如何预防和补救勒索软件攻击？

自5月12日起，全球多国爆发勒索病毒攻击，中国大量高校也被感染。 一些师生的电脑文件被病毒加密，只有支付赎金才能恢复。 对此，校园网用户无需过分惊慌，做好安全防范和补救措施，可以避免不必要的损失。

勒索软件实时感染状态

感染率先在英国、俄罗斯等国家爆发。 据新闻报道，多家企业和医疗机构的系统被感染，损失十分惨重。 安全机构全球监测发现，多达 74 个国家/地区受到勒索蠕虫病毒的攻击。 5月12日以来，全国感染和传播人数也开始急剧增加，多所高校和企业集中爆发并加剧。 根据专业安全公司对校园网勒索事件的监测数据，ONION病毒最早出现在中国，平均每小时攻击200次左右，夜间高峰期每小时攻击1000次以上； WNCRY勒索病毒发生于5月12日下午，新型全球攻击在中国校园网迅速蔓延，夜间高峰期每小时攻击量约4000次。

某大学机房被勒索病毒攻击

与以往不同的是，这个新变种利用NSA黑客工具包中的“永恒之蓝”0day漏洞，通过内网445端口（文件共享）传播蠕虫类感染，并且不安装安全软件或及时更新系统补丁的内网用户极有可能处于被动状态，因此目前受感染的用户主要集中在企业、高校等内网环境。 一旦感染该蠕虫变种，重要的系统数据文件将被加密，并要求支付高额比特币赎金。

【影响范围】Windows XP、Windows 7、Windows 8、Windows Server 2008、Windows Server 2003、Windows Vista、关闭自动更新的win10用户

[不受影响的设备] Android 手机、iOS 设备、MacOS 设备、Unix 设备、Win10 设备（最新版本）

感染WNCRY勒索病毒的用户系统弹窗

本轮勒索病毒的传播主要包括Onion和WNCRY家族的变种。 中招系统中的文档、图片、压缩文件、音频、视频等常用文件会被病毒加密，然后向用户勒索高额比特币赎金。 WNCRY变种一般勒索价值300至600美元的比特币，而洋葱变种甚至需要用户支付3个比特币，相当于目前比特币市场的3万人民币左右。 此类病毒一般采用RSA等非对称算法，没有私钥无法解密文件。 WNCRY勒索病毒要求用户3天内缴费，否则解密费用加倍比特币如何做到防止重复支付，一周内不缴费，密钥将被删除无法恢复。 从某种意义上说，这种勒索病毒是“可防不可破”的，需要安全厂商和用户共同加强安全防御措施和意识。

【安全注意事项建议】

1、下载免疫工具、查杀工具、文件恢复工具：

360公司免疫工具下载链接：

安天免疫工具下载链接：

360公司查杀工具下载链接：

安天杀毒工具下载链接：

360公司文件恢复工具下载链接：

2、首先运行免疫工具，有效阻断勒索病毒感染的传播途径，实现宿主免疫；

3、免疫后，使用勒索病毒查杀工具清除被勒索病毒感染的主机（但加密文件无法解密）；

4.开启系统自动更新，检测并安装更新。

【受感染用户的补救措施】

1、先拔掉网线，与内网其他机器隔离；

2、使用蠕虫勒索病毒免疫工具进行宿主免疫；

3、使用蠕虫、勒索病毒专杀工具进行病毒清除；

4、使用360的文件恢复工具，恢复被删除的文件比特币如何做到防止重复支付，将损失降到最低； （因为勒索软件的工作原理是读取源文件，加密后写入硬盘，然后删除源文件，保留加密文件，这个恢复工具可以将删除的文件尽可能的恢复出来，并且有不保证它们会完全恢复）

4、使用PE盘进入操作系统，备份可用文件，离线处理备份数据；

5、重装系统后，重复2、3步，开启系统自动更新，检测并安装更新。

最后，记住：要养成随时备份文件的好习惯！