尊敬的pp电子和简界用户：

网络安全问题从未让人如此闻风丧胆。

5月13日（rì），全（quán）球多国爆发电脑勒索病毒—WannaCry，受害者电脑会被黑客锁定（dìng），提示支付（fù）价（jià）值相当于（yú）300美元的比特币（bì）才（cái）可解锁。此病（bìng）毒传播（bō）规模非常巨大（dà），目前已经波（bō）及99个国家。

是谁（shuí）在开展攻击？

一些（xiē）专家（jiā）说，这种攻击应该（gāi）是利（lì）用了微软（ruǎn）系统的一（yī）个漏洞。该漏（lòu）洞（dòng）其（qí）实最早是美国国安局（jú）发现的（de），他们还给（gěi）漏洞取（qǔ）名为EternalBlue。

然后，国安局研发（fā）的相关工（gōng）具就被（bèi）一（yī）个名为（wéi）“影（yǐng）子经纪人”的黑客（kè）团（tuán）体窃取了（le）。 黑客们还尝试在一个网上拍卖中出（chū）售它们。

但是，黑（hēi）客们之（zhī）后又决定免费（fèi）提供这些工具（jù），并在（zài）4月8日发布了加（jiā）密密码。黑客们表示，他们发（fā）布密码，是为了（le）对美国总（zǒng）统唐纳德·特朗普表示（shì）“抗议”。当时（shí）一（yī）些网络（luò）安全专（zhuān）家表示，恶意软（ruǎn）件可能是（shì）真的（de），但（dàn）却已经过时，因（yīn）为（wéi）微软（ruǎn）在3月份就发布了这（zhè）个漏洞的补（bǔ）丁，但（dàn）问题在于，很多系统（tǒng）可能尚未安装更新补丁。

攻击规（guī）模有（yǒu）多大？

目前已经有99个国家遭受（shòu）了攻击，其中包括英（yīng）国、美（měi）国、中国、俄罗斯、西班牙和意（yì）大利。反病毒软（ruǎn）件厂（chǎng）商 Avast表（biǎo）示，世界各地出现（xiàn）的WannaCry勒索病毒案例已（yǐ）经增加到了7.5万个。

反病毒厂商Avast的（de）专家Jakub Kroustek说：“这个规模非常巨大。”

什么是（shì）勒索病毒？

很多研究人（rén）员说，这些勒索案例似乎彼此之间（jiān）存在联（lián）系，但（dàn）他（tā）们（men）表示，这可能不是针对某（mǒu）些具体目标的（de）有组织攻击（jī）。与（yǔ）此同时，据（jù）说一些（xiē）和勒索病毒有关的比特币钱包（bāo）已经（jīng）开（kāi）始充满现金。

谁受（shòu）到了攻击？

英国（guó）国家卫生服（fú）务局（NHS）受到（dào）攻击，一些（xiē）手术被迫取消。一名NHS工（gōng）作人员告（gào）诉BBC，在其（qí）中一些案例中，病人“几乎肯定会（huì）死亡”。

有报道说，俄罗斯的感染案例比其他任何一个国家都多。

一些西班牙公司，包括电信巨头Telefonica，电（diàn）力（lì）公司Iberdrola和公用事业公司Gas Natural也遭受了攻击。有报道说，这些（xiē）公司的（de）工作人员被告知（zhī）要关（guān）掉计算机。

葡萄牙电信公司、联（lián）邦快递公司、瑞典（diǎn）一个地区的政府，以及（jí）俄罗斯第二大移动运（yùn）营商Megafon，也表示受到了攻击。

这个恶（è）意软件（jiàn）的工作原理是怎样的？

一些安全研究人（rén）员指出，这次的（de）感染似（sì）乎是通过（guò）一个蠕虫来部（bù）署（shǔ）的。蠕虫是一种程序，可以在计算机（jī）之间自我传播。

与许多其（qí）他恶意程序不同的是，这个（gè）程序只靠自己（jǐ）就能够在一个网络中移动传播。其他大多数恶意程序是依靠人类来（lái）传播的（de），也就是说，需要（yào）先有（yǒu）人去点击含有攻击代码的附件。

一（yī）旦WannaCry进入了一个组织机构的内部计算机网（wǎng）络，它就会找（zhǎo）到一些脆弱的（de）计算机并感染它（tā）们。这可能解释了为什么它的影（yǐng）响是（shì）如此巨大——因为每个（gè）受害的组织机（jī）构里（lǐ）都有大量的机（jī）器（qì）被感染。

防范勒索软件病毒（dú）攻击（jī）的方法在（zài）这里：

西部数码已经（jīng）在机房前端通过防火墙拦截了（le）以上危险端口，但为（wéi）防止（zhǐ）遗漏，还是（shì）建议（yì）您（nín）采取必要措施，以保证系统更加安全（quán）。以下四种措施均可以有效的关闭以上危险端口，您可以根（gēn）据实际情况自（zì）行选则（zé）。

一、事前防范：

1.将服务（wù）器升级到（dào）最新版，打上最新补丁

   a.但此方式仅对windows2008以上的服务器有效，因windows2003微软已经停止了服务，所（suǒ）以此方法无效。

   b.为计（jì）算（suàn）机安装最（zuì）新的安全补（bǔ）丁，微软已发布补丁MS17-010修复了“永恒之蓝”攻击的系（xì）统漏洞，请尽（jìn）快安装此安全（quán）补（bǔ）丁，网址（zhǐ）为https://technet.microsoft.com/zh-cn/library/security/MS17-010。

2.在Windows服务中禁用Server服务、禁用TCP/IP 上（shàng）的（de）NetBioses

    a.对于禁止用Server服务，可以点击开始-运（yùn）行，输入services.msc,找到server服务后右击（jī），选择停止，再（zài）选择属性（xìng），将启动类（lèi）型改为禁用

   b. 对于（yú）禁止TCP/IP上的NetBioses，可点击开始－设置－网络和拨号连接－本地连接－TCP/IP属性－高（gāo）级－WINS－选‘禁用TCP/IT上的NETBioses’

   c.然后重启服务（wù）器

3.利用（yòng）防火墙添加规则屏蔽入口，关闭445、135、137、138、139端（duān）口，关闭网络共享（xiǎng）。（可以用后文的命令（lìng）批量关闭）

● 开始（shǐ）菜单 > 打开控制（zhì）面板 > 选择（zé）Windows防火墙

● 如果（guǒ）防火墙没有开启，点击（jī）“启动或关闭 Windows防火墙”启（qǐ）用。

● 点击“高级设（shè）置”，然后左侧点击（jī）“入站规则”，再点击右侧“新（xīn）建规则”。

● 在打开窗口哦选（xuǎn）择（zé）要创建的规则类型为“端（duān）口”，并点击“下一步”。

● 在（zài）“特定本地端口”处填入（rù）445并点击“下一步”，选择“阻止连接”，一直点击“下一步”，并（bìng）给规则任意（yì）命名后点击完成即可。

4.若是我司云主机，可使（shǐ）用安全组功能

   添加一个（gè）安全组，安全（quán）组中添加4条（tiáo）规则，协议类型为（wéi）TCP，源IP默认为0.0.0.0,优先级默认，目（mù）标端口分别（bié）填写（xiě）135、137、139、445，行为选（xuǎn）择“阻止”，并将此（cǐ）安全（quán）组应用到所有windows服（fú）务器即可（kě）。

5、尽快（今后定期（qī））备份自己电脑中（zhōng）的重要文件资料到移动硬（yìng）盘（pán）、U盘，备（bèi）份完（wán）后脱（tuō）机保存该磁（cí）盘。

   a.对（duì）相关重要文（wén）件采用离线备（bèi）份（即使用U盘（pán）等方式）等方式进（jìn）行备份。

   b.部分电脑带有系（xì）统还（hái）原功能（néng），可以在未（wèi）遭受（shòu）攻（gōng）击之前设置（zhì）系统（tǒng）还原点，这样即使遭（zāo）受攻（gōng）击之后可以（yǐ）还原系统，找（zhǎo）回被加密的原（yuán）文件，不过还（hái）原点（diǎn）时（shí）间到遭受攻击期间的文件和设（shè）置将会丢失。

   c. 目前，大（dà）部分安全软件已经具（jù）有（yǒu）该勒索软件的防护能力或者其他免疫能力等，可（kě）以安（ān）装这些安全软件，开启实时防护，避免遭受攻击。

   d.可以（yǐ）采用一些文件防护工具，进行文件的备份、防护（hù），如电脑（nǎo）管家的文档守护者（电脑（nǎo）管家工具箱（xiāng）内可（kě）下载（zǎi）使用）。

6、建议仍在使用（yòng）windows xp， windows 2003操作系统的用户（hù）尽快升（shēng）级到 window 7/windows 10，或 windows 2008/2012/2016操作系统。

7、安装正版操作系统、Office软件（jiàn）等。

二、事（shì）后病毒（dú）处理

1.首先可（kě）以拔掉网线等（děng）方式隔离已（yǐ）遭受攻击电（diàn）脑，避免（miǎn）感染其他（tā）机（jī）器。

2.病毒清理。相关安全软件（如电（diàn）脑管家）的（de）杀毒（dú）功能能直接查杀勒索软件，

可以直接进行扫描清（qīng）理（lǐ）（已隔离的机器可以通过U盘等方式下载离线包安装）。

3.也可以（yǐ）在备份了相关数据后直接进行系（xì）统重装，并在重装后（hòu）参（cān）考"事前预防"进行预防操作。

提（tí）醒广大用户（hù）：

目前，西（xī）部数码（mǎ）默认为云主机用户关闭455端口，且默认安装Windows官方补丁。所有在IDC托管或（huò）自（zì）建机（jī）房有服务器的企（qǐ）业，如果采（cǎi）用（yòng）了Windows操作系统，立即安（ān）装（zhuāng）微软补丁。

安全（quán）补（bǔ）丁对个人用户来说相对简单。只需自学装载（zǎi），就能完成止血（xuè）。但是对大型企业or组织机构而言，面（miàn）对成百上千台（tái）机（jī）器，最好还是能使（shǐ）用客户（hù）端进行集中管理。

可靠的（de）数据备份可以将（jiāng）勒索软（ruǎn）件带来（lái）的损失最小化。建议对重要数据定期（qī）做离线（xiàn）备份，并（bìng）同（tóng）时做（zuò）好安全（quán）防护（hù），避免被感染和损坏。

附：在cmd状（zhuàng）态下批量执行（háng）以下命令可关（guān）闭危险端口：

net stop SCardSvr

net stop SCPolicySvc

sc config SCardSvr start= disabled

sc config SCPolicySvc start= disabled

net start MpsSvc

sc config MpsSvc start= auto

netsh advfirewall set allprofiles state on

netsh advfirewall firewall add rule name="deny udp 137" dir=in protocol=udp localport=137 action=block

netsh advfirewall firewall add rule name="deny tcp 137" dir=in protocol=tcp localport=137 action=block

netsh advfirewall firewall add rule name="deny udp 138" dir=in protocol=udp localport=138 action=block

netsh advfirewall firewall add rule name="deny tcp 138" dir=in protocol=tcp localport=138 action=block

netsh advfirewall firewall add rule name="deny udp 139" dir=in protocol=udp localport=139 action=block

netsh advfirewall firewall add rule name="deny tcp 139" dir=in protocol=tcp localport=139 action=block

netsh advfirewall firewall add rule name="deny udp 445" dir=in protocol=udp localport=445 action=block

netsh advfirewall firewall add rule name="deny tcp 445" dir=in protocol=tcp localport=445 action=block