wannacry蠕虫勒索软件免疫工具

wannacry免疫工具(又称蠕虫勒索软件免疫工具)是一款可检测用户的电脑是否有免疫蠕虫勒索软件的能力，若无则会自动帮助用户修复此类问题让用户可免疫此病毒，程序会通过两种方法来让用户的计算机具备蠕虫勒索软件免疫能力，包括疫苗免疫和禁用网络共享服务两种方法。wannacry蠕虫勒索软件事故是由不法分子利用美国国家安全局泄露的危险漏洞“EternalBlue”(永恒之蓝)进行传播,该恶意软件会扫描电脑上的TCP 445端口，以类似于蠕虫病毒的方式传播，攻击主机并加密主机上存储的文件，然后要求以比特币的形式支付赎金。勒索金额为300至600美元。目前已造成至少150个国家的网络瘫痪，影响到金融、教育、医疗和能源等多个行业，国内的部分Windows操作系统用户也遭受到了感染，尤其是学校的教育网用户更是深受其害，大量实验室数据和毕业设计被锁定加密。不过随着蠕虫勒索软件的危险性日益增大，国内外的安全公司也已经开始研发专门应对wannacry的安全软件，小编推荐的这款wannacry免疫工具就可以专门应对此类病毒，且操作及其简单，点击“修复”即可轻松免疫此类病毒。

攻击特点

WannaCry利用Windows操作系统445端口存在的漏洞进行传播，并具有自我复制、主动传播的特性
被该勒索软件入侵后，用户主机系统内的照片、图片、文档、音频、视频等几乎所有类型的文件都将被加密，加密文件的后缀名被统一修改为．WNCRY，并会在桌面弹出勒索对话框，要求受害者支付价值数百美元的比特币到攻击者的比特币钱包，且赎金金额还会随着时间的推移而增加

攻击类型

1、常用的Office文件（扩展名为.ppt、.doc、.docx、.xlsx、.sxi）
2、并不常用，但是某些特定国家使用的office文件格式（.sxw、.odt、.hwp）
3、压缩文档和媒体文件（.zip、.rar、.tar、.mp4、.mkv）
4、电子邮件和邮件数据库（.eml、.msg、.ost、.pst、.deb）
5、数据库文件（.sql、.accdb、.mdb、.dbf、.odb、.myd）
6、开发者使用的源代码和项目文件（.php、.java、.cpp、.pas、.asm）
7、密匙和证书（.key、.pfx、.pem、.p12、.csr、.gpg、.aes）
8、美术设计人员、艺术家和摄影师使用的文件（.vsd、.odg、.raw、.nef、.svg、.psd）
9、虚拟机文件（.vmx、.vmdk、.vdi）

如何预防？

一、 建立安全事件响应小组
很多时候内部对例如如何去应对主动威胁的混乱，会延迟或阻碍及时采取适当的反应。这就是为什么指定一个有着明确的角色和责任分配的事件响应小组至关重要。同时沟通线也需要建立起来，连同指挥链和决策树。为了提高效率，该团队需要熟悉业务，通信流程和优先级，哪些系统可以安全地关闭，以及如何确定实时威胁是否会影响组织的基础架构的组件。该团队也需要考虑各种威胁情景，并且在可能的情况下运行演练，以确定程序和工具的差距，确保响应立即有效。而且该事件响应小组需要一种不依赖于其IT通信系统以外的可靠的联系建立方式
二、通过使用基于后果的管理程序来限制不良后果
有效的安全策略不仅仅需要将安全技术部署到您的基础设施中。安全规划需要从对架构的分析开始，着眼于对发生攻击或违规发生的不良后果。这次对抗勒索软件事件说明一件事，保持关键信息资产的备份与离线存储。更通俗地说，基于后沟的管理程序需要的是：了解您的关键资产，确定您的组织机构中最易受到哪些威胁，例如远程访问拒绝，应用程序或数据的崩坏，或使关键IT或运营资产不可用等，以此来实现消除或者减少此此种威胁发生的后果
三、通过保持“清洁”来防范威胁
建立和维护正式补丁更新与协议更新。理想情况下，这应该是可以设置自动完成并且是可量化的一个操作。此外，需要实施一个过程来识别并替换或取代那些无法更新的系统。在过去十五年中，我们的FortiGuard全球威胁研究与响应一直在全球范围内监控，记录和对威胁进行响应。根据我们的经验，企业或者组织机构只要简单的更新或者更换易受攻击的系统即可阻止绝大多数的攻击。另外，定期对您的主要资产进行复制，扫描恶意软件，然后通过物理手段将其脱机存储，以防万一勒索软件或类似的网络攻击形成真实打击
四、通过创建和利用签名与特征库保护您的网络
虽说新产生的攻击也是真实的风险，但大多数的攻击实际上是由数周，数月，甚至数年的违规或者旧有的漏洞而造成的。基于签名的检测工具可以快速查找并阻止尝试渗透的执行
五、通过使用基于行为的分析来检测并对尚未被看到的威胁形成响应
并不是所有的威胁都有可识别的签名。基于行为的安全工具可以查找隐蔽的C&C系统，识别不适当或意外的流量或设备行为，通过沙盒这样的“引爆”机制来防范零日攻击变种这类攻击，并让安全技术组件形成联动来对高级威胁作出响应

其他阻止方法

目前，安全业界暂未能有效破除该勒索软件的恶意加密行为。网络安全专家建议，用户要断网开机，即先拔掉网线再开机，这样基本可以避免被勒索软件感染。开机后应尽快想办法打上安全补丁，或安装各家网络安全公司针对此事推出的防御工具，才可以联网。建议尽快备份电脑中的重要文件资料到移动硬盘、U 盘，备份完后脱机保存该磁盘，同时对于不明链接、文件和邮件要提高警惕，加强防范。
一、临时解决方案
1.开启系统防火墙
2.利用系统防火墙高级设置阻止向445端口进行连接（该操作会影响使用445端口的服务）
3.打开系统自动更新，并检测更新进行安装
二、Win7、Win8、Win10的处理流程
1.打开控制面板-系统与安全-Windows防火墙，点击左侧启动或关闭Windows防火墙
2.选择启动防火墙，并点击确定
3.点击高级设置
4.点击入站规则，新建规则
5.选择端口，下一步
6.特定本地端口，输入445，下一步
7.选择阻止连接，下一步
8.配置文件，全选，下一步
9.名称，可以任意输入，完成即可
三、XP系统的处理流程
1.依次打开控制面板，安全中心，Windows防火墙，选择启用
2.点击开始，运行，输入cmd，确定执行下面三条命令：net stop rdr 、net stop srv 、net stop netbt

电脑感染wannacry紧急处理方法

一、首先确认主机是否被感染
被感染的机器屏幕会显示如下的告知付赎金的界面:

二、如果主机已被感染
则将该主机隔离或断网(拔网线)。若客户存在该主机备份，则启动备份恢复程序
三、如果主机未被感染
则存在四种方式进行防护，均可以避免主机被感染。针对未感染主机，方式二是属于彻底根除的手段，但耗时较长;其他方式均属于抑制手段，其中方式一效率最高。从响应效率和质量上，360 建议首先采用方式一进行抑制，再采用方式二进行根除
方式一：启用蠕虫快速免疫工具
方式二：针对主机进行补丁升级
方式三：关闭 445 端口相关服务
1.点击开始菜单，运行，cmd，确认
2.输入命令netstat –an 查看端口状态

3.net stop srv 回车
4.net stop srv 回车
5.net stop netbt 回车

6.再次输入 netsta –an，成功关闭 445 端口

方式四：配置主机级 ACL 策略封堵 445 端口
1.通过组策略 IP 安全策略限制 Windows 网络共享协议相关端口
2.开始菜单->运行，输入 gpedit.msc 回车。打开组策略编辑器
3.在组策略编辑器中，计算机配置->windows 设置->安全设置->ip 安全策略下,在编辑器右边空白处鼠标右键单击，选择“创建 IP 安全策略”

4.下一步->名称填写“封端口”，下一步->下一步->勾选编辑属性，并点完成

5.去掉“使用添加向导”的勾选后，点击“添加”
6.在新弹出的窗口，选择“IP 筛选列表”选项卡，点击“添加”

7.在新弹出的窗口中填写名称，去掉“使用添加向导”前面的勾，单击“添加”
8.在新弹出的窗口中，“协议”选项卡下，选择协议和设置到达端口信息，并点确定

9.重复第7个步骤，添加 TCP 端口 135、139、445。添加 UDP 端口 137、138。添加全部完成后，确定
10.选中刚添加完成的“端口过滤”规则，然后选择“筛选器操作”选项卡

11.去掉“使用添加向导”勾选，单击“添加”按钮
1)选择“阻止”
2)选择“常规”选项卡，给这个筛选器起名“阻止”，然后“确定”。点击