救命必看!Windows勒索病毒最全攻略、补丁下载 �5�Qp�5JMK
�\o��PW���
*1V}v�J�vi
5月12日起,Onion、WNCRY两类敲诈者病毒变种在全国乃至全世界大范围内出现爆发态势,大量个人和企业、机构用户中招。 Vr�hG=C�K�
与以往不同的是,这次的新变种病毒添加了NSA(美国国家安全局)黑客工具包中的“永恒之蓝”0day漏洞利用,通过445端口(文件共享)在内网进行蠕虫式感染传播。 *
k'oP~:fT
没有安装安全软件或及时更新系统补丁的其他内网用户极有可能被动感染,所以目前感染用户主要集中在企业、高校等内网环境下。 �y��";{�k+
一旦感染该蠕虫病毒变种,系统重要资料文件就会被加密,并勒索高额的比特币赎金,折合人民币2000-50000元不等。 v\:>}
<g�c
从目前监控到的情况来看,全网已经有数万用户感染,QQ、微博等社交平台上也是哀鸿遍野,后续威胁也不容小觑。 `9eE139V='
敲诈勒索病毒+远程执行漏洞蠕虫传播的组合致使危险度剧增,对近期国内的网络安全形势一次的严峻考验。 ���n��H*U�
事发后,微软和各大安全公司都第一时间跟进,更新旗下安全软件。金山毒霸也特别针对本次敲诈者蠕虫,给出了详细的安全防御方案、传播分析,以及其他安全建议。 YMnG-'^��Z
我们也汇总了所有Windows系统版本的补丁,请大家务必尽快安装更新。 =��LuH:VM&
【传播感染背景】 ?s(%3
_h�
本轮敲诈者蠕虫病毒传播主要包括Onion、WNCRY两大家族变种,首先在英国、俄罗斯等多个国家爆发,有多家企业、医疗机构的系统中招,损失非常惨重。 TPp%II'*��
安全机构全球监测已经发现目前多达74个国家遭遇本次敲诈者蠕虫攻击。 �{�) 4�D�1
从5月12日开始,国内的感染传播量也开始急剧增加,在多个高校和企业内部集中爆发并且愈演愈烈。 �{A�qN@��i
本次感染急剧爆发的主要原因在于其传播过程中使用了前段时间泄漏的美国国家安全局(NSA)黑客工具包中的“永恒之蓝”漏洞(微软3月份已经发布补丁,漏洞编号MS17-010)。 ,JRYG<O_�T
和历史上的“震荡波”、“冲击波”等大规模蠕虫感染类似,本次传播攻击利用的“永恒之蓝”漏洞可以通过445端口直接远程攻击目标主机,传播感染速度非常快。 �e�h�
�nN
虽然国内部分网络运营商已经屏蔽掉个人用户的445网络端口,但是在教育网、部分运行商的大局域网、校园企业内网依旧存在大量暴漏的攻击目标。 �z��?_c:]D
对于企业来说尤其严重,一旦内部的关键服务器系统遭遇攻击,带来的损失不可估量。 rE[*i��q,#
从检测到反馈情况看,国内多个高校都集中爆发了感染传播事件,甚至包括机场航班信息、加油站等终端系统遭受影响,预计近期由本次敲诈者蠕虫病毒造成的影响会进一步加剧。 K�
4I ?��1
中招系统中的文档、图片、压缩包、影音等常见文件都会被病毒加密,然后向用户勒索高额比特币赎金。 S1wt>}�w0$
WNCRY变种一般勒索价值300-600美金的比特币,Onion变种甚至要求用户支付3个比特币,以目前的比特币行情,折合人民币在3万左右。 #�
�SV�*�6
此类病毒一般使用RSA等非对称算法,没有私钥就无法解密文件。WNCRY敲诈者病毒要求用户在3天内付款,否则解密费用翻倍,并且一周内未付款将删除密钥导致无法恢复。 =(K;z9�O�R
从某种意义上来说,这种敲诈者病毒“可防不可解”,需要安全厂商和用户共同加强安全防御措施和意识。 j�"�HB[N �
对部分变种的比特币支付地址进行追踪发现,目前已经有少量用户开始向病毒作者支付勒索赎金。 +�w:[By��"
从下图中我们可以看到这个变种的病毒作者已经收到19个用户的比特币赎金,累计3.58个比特币,市值约人民币4万元。 I�5>HB;Q��
【KB4012598】适用于Windows XP 32位/64位/嵌入式、Windows Vista 32/64位、Windows Server 2003 SP2 32位/64位、Windows 8 32位/64位、Windows Server 2008 32位/64位/安腾 �]�3xnq<��
下载地址1:http://pan.baidu.com/s/1nu8MzbF C�7�8YHj�y
下载地址2:http://cloud.189.cn/t/fq6Zvufqyuqe (�)�v[@"J�
下载地址3:http://url.cn/496eldk o�;M
�"C�[
【KB4012212】适用于Windows 7 32位/64位/嵌入式、Windows Server 2008 R2 32位/64位 1wuL��w Ad
32位下载地址1:http://pan.baidu.com/s/1qYRnxSw Qr�1%�"^4
32位下载地址2:http://cloud.189.cn/t/fq6Zvufqyuqe "d��/x`Dx�
32位下载地址3:http://url.cn/496dMKE BQ,]]}e43z
64位下载地址1:http://pan.baidu.com/s/1c6HkBk �7&�/iuP$.
64位下载地址2:http://cloud.189.cn/t/fAvQbuI7jMFb \gk�i�!!HQ
64位下载地址3:http://url.cn/496gCqh &!2
4l
�=!
Ex^7`-2�,B
�HGs.v}@&�
【KB4012213】适用于Windows 8.1 64位、Windows Server 2012 R2 64位 [�ahD%UxO5
下载地址:http://pan.baidu.com/s/1slGvZtj Jj�*X�nL�*
下载地址2:http://cloud.189.cn/t/63aEraeEBfIv ^,
q\��S��
下载地址3:http://url.cn/496aIEC ]MfT5#(6h�
【KB4012214】:http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4012214 ��iyc}a6�g
适用于Windows 8嵌入式、Windows Server 2012 y'*^� ��'�
【KB4012606】:http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012606 1mwb&j24n3
适用于Windows 10 RTM 32位/64位/LTSB ��_'�
� Xt
【KB4013198】:http://www.catalog.update.microsoft.com/Search.aspx?q=KB4013198 MM3
X!
tq�
适用于Windows 10 1511十一月更新版32/64位 %g�^dB� M#
【KB4013429】:http://www.catalog.update.microsoft.com/Search.aspx?q=KB4013429 6vQAeuz<Fq
适用于Windows 10 1607周年更新版32/64位、Windows Server 2016 32/64位 Xnt`7��L<L
3、Windows XP、Windows Server 2003系统用户还可以关闭445端口,规避遭遇此次敲诈者蠕虫病毒的感染攻击。 4pJ�OJ!��?
步骤如下: <,�(�6*��b
(1)、开启系统防火墙保护。控制面板->安全中心->Windows防火墙->启用。 B'"C?d
�<7
(2)、关闭系统445端口。 E�)H:
�L-
(a)、快捷键WIN+R启动运行窗口,输入cmd并执行,打开命令行操作窗口,输入命令“netstat -an”,检测445端口是否开启。 JBtcl��#�|
B
_i@D?bTD
|
