WannaCry已发生变种比特币勒索病毒最全防范和解决办法

作者：三青时间：2023-06-14 阅读数：人阅读

“千年虫”和“冲击波”电脑蠕虫病毒曾让整个世界尝尽了安全漏洞的苦头，随着科技发展和人们对网络安全的日益重视，操作系统给人的感觉看似越来越“安全”，然而事实证明并非如此。

最近全球再次爆发了一场由 Wana Decrypt0r 2.0 与 Onion 家族的勒索病毒软件发起的大规模灾难性攻击，全球100多个国家无数电脑设备被感染，其中包括各类重要机构、院校、医院、加油站甚至是航班信息终端等基于 Windows 系统的设备纷纷沦陷，重要文件均被黑客加密并勒索钱财，损失极其惨重……

WannaCry / Onion 勒索病毒软件是什么？

Wana Decrypt0r 2.0 (也称 WannaCry、WCry、WanaCrypt0r、WannaCrpt) 以及 Onion 家族的勒索病毒均是通过一个名为「永恒之蓝」(Eternal Blue) 的微软 Windows 系统漏洞进行大范围的攻击和传播，没有安装过补丁的电脑只要联网并开放了 445 端口，即使用户什么都没做也会被感染。

这也是为什么勒索病毒可以在一夜之间迅速对全球网络造成如此恶劣的影响。被感染的电脑系统中所有图片、文档、视频、压缩包等文件都会被黑客加密起来，后缀变为.onion。病毒会向用户勒索 300 或 600 美元等值的「比特币」作为赎金才会将文件解密还原。

由于病毒使用了极强的 AES 加密算法，在不交赎金的情况下基本没有破解或恢复的可能，除非你有异地的备份。而且，由于比特币的交易有着无法被追踪和定位的特性，幕后黑客们借助它在全球实施着完美犯罪，因此 wana Decrypt0r、Onion 勒索软件也被不少人戏称为「比特币病毒」。

永恒之蓝 (Eternal Blue) 又是什么？

“永恒之蓝” 是这次勒索病毒所利用的系统漏洞的通俗名称，在美国国家安全部 (NSA) 研发设计的一套「黑客武器库」中（鬼知道他们原来要用于对付谁？！鬼知道他们还掌握着什么可怕的漏洞？！），有一款名叫 "Eternal Blue" 的攻击程序被黑客们盗取了出来，然后黑客组织利用这款攻击程序所使用的漏洞，对勒索病毒进行改造升级，变成了今天的 wana Decrypt0r 2.0，因此这个漏洞也被称为永恒之蓝。

我的电脑也会感染勒索病毒吗？

Wana Decrypt0r 2.0 勒索病毒目前仅会影响 Windows 操作系统，如果你使用 macOS 或者 Linux 系统则不必担心 (但安装双系统或使用 Parallels Desktop、VMWare、VirtualBox 等虚拟机或 BootCamp 安装 Win 系统的朋友依然会有受感染的风险)。其中，存在「永恒之蓝」漏洞的 Windows 操作系统包括：

Windows 2000、XP

Windows Vista

Windows 7

Windows 8 / 8.1

Windows 10（除 Windows 10 Creators Update build 15063 外）

Windows Server 2008 / 2008 R2

Windows Server 2012 / 2012 R2

Windows Server 2016

可以看出，除了最新版的 Windows 10 创意者更新之外，几乎全系列的 Windows 系统均沦陷。不过幸运的是，由于以前国内曾被利用类似技术的蠕虫病毒攻击过，因此国内运营商在主干网上默认都屏蔽了 445 端口，因此该病毒没有在公网上大规模爆发 (这并不代表你的电脑就安全)。

而「教育网」的用户就没那么幸运了。目前国内受灾最严重的就是各类院校的电脑，很多大学生辛辛苦苦撰写的论文、收集的资料、照片以及收藏的动作片等等一夜之间就被锁了。另外，一些公司、企业内部的局域网也没有封禁 445 端口，风险依然很高。

怎样真正有效对付勒索病毒的攻击？下载安装 MS17-010 补丁！

一句话概括：升级升级升级！更新更新更新！装补丁装补丁装补丁！！！

针对这次大规模的黑客勒索攻击，微软已经正式发布了相关的官方安全补丁「MS17-010」(KB4012212) 用以修复被 “永恒之蓝” 攻击的系统漏洞，而且由于事态严重，微软还破例为已经停止更新多年的 Windows XP、Windows Server 2003 等系统也发布了安全补丁。

安装微软官方发布的 MS17-010 安全补丁并升级系统是目前最彻底最有效最安全最稳妥的，也是最为简单的应对和预防勒索病毒感染的办法，没有之一！！其他网上宣传的任何教程，比如说使用防火土·啬软件禁用屏蔽 445 端口、禁用 SMBv1、安装杀毒软件、安装第三方的免疫工具等等都只是临时处理手段，并不能让你的系统高枕无忧，普通用户也不必花时间去研究或进行操作。

对于 Windows 7、Windows 8.1、Windows 10 等尚在微软技术支持周期内的操作系统，只需通过系统的 Windows Update 更新到最新版本即可。而对于 Windows XP、Win8、Win Server 2003 等老系统的用户，可以在本文结尾处下载微软发布的官方安全补丁进行安装。

当然，打开微软自带的 MSE / Windows Defender 与防火墙（或第三方杀毒安全软件），并做好重要文件的定时备份（最好是异地备份），也会降低你的资料被侵害的风险。

已经被勒索软件感染了文件怎样解密？有解决办法吗？对于已中招被加密文件的用户，如果你没有任何备份，那么你只能往最坏处打算了。这真心没有好的解决方法，很无奈，也很现实，你可能需要说服自己接受丢掉全部文件的结果。

首先，请不要太过相信病毒制造者，因为即便你支付了高昂的赎金，你的文件也不一定会被还原，就算真的给你解密了，你的文件也有可能被留下后门或木马，日后或许还会再次给你带来更大的损失。除非文件价值极高，否则强烈不建议尝试支付赎金。

更重要的是，更不要相信任何声称可以有偿帮你修复的人！因为勒索病毒所采用的 AES 加密算法是密码学中最热门最安全也是最广泛用于军方和商业等重要领域的算法之一，没有任何已知的有效降低复杂度的破解方式，而使用穷尽法暴力破解需要花上几十亿年的时间，仅存在理论上的可能性。因此除非有病毒制造者手上对应的密钥，或拥有世界上最强大的超级计算机，否则普通人根本不存在任何哪怕是一丁点破解的可能性！！所以中招的同学请不要异想天开，天真地以为有世外高人可以帮你解决问题。

可能你并不爱听，但咱们唯一的建议是，先断开网络，重新对硬盘进行分区或全部格式化，再重新安装操作系统。也就是说，如果你不打算冒险尝试支付赎金的话，最好彻底销毁干净，杜绝任何后患，再一切重新开始。

偏方：传说中有效的破解勒索病毒，不付钱解密文件的方法

虽然直接破解还原勒索病毒的加密文件的可能性几乎不存在，但网上还有一个讨巧的办法“有可能”帮你满血复活。当然，先别鸡冻！！！！这个方法只是利用了黑客在勒索赎金交易环节设计的小疏忽，对其进行交易“欺骗”，但成功率依然很渺茫。但有句老话叫“死马当活马医”，在你绝望的时候，不妨试试吧，具体步骤如下：

1.打开勒索软件，点击 copy 复制出黑客的比特币地址

2.访问 btc.com，粘贴到区块链查询器

3.在区块链查询器中找到黑客收款地址的交易记录，然后随意选择一个 txid（交易哈希值）

4.将 txid 复制并粘贴回勒索软件中，点击 Connect us。

5.待黑客看到后，再点击勒索软件上的 check payment。

6.最后再点击 decrypt 解密文件。

7.祝你好运。

最后，不管此次的勒索病毒风波是否影响到你，就算你使用的是 Mac 或 Linux，也请你一定要提高网络安全的重视程度，尽可能及时地更新和升级系统，毕竟谁也不知道下一轮的网络灾难何时爆发。

总之，设备有价，但数据无价！我们真心不应该心存侥幸，将“鸡蛋”全部放在一台电脑里。特别是知识型的工作者、教师、学生、作家、设计师、开发者等等，无论是借助 NAS、网盘 (推荐番·羽·土·啬用 Dropbox，可支持历史版本恢复)、云存储服务、移动硬盘或者是服务器，我们都「必须」对重要的资料进行定期的备份，最好是多处异地备份，因为它们将是你在数字世界上唯一的后悔药。

相关文件下载地址：

Windows勒索病毒最全补丁下载地址：

【KB4012598】：

http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

适用于Windows XP 32位/64位/嵌入式、Windows Vista 32/64位、Windows Server 2003 SP2 32位/64位、Windows 8 32位/64位、Windows Server 2008 32位/64位

【KB4012212】：

http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212

适用于Windows 7 32位/64位/嵌入式、Windows Server 2008 R2 32位/64位

【KB4012213】：

http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4012213

适用于Windows 8.1 32位/64位、Windows Server 2012 R2 32位/64位

【KB4012214】：