勒索病毒傳播已被終止，但隨時可能捲土重來（附病毒防範指南）

一位22歲的英國網路安全人員意外地找到了勒索病毒的終止開關，從而暫時平息了這場全球性的病毒暴發事件。不過，勒索病毒隨時可能捲土重來，因此對普通用戶而言，做好安全防範才是關鍵。

這位化名Malware Tech（簡稱MT）的網路安全人員在分析這類病毒時注意到，病毒在感染每一台新電腦時，都會嘗試連接到一個特定的網址。然而，這個由一長串字母組成、彷彿是隨手按鍵盤打出來的網址，竟然沒有被註冊過。

iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com

於是，MT花了10美元註冊了該域名。這時他就可以查看連接該網址的電腦的所在區域——這也是這次病毒傳播所波及的範圍。

隨後，MT查看了病毒代碼，並從中找出了這樣的語句：

也就是說，病毒在感染一台計算機時，會嘗試連接該域名。如果解析失敗，則繼續感染；如果解析成功（該域名被人註冊了），則會退出程序、停止感染。這正是控制勒索病毒的開關！

目前，人們並不清楚設置該開關的目的何在。有人認為，開關的設置可能是防止出現無法控制的局面。MT則認為，其最初目的或許是阻止研究人員對勒索病毒進行分析，只是最終適得其反，成為研究者遠程終止病毒傳播的工具。

值得注意的是，MT的發現只是基本暫停了這一輪勒索病毒的傳播，但勒索病毒的威脅依然存在。一方面，對於已經中毒的電腦，目前尚未發現有效的解決方案（即便交付贖金也無濟於事）；另一方面，如果這類病毒出現變種——繞開該域名進行判斷，甚至直接不設置判斷條件，它們完全可以再次襲擊大量不具備防禦措施的電腦。此外，根據報道，病毒在因為其他原因訪問不到這個域名的電腦中也會繼續發作。

「我們阻止了這款病毒的傳播，但很快就會有我們無力阻止的新病毒出現，」MT也警示道，「這些人沒有理由停止這類病毒的傳播。對於他們來說，只需稍微修改代碼，就可以讓勒索病毒再度來襲。」

附北京市委網信辦、北京市公安局和北京市經濟和信息化委員會聯合發布的防範和遏制「Eternal Blue」病毒攻擊指南：

一、微軟已經發布相關的補丁 MS17-010 用以修復被 「Eternal Blue」 攻擊的系統漏洞，請儘快安裝此安全補丁，網址為 https://technet.microsoft.com/zh-cn/library/security/MS17-010。對於 windows XP、Windows 2003 等更加久遠的系統，微軟則不再提供安全補丁，請通過關閉埠的方式進行防護。

在 Windows 電腦上運行系統自帶的免費殺毒軟體並啟用 Windows Updates 的用戶可以免受這次病毒的攻擊。Windows 10 的用戶可以通過設置-Windows 更新啟用 Windows Updates 安裝最新的更新，同時可以通過設置-Windows Defender，打開安全中心。

二、關閉 135、137、138、139、445埠，關閉網路共享也可以避免中招。

（一）方法

1、運行 輸入「dcomcnfg」；

2、在「計算機」選項右邊，右鍵單擊「我的電腦」，選擇「屬性」；

3、在出現的「我的電腦屬性」對話框「默認屬性」選項卡中，去掉「在此計算機上啟用分布式 COM」前的勾；

4、選擇「默認協議」選項卡，選中「面向連接的TCP/IP」，單擊「刪除」按鈕。

（二）關閉 135、137、138 埠

在網路鄰居上點右鍵選屬性，在新建好的連接上點右鍵選屬性再選擇網路選項卡，去掉 Microsoft 網路的文件和印表機共享，以及 Microsoft 網路客戶端的複選框。這樣就關閉了共享端 135 、137、138埠。

（三）關閉 139 埠

139 埠是 NetBIOSSession 埠，用來文件和列印共享。關閉 139 的方法是：在「網路和撥號連接」中的「本地連接」中，選取「Internet協議 (TCP/IP)」屬性，進入「高級 TCP/IP 設置」「WINS設置」裡面，有一項「禁用TCP/IP的 NETBIOS 」，打勾就可關閉 139 埠。

（四）關閉 445 埠

開始-運行輸入 regedit. 確定後定位到 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNetBTParameters，新建名為「SMBDeviceEnabled」的DWORD值，並將其設置為 0，則可關閉 445 埠。

另附360首發勒索蠕蟲病毒文件恢復工具：

https://dl.360safe.com/recovery/RansomRecovery.exe

主要來源：

《環球科學》啟動「科學小記者「計劃，為孩子提供5類培訓、5大作品發表平台，。

點擊文末閱讀原文購買《天文專刊·修訂版》等精彩期刊。