wannacry伺服器

1、什麼是wannacry勒索蠕蟲病毒

網路蠕蟲病毒，作為對互聯網危害嚴重的 一種計算機程序，其破壞力和傳染性不容忽視。與傳統的病毒不同，蠕蟲病毒以計算機為載體，以網路為攻擊對象！本文中將蠕蟲病毒分為針對企業網路和個人用戶2類，並從企業用戶和個人用戶兩個方面探討蠕蟲病毒的特徵和一些防範措施!

蠕蟲病毒與一般病毒的異同

蠕蟲也是一種病毒，因此具有病毒的共同特徵。一般的病毒是需要的寄生的，它可以通過自己指令的執行，將自己的指令代碼寫到其他程序的體內，而被感染的文件就被稱為」宿主」，例如，windows下可執行文件的格式為pe格式(Portable Executable)，當需要感染pe文件時，在宿主程序中，建立一個新節，將病毒代碼寫到新節中，修改的程序入口點等，這樣，宿主程序執行的時候，就可以先執行病毒程序，病毒程序運行完之後，在把控制權交給宿主原來的程序指令。可見，病毒主要是感染文件，當然也還有像DIRII這種鏈接型病毒，還有引導區病毒。引導區病毒他是感染磁碟的引導區，如果是軟盤被感染，這張軟盤用在其他機器上後，同樣也會感染其他機器，所以傳播方式也是用軟盤等方式。

蠕蟲一般不採取利用pe格式插入文件的方法，而是復制自身在互聯網環境下進行傳播，病毒的傳染能力主要是針對計算機內的文件系統而言，而蠕蟲病毒的傳染目標是互聯網內的所有計算機.區域網條件下的共享文件夾，電子郵件email，網路中的惡意網頁，大量存在著漏洞的伺服器等都成為蠕蟲傳播的良好途徑。網路的發展也使得蠕蟲病毒可以在幾個小時內蔓延全球!而且蠕蟲的主動攻擊性和突然爆發性將使得人們手足無策!

2、wannacry病毒到底能不能解決

首先確認你的電腦是否中毒（如下圖示）。如果中毒，要麼給錢要麼不要數據了……

如果沒有中毒，開機機拔網線哦，接著向下看

一、 網路埠防護

該病毒主要利用TCP 的445 埠進行傳播。為了阻斷病毒快速傳播, 建議在邊界防火牆配置阻斷策略，從網路層面阻斷TCP 445 埠的通訊，同時可封堵135、137、138、139埠。

二、 系統漏洞修復

該病毒主要利用Windows各版本存在的MS17-010遠程代碼執行漏洞，該病毒主要利用目前微軟已經發布了官方補丁，可以通過公司統一補丁伺服器進行下載，也可以通過微軟官方網站進行下載。

https://technet.microsoft.com/zh-cn/library/security/MS17-010。

WindowsXP，windows server 2003，windows 8前往下面網址進行下載：http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598。

三、 查殺病毒及安全設備事件庫升級

l目前360、金山、瑞星都已經升級了病毒庫，可以發現並查殺wannacry病毒。請各單位及時更新病毒特徵庫，進行查殺。

l將IPS、IDS等相關安全設備事件庫升級至最新版本並下發相應規則。

本地關閉445服務

點擊開始菜單，運行，cmd，確認。

輸入命令netstat –an 查看埠狀態

輸入net stop rdr 回車

net stop srv 回車

net stop netbt 回車

再次輸入netsta –an，成功關閉445 埠。

配置主機防火牆策略阻斷445埠

開始菜單->運行，輸入gpedit.msc 回車。打開組策略編輯器

在組策略編輯器中，計算機配置->windows 設置->安全設置->ip 安全策略 下，

在編輯器右邊空白處滑鼠右鍵單擊，選擇「創建IP 安全策略」

下一步->名稱填寫「封埠」，下一步->下一步->勾選編輯屬性，並點完成

去掉「使用添加向導」的勾選後，點擊「添加」

在新彈出的窗口，選擇「IP 篩選列表」選項卡，點擊「添加」

在新彈出的窗口中填寫名稱，去掉「使用添加向導」前面的勾，單擊「添加」

在新彈出的窗口中，「協議」選項卡下，選擇協議和設置到達埠信息，

並點確定。

重復第7 個步驟，添加TCP 埠135、139、445。添加UDP 埠137、138。

添加全部完成後，確定。

選中剛添加完成的「埠過濾」規則，然後選擇「篩選器操作」選項卡。

去掉「使用添加向導」勾選，單擊「添加」按鈕

1. 選擇「阻止」

2. 選擇「常規」選項卡，給這個篩選器起名「阻止」，然後「確定」。

點擊

3. 確認「IP 篩選列表」選項卡下的「埠過濾」被選中。確認「篩選器操作」

選項卡下的「阻止」被選中。然後點擊「關閉」

4. 確認安全規則配置正確。點擊確定。

5. 在「組策略編輯器」上，右鍵「分配」，將規則啟用。

3、比特幣病毒怎麼關閉伺服器445埠

445埠關閉方法如下：
1、打開控制面板-系統與安全-Windows防火牆，點擊左側啟動或關閉Windows防火牆。
2、選擇啟動防火牆，並點擊確定
3、點擊高級設置
4、點擊入站規則，新建規則
5、選擇埠，下一步
6、特定本地埠，輸入445，下一步
7、選擇阻止連接，下一步
8、配置文件，全選，下一步
9、名稱，可以任意輸入，完成即可。
XP系統的處理流程
1、依次打開控制面板，安全中心，Windows防火牆，選擇啟用
2、點擊開始，運行，輸入cmd，確定執行下面三條命令：net stop rdr 、net stop srv 、net stop netbt

4、wannacry會感染伺服器嗎

可能感染windows放置數據的硬碟等。
所以要提前做好預防，如果已經感染，系統全部格式化，重做系統打補丁並安裝殺毒軟體。
海騰數據晉慧娟

5、勒索病毒WannaCry能給我們帶來什麼啟示？

最近的勒索病毒WannaCry以一種凌厲的態勢席捲全球，多個機構和企業受到嚴重影響。

包括中國國內也曝出多家公司或機構相關問題，甚至連中石油都有超過2萬座加油站遭到攻擊。

這個勒索病毒WannaCry為什麼能夠這么肆無忌憚地在全世界范圍內興風作浪？又有誰該為此負責？

這一切要從美國國家安全局（簡稱NSA）說起，最初美國國家安全局以國家安全需要為名義開發了一套黑客工具包「永恆之藍」，這個黑客工具包的作用就是協助國安局的本職工作。

「永恆之藍」中包含多個Windows漏洞的利用工具，只要Windows伺服器開了139、445等埠之一，就有可能被黑入，以此協助NSA必要時獲取有用信息。

但要命的是，這個NSA的黑客工具包有一天被盜了……落入黑客之手的工具包自然不會拿來做慈善，自然而然地就被利用到了勒索牟利上來。

由於相關漏洞NSA一直沒有向微軟報告，所以直到今年3月，微軟才開始向所有平台的Windows各版本推送相關的安全補丁，但為時已晚。

該病毒已經在網上通過445埠進行蠕蟲式傳播，並出現了新的變體，已致使超過150個國家20萬台以上的PC中毒。

受到感染的PC中，重要的文件資料會被直接加密並刪除原文件，勒索軟體會向PC所有者索取定額的比特幣作為報酬，否則這些加密文件將再也無法打開（即使動用目前地球上計算力最強的計算機來解密也需要上萬年）。

個人用戶反思：小聰明玩多了要吃苦頭的

在WannaCry勒索病毒大規模爆發之前，微軟就已經在今年3月推送了相關的安全補丁，而且連早已結束生命周期的Windows XP和Windows Server 2003等都收到了更新，那為什麼還有大量的用戶被攻擊？

原因很簡單，其實就是這些PC早就關閉了系統的自動更新，而且往往對系統的更新提示視而不見。這次勒索病毒的重災區就是Windows 7，也是那些自認為是「電腦高手」的人使用最多的系統。而Windows 10則是受影響最小的系統，因為Win10的系統更新無法通過常規方法關閉，只能通過組策略來關閉，也就使得大部分Win10用戶一直保持著自動更新。

在很多人眼裡，只要保持良好的上網習慣和電腦使用方法，就能保證電腦的安全不被侵擾，更新系統是「操作系統廠商的陰謀」。

但人們不知道的是，真正的黑客有幾百種方法讓你的電腦成為他手中的玩物，普通用戶的那點小心謹慎根本毫無意義。

還有另一種聲音是網上的主流，那就是「我一個小老百姓有什麼東西值得別人黑的？」但事實就是你永遠也不知道黑客的底線在哪裡。而這一次WannaCry盡管沒有對家庭網路環境中的電腦下手，但在公司辦公室里放任慣了的電腦用戶還是遭到了打擊。如果有誰的工作報告被加密勒索了，老闆應該不會把責任推到別人身上。

沒有人是絕對安全的，沒有人是一定會被錯過的，以前都只是僥幸而已，不要覺得會用組策略關閉Win10自動更新很牛叉，該老實更新的還是老實更新吧。

企業的反思：讓員工自備系統早晚要出事

其次是企業機構層面，這次企業和機構，包括政府部門無疑是勒索病毒的重災區，主要原因是系統版本陳舊、安全管理疏忽，甚至是使用盜版系統。

由於種種原因，很多企業內部的操作系統版本並沒能跟上步伐，還在使用安全性能低下，甚至已經結束了生命周期的版本（比如Windows XP）。這類系統由於失去了微軟的安全更新，所以是所有病毒最容易突破的防線，各種安全漏洞都為新型病毒打開了大門。

不過這一次微軟確實為Windows XP和Windows Server 2003等已經退市的操作系統推送了相關的安全補丁，但還是分分中招，這就是整個企業或機構在內部網路安全防護上沒有進行重視，不及時更新系統補丁等疏忽鎖導致的。

而且有的公司並沒有為員工提供標準的企業版操作系統，而是讓用戶自己准備，這種情況下那就是員工帶來的系統五花八門且幾乎都是盜版系統。讓這樣一批電腦接入公司網路，訪問公司內部資料庫，可想而知風險會有多大。

更重要的是，一旦發生安全事故，公司根本沒有能力對所有電腦進行統一管理，只能要求員工如何操作。

事實上，國內除了部分大公司，大部分公司都是這種讓員工自己解決系統問題的模式，主要原因還是為了省下一筆費用，然而這樣做到底是賺了還是賠了，恐怕只有當重要資料數據被盜被黑了，才會知道吧。

所以，企業和機構應該盡可能使用最新版本的操作系統，保持內部網路的安全防護，並統一采購企業版系統掌握全部公司電腦的控制管理許可權。

國家的反思：必須有自主獨立的操作系統

最後來看看政府與國家層面。這次勒索病毒整個事件中最有意思的一環就是NSA與微軟之間的扯皮，就在各方都在指責微軟對漏洞防堵不力時，微軟也將矛頭指向了NSA。

微軟指責NSA在發現系統漏洞後不僅沒有向微軟進行報告，反而偷偷摸摸利用漏洞開發了一整套黑客工具，而且在該工具里居然有23個漏洞之多。這就引出了國家機構在發現系統漏洞後有沒有義務向操作系統公司進行匯報的問題。

對於這個問題，我們很難給出答案，因為站在國家機器的立場，利用系統漏洞甚至是要求操作系統留有後門的行為都是被默許的，只是這種事情一般都不會放到明面上來，國家機器也肯定是不會承認的。所以如果一旦因此發生事故，到底是政府的責任還是操作系統公司的責任，或是雙方的責任都很難說。

因為微軟是美國的，這個國家的操作系統被全世界的個人、企業、機構、國家政府機構使用。

誰也不能保證在國家的壓力下，這個國家的操作系統會對其他國家和地區產生什麼樣的影響。這次一個小小的「永恆之藍」就在全球范圍搞出了這么多事，如果利用「永恆之藍」的不是勒索幾個錢的黑客組織，而是有著特殊目的的美國國家安全局呢？

如今的操作系統可以說是一個國家的重要支柱

如果這根支柱出現問題後果將不堪設想，而更大的問題是，對於很多國家來說，對這根支柱並沒有完全的主動權，因為它是別國的產品，遙控器就捏在別國政府的手裡。

或許從這件事之後，關於開發國產自主操作系統的項目會被格外關注，網上也會減少很多冷嘲熱諷和閑言碎語，這是好事。作為一個大國，擁有自己完全獨立的操作系統，是必須的。

由一個勒索病毒事件引出這么多問題，這么多疏忽，我們不知道該說是壞事還是好事。

但不管怎樣，這次的事件都給整個互聯網社會上了一課，從個人到企業再到國家層面，應該都能從中發現自己的問題。如果是這樣，WannaCry還真是個好老師呢，只是這學費有點太貴了。

6、勒索蠕蟲病毒WannaCry2.0變種傳播速度更快？

國家網路與信息安全信息通報中心日前緊急通報：監測發現，在全球范圍內爆發的WannaCry勒索病毒出現了變種：WannaCry2.0，與之前版本的不同是，這個變種取消了Kill Switch，不能通過注冊某個域名來關閉變種勒索病毒的傳播，該變種傳播速度可能會更快。

《通知》指出，有關部門監測發現，WannaCry 勒索蠕蟲出現了變種：WannaCry 2.0，與之前版本的不同是，這個變種取消了所謂的Kill Switch，不能通過注冊某個域名來關閉變種勒索蠕蟲的傳播。該變種的傳播速度可能會更快，該變種的有關處置方法與之前版本相同，建議立即進行關注和處置。

有關部門監測發現，WannaCry 勒索蠕蟲出現了變種：WannaCry 2.0，與之前版本的不同是，這個變種取消了所謂的Kill Switch，不能通過注冊某個域名來關閉變種勒索蠕蟲的傳播。該變種的傳播速度可能會更快，該變種的有關處置方法與之前版本相同，建議立即進行關注和處置。

如何緊急處理？

一、請立即組織內網檢測，查找所有開放445 SMB服務埠的終端和伺服器，一旦發現中毒機器，立即斷網處置，目前看來對硬碟格式化可清除病毒。

二、目前微軟已發布補丁MS17-010修復了「永恆之藍」攻擊的系統漏洞，請盡快為電腦安裝此補丁，網址為https://technet.microsoft.com/zh-cn/library/security/MS17-010；對於XP、2003等微軟已不再提供安全更新的機器，建議升級操作系統版本，或關閉受到漏洞影響的埠，可以避免遭到勒索軟體等病毒的侵害。

三、一旦發現中毒機器，立即斷網。

四、啟用並打開「Windows防火牆」，進入「高級設置」，在入站規則里禁用「文件和列印機共享」相關規則。關閉UDP135、445、137、138、139埠，關閉網路文件共享。

五、嚴格禁止使用U盤、移動硬碟等可執行擺渡攻擊的設備。

六、盡快備份自己電腦中的重要文件資料到存儲設備上。

七、及時更新操作系統和應用程序到最新的版本。

八、加強電子郵件安全，有效的阻攔掉釣魚郵件，可以消除很多隱患。

九、安裝正版操作系統、Office軟體等。

7、永恆之藍 會影響linux伺服器嗎

永恆之藍是WINDOWS的一個漏洞。

linux和WINDOWS是兩種不同的系統，並不會影響到

8、什麼叫電腦永恆之藍病毒

5月12日晚上20時左右，全球爆發大規模勒索軟體感染事件，用戶只要開機上網就可被攻擊。五個小時內，包括英國、俄羅斯、整個歐洲以及國內多個高校校內網、大型企業內網和政府機構專網中招，被勒索支付高額贖金（有的需要比特幣）才能解密恢復文件，這場攻擊甚至造成了教學系統癱瘓，包括校園一卡通系統。
永恆之藍病毒是什麼？
據了解，這次事件是不法分子通過改造之前泄露的NSA黑客武器庫中「永恆之藍」攻擊程序發起的網路攻擊事件。
這次的「永恆之藍」勒索蠕蟲，是NSA網路軍火民用化的全球第一例。一個月前，第四批NSA相關網路攻擊工具及文檔被Shadow Brokers組織公布，包含了涉及多個Windows系統服務（SMB、RDP、IIS）的遠程命令執行工具，其中就包括「永恆之藍」攻擊程序。
惡意代碼會掃描開放445文件共享埠的Windows機器，無需用戶任何操作，只要開機上網，不法分子就能在電腦和伺服器中植入勒索軟體、遠程式控制制木馬、虛擬貨幣挖礦機等惡意程序。
目前，「永恆之藍」傳播的勒索病毒以ONION和WNCRY兩個家族為主，受害機器的磁碟文件會被篡改為相應的後綴，圖片、文檔、視頻、壓縮包等各類資料都無法正常打開，只有支付贖金才能解密恢復。這兩類勒索病毒，勒索金額分別是5個比特幣和300美元，摺合人民幣分別為5萬多元和2000多元。
安全專家還發現，ONION勒索病毒還會與挖礦機（運算生成虛擬貨幣）、遠控木馬組團傳播，形成一個集合挖礦、遠控、勒索多種惡意行為的木馬病毒「大禮包」，專門選擇高性能伺服器挖礦牟利，對普通電腦則會加密文件敲詐錢財，最大化地壓榨受害機器的經濟價值。
沒有關閉的445埠「引狼入室」據360企業安全方面5月13日早晨提供的一份公告顯示，由於以前國內多次爆發利用445埠傳播的蠕蟲，部分運營商在主幹網路上封禁了445埠，但是教育網及大量企業內網並沒有此限制而且並未及時安裝補丁，仍然存在大量暴露445埠且存在漏洞的電腦，導致目前蠕蟲的泛濫。
因此，該安全事件被多家安全機構風險定級為「危急」。

9、伺服器中這樣的勒索病毒，有沒有什麼解決方案，愁死了

中了WannaCry病毒，基本文件不可能恢復，除非你給他支付相應的酬金。
如果你事先進行異機備份了DB,那麼你重裝伺服器。重裝完後按以下步驟操作：
進入控制面板==>高級安全 Windows防火牆，左側菜單 選擇「入站規則」找到Windows文件共享埠（445埠）把445埠禁用掉。
另外，生產環境不要亂點擊不明鏈接和Application，包括動態鏈接庫DLL。exe可執行文件等。此次的勒索病毒WannaCry的宿主在於DLL動態鏈接庫。

10、什麼是「WannaCry蠕蟲」？

WannaCry也被稱為WannaCrypt/WannaCrypt0r，目前還沒有統一的中文名稱，目前很多媒體按照字面翻譯為「想哭」。此病毒文件的大小3.3MB，是一款蠕蟲勒索式惡意軟體。

除 Windows 10系統外，所有未及時安裝 MS17-010 補丁的 Windows 系統都可能被攻擊。WannaCry 通過 MS17-010 漏洞進行快速感染和擴散，使用 RSA+AES 加密演算法對文件進行加密。也就是說，一旦某個電腦被感染，同一網路內存在漏洞的主機都會被它主動攻擊，因此受感染的主機數量飛速增長。同時，WannaCry 包含28個國家語言，可謂細致。

利用Windows系統遠程安全漏洞進行傳播，WannaCry 會掃描開放445文件共享埠的Windows機器，無需用戶任何操作，只要開機上網，就能在存在漏洞的計算機或伺服器中植入惡意程序。當侵入組織或機構內部時，它會不停的探測脆弱的電腦設備，並感染它們，因此受感染的主機數量飛速增長。