约200次，夜间高峰期达到每小时1000多次；WNCRY勒索病毒则是5月12日下午新出现的全球性攻击，并在中国的校园网迅速扩散，夜间高峰期每小时攻击约4000次。

 

安全专家发现，ONION勒索病毒还会与挖矿机（运算生成虚拟货币）、远控木马组团传播，形成一个集合挖矿、远控、勒索多种恶意行为的木马病毒“大礼包”，专门选择高性能服务器挖矿牟利，对普通电脑则会加密文件敲诈钱财，最大化地压榨受害机器的经济价值。

 

针对NSA黑客武器利用的Windows系统漏洞，微软在今年3月已发布补丁修复。此前360安全中心也已推出“NSA武器库免疫工具”（下载连接： http://dl.360safe.com/nsa/nsatool.exe），能够一键检测修复NSA黑客武器攻击的漏洞；对XP、2003等已经停止更新的系统，免疫工具可以关闭漏洞利用的端口，防止电脑被NSA黑客武器植入勒索病毒等恶意程序。