最全系列勒索补丁下载 各版本Windows系统勒索病毒防范全攻略

自5月12日起，Onion和WNCRY两种勒索病毒变种在全国乃至全球爆发，吸纳了大量个人、企业和机构用户。 与以往不同的是，此次新变种病毒在NSA（美国国家安全局）黑客工具包中加入了“永恒之蓝”0day漏洞利用，通过网络上的445端口（文件共享）传播类蠕虫感染内联网。 .

其他未及时安装安全软件或更新系统补丁的内网用户极有可能被被动感染，因此目前感染用户主要集中在企业、高校等内网环境。

一旦感染该蠕虫变种，系统重要数据文件将被加密，并被勒索高额比特币赎金，约合人民币2000-50000元。

从目前的监控情况来看，全网已有数万用户被感染，QQ、微博等社交平台也满目疮痍，后续威胁不容小觑。

勒索病毒+远程执行漏洞蠕虫传播相结合，导致危险性急剧上升，这对近期国内网络安全形势是一次严峻的考验。

事件发生后，微软和各大安全公司立即跟进并更新了安全软件。 金山毒霸还专门针对该勒索蠕虫给出了详细的安全防御方案、传播分析等安全建议。

我们也为所有Windows系统版本编译了补丁，请务必尽快安装更新。

【传播感染的背景】

本轮勒索蠕虫的传播主要包括Onion和WNCRY家族的变种。 它首先在英国、俄罗斯等国家爆发。 多家企业和医疗机构系统受到影响，损失惨重。

安全机构全球监测发现，多达 74 个国家/地区受到勒索蠕虫病毒的攻击。

5月12日以来，全国感染和传播人数也开始急剧增加，多所高校和企业集中爆发并加剧。

全球 74 个国家已感染 Onion 和 WNCRY 勒索蠕虫

24小时内检测到的WNCRY勒索蠕虫攻击数量超过10W+

此次感染病毒迅速爆发的主要原因是前段时间泄露的美国国家安全局（NSA）黑客工具包中的“永恒之蓝”漏洞被用于其传播过程（微软已于3月发布补丁，漏洞编号为 MS17-010 ）。

与历史上“震荡波”、“冲击波”等大规模蠕虫病毒感染类似，本次传播攻击利用的“永恒之蓝”漏洞可通过445端口直接远程攻击目标主机，感染传播速度极快。

该勒索蠕虫变种利用“永恒之蓝”漏洞攻击网络

虽然国内部分网络运营商已经封锁了个人用户的445网络端口比特币机房，但教育网、部分运营商的大型局域网、校园企业内网等仍然存在大量泄露的攻击目标。

对企业来说尤为严重。 内部密钥服务器系统一旦遭到攻击比特币机房，损失将不可估量。

从检测反馈来看，国内多所高校爆发感染传播事件，甚至机场航班信息、加油站等终端系统也受到波及。 预计在不久的将来，这种勒索蠕虫造成的影响将进一步加剧。

勒索蠕虫病毒感染攻击全国高校内网爆发

某大学所有机房被WNCRY勒索蠕虫攻击

中国某地加油站系统被该勒索蠕虫变种攻击

一个机场航班信息终端也遭到勒索蠕虫的攻击

【勒索蠕虫病毒感染现象】

骗子系统中的文档、图片、压缩文件、音视频等常用文件会被病毒加密，然后向用户勒索高额比特币赎金。

WNCRY变种一般勒索价值300-600美元的比特币，Onion变种甚至需要用户支付3个比特币，相当于当前比特币市场的3万人民币左右。

此类病毒一般采用RSA等非对称算法，没有私钥无法解密文件。 WNCRY勒索病毒要求用户3天内缴费，否则解密费用加倍，一周内不缴费，密钥将被删除无法恢复。

从某种意义上说，这种勒索病毒“可防不可破”，需要安全厂商和用户共同加强安全防御措施和意识。

感染WNCRY勒索病毒的用户系统弹出比特币勒索窗口

用户文件和数据加密，后缀改为“wncry”，桌面改为勒索威胁

追踪部分变种的比特币支付地址发现，已有小部分用户开始向病毒作者支付赎金。

从下图可以看出，该变种病毒作者共收到19名用户的比特币赎金，共计3.58个比特币，市值约4万元人民币。

勒索蠕虫的比特币支付痕迹

【防御措施建议】

1、安装杀毒软件，保持安全防御功能开启。 比如金山毒霸可以拦截（），微软自家的Windows Defender也可以。

金山毒霸查杀WNCRY勒索蠕虫

金山杀毒勒索病毒防御拦截WNCRY病毒加密用户文件

2、开启Windows Update，及时自动更新升级系统。

3月，微软针对NSA泄露的漏洞发布了MS17-010升级补丁，其中包括勒索蠕虫利用的“永恒之蓝”漏洞。 发布了专用修复补丁。

最新版Windows 10 1703 Creators Update 不再存在该漏洞，不需要打补丁。

各系统补丁官方下载地址如下：

[KB4012598]：

兼容 Windows XP 32 位/64 位/嵌入式、Windows Vista 32/64 位、Windows Server 2003 SP2 32 位/64 位、Windows 8 32 位/64 位、Windows Server 2008 32 位/64 位/安腾

[KB4012212]：

适用于 Windows 7 32 位/64 位/嵌入式、Windows Server 2008 R2 32 位/64 位

[KB4012213]：

适用于 Windows 8.1 32 位/64 位、Windows Server 2012 R2 32 位/64 位

[KB4012214]：

适用于 Windows 8 Embedded、Windows Server 2012

[KB4012606]：

适用于 Windows 10 RTM 32 位/64 位/LTSB

[KB4013198]：

适用于 Windows 10 1511 年 11 月更新 32/64 位

[KB4013429]：

适用于 Windows 10 1607 周年更新 32/64 位、Windows Server 2016 32/64 位

3、Windows XP和Windows Server 2003系统用户也可以关闭445端口，避免勒索蠕虫感染攻击。

进行如下：

(1) 开启系统防火墙保护。 控制面板 -> 安全中心 -> Windows 防火墙 -> 启用。

启用系统防火墙保护

(2)、关闭系统445端口。

(a)、快捷键WIN+R启动运行窗口，输入cmd并执行，打开命令行运行窗口，输入命令“netstat -an”，查看445端口是否打开。

(b) 如果445端口是打开的，如上图所示，输入以下命令关闭它：

净停止 rdr / 净停止 srv / 净停止 netbt

工作后的效果如下：

4、谨慎打开来源不明的网址和邮件，打开Office文档时禁用宏。 木马和钓鱼邮件一直是勒索病毒在国内外传播的重要渠道。

勒索病毒隐藏在钓鱼邮件文档中，诱导用户打开宏运行病毒

5、养成良好的备份习惯，及时使用网盘或移动硬盘备份重要的个人文件。

在此次勒索蠕虫病毒爆发中，国内多所高校和企业遭到攻击，许多关键重要数据被病毒加密勒索。 希望广大用户提高重要文件备份的安全意识。

2017-05-14更新：金山杀毒发布比特币勒索病毒免疫工具：免费文件恢复

面对肆虐全国的Onion和WNCRY勒索病毒变种的爆发，金山毒霸安全中心紧急发布了比特币勒索病毒免疫工具和应急预案。

据悉，该勒索病毒变种在NSA黑客工具包中加入了“永恒之蓝”0day漏洞利用，可以在局域网中以蠕虫的形式主动传播，未修补漏洞的系统将被快速感染，勒索金额相当于人民币2000~50000不等的高额比特币赎金。

经确认，受感染计算机集中分布于企业、政府机构、高校等内网环境。 毒霸安全专家指出，病毒对用户文件进行加密后，原文件会被删除，因此有一定几率可以恢复部分或全部被删除的原文件。 建议电脑中毒后，尽量减少操作，并及时使用专业的数据恢复工具，以保证更高的恢复概率。

金山毒霸11下载（推荐！拦截勒索病毒）：

防杀免疫工具：

详细教程：

检测当前电脑是否免疫比特币勒索软件攻击

免疫成功效果如下图所示

我们知道，在没有拿到密钥的情况下，想要解密那些加密的数据文件，基本上是不可能的。 但是，在了解了病毒加密的原理后，发现还是有一定的机会找回原文件的：当病毒对原文件进行加密时，原文件会被删除。 只要简单删除文件的硬盘没有被大量写入，就有恢复成功的可能。 可能的。

使用 Kingsoft Antivirus Data Recovery 在损坏前检索文件

请使用免费账号ksda679795862，密码：kingsoft，开启金山毒霸数据恢复功能。

1.选择删除文件恢复

2、选择扫描对象：在界面中选择丢失文件的磁盘或文件夹，然后点击“开始扫描”。

3、扫描过程：文件越多，扫描时间越长。 请耐心等待。 （一般扫描速度为2分钟3G）

4. 扫描结果预览：点击文件进行预览，可预览的有几率成功恢复。 勾选需要恢复的文件（文件夹），单击开始恢复文件。

5、选择恢复路径：恢复的文件将保存在您选择的文件夹路径中，请选择您要恢复到的文件夹。 （强烈建议将要恢复的文件保存到其他硬盘，不要保存到文件丢失的硬盘，以免造成二次损坏。）

6、查看恢复结果：恢复后的文件夹会保存在您选择的文件夹路径下，您可以通过打开目录查看恢复后的文件。

以下情况需要注意：

1.扫描后的照片和办公文档无法预览，无法恢复。 （office文档无法预览，说明文档已经部分损坏）

2.不支持预览文件类型，只有恢复后才能知道是否可以正常使用

3.使用误删文件功能。 扫描后，每个文件都会有恢复概率显示。 恢复概率越高，恢复成功率越高

4、视频文件容易出现碎片和数据覆盖，所以完整恢复视频文件的可能性很小。

5. 对于物理损坏的硬盘或其他存储介质，恢复的文件可能是损坏的文件。