勒索病毒处理说明

1       防护措施建议

1.1       安装杀毒软件，保持安全防护功能开启

好比金山毒霸已可拦截(下载地址http://www.duba.net)，微软自带的Windows Defender也能够。

金山毒霸查杀WNCRY敲诈者蠕虫病毒

金山毒霸敲诈者病毒防护拦截WNCRY病毒加密用户文件

 

1.2       打开Windows Update自动更新，及时升级系统。

微软在3月份已经针对NSA泄漏的漏洞发布了MS17-010升级补丁，包括本次被敲诈者蠕虫病毒利用的“永恒之蓝”漏洞，同时针对中止支持的Windows XP、WindowsServer 200三、Windows 8也发布了专门的修复补丁。

 

2       各系统补丁官方下载地址

2.1       XP+VISTA+WIN8+WIN2003+WIN2008

【KB4012598】：http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

适用于Windows XP 32位/64位/嵌入式、WindowsVista 32/64位、Windows Server 2003 SP2 32位/64位、Windows 8 32位/64位、Windows Server 2008 32位/64位/安腾

2.2       WIN7+WIN2008R2

【KB4012212】：http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212

适用于Windows 7 32位/64位/嵌入式、WindowsServer 2008 R2 32位/64位

2.3       WIN8.1+WIN2012R2

【KB4012213】：http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4012213

适用于Windows 8.1 32位/64位、Windows Server 2012 R2 32位/64位

2.4       WIN2012

【KB4012214】：http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4012214

适用于Windows 8嵌入式、Windows Server 2012

2.5       WIN10

注意：Windows10 1703创意者（15063和后续版本）更新已经不存在此漏洞，不须要补丁

2.5.1          查看win10 版本号

运行dxdiag命令

如图红框内所示，若是版本号小于15063就可能有漏洞。

 

2.5.2          补丁包下载

【KB4012606】：http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012606

适用于Windows 10 RTM 32位/64位/LTSB

【KB4013198】：http://www.catalog.update.microsoft.com/Search.aspx?q=KB4013198

适用于Windows 10 1511十一月更新版32/64位

【KB4013429】：http://www.catalog.update.microsoft.com/Search.aspx?q=KB4013429

适用于Windows 10 1607周年更新版32/64位、Windows Server 2016 32/64位

 

3       谨慎打开不明来源的网址和邮件

打开Office文档的时候禁用宏开启，网络挂马和钓鱼邮件一直是国内外勒索病毒传播的重要渠道。

钓鱼邮件文档中暗藏勒索者病毒，诱导用户开启宏运行病毒

 

4       杀毒工具

2017-05-14更新：金山毒霸发布比特币勒索病毒免疫工具：免费恢复文件

面对肆虐的Onion、WNCRY两类勒索病毒变种在全国范围内出现爆发的状况，金山毒霸中心已紧急发布比特币勒索病毒免疫工具及应急处置方案。

据悉，勒索病毒变种增长了NSA黑客工具包中的“永恒之蓝”0day漏洞利用，可在局域网内蠕虫式主动传播，未修补漏洞的系统会被迅速感染，勒索高额的比特币赎金折合人民币2000~50000不等。

目前已证明受感染的电脑集中在企事业单位、政府机关、高校等内网环境。毒霸安全专家指出，病毒加密用户文档后会删除原文件，因此，存在必定机会恢复部分或所有被删除的原文件。建议电脑中毒后，尽可能减小操做，及时使用专业数据恢复工具，恢复几率较高。

金山毒霸11下载（推荐！拦截敲诈病毒）：戳此

专杀免疫工具：戳此直接下载

详细教程：

检测当前电脑是否有免疫比特币勒索病毒攻击

已成功免疫效果以下图

5       文件恢复

那些已经被加密的数据文件，在没有取得密钥的状况下，解密基本没有可能。但在了解到病毒加密的原理以后，发现仍有必定机会找回原始文件：病毒加密原文件时，会删除原文件，被简单删除文件的硬盘只要未进行大量写入操做，就存在成功恢复的可能。

使用金山毒霸数据恢复找回受损前的文档

请使用免费账号ksda679795862，密码:kingsoft，来启用金山毒霸的数据恢复功能。

1.选择删除文件恢复

2.选择扫描对象：在界面中选择文件丢失前所在的磁盘或文件夹，而后点击“开始扫描”。

3.扫描过程：文件数量越多，扫描时间越长，请耐心等待。（通常扫描速度2分钟3G）

4.扫描完结果预览：点击文件可进行预览，可预览的就是可有机会成功恢复的。勾选须要恢复文件（夹），点击开始恢复便可恢复文件。

5.选择恢复路径：恢复的文件将保存再您选择的文件夹路径，请选择您要恢复到哪一个文件夹。（强烈建议将要恢复的文件保存到其余硬盘，而非丢失文件的硬盘，以免形成二次损伤。）

6.查看恢复结果：恢复的文件夹将保存在您选择的文件夹路径，打开目录可检查恢复的文件。

如下几种状况须要注意：

1.扫描出来的照片、office文档，显示不可预览的，是没法恢复的。（没法预览office文档，表示文档已部分受损）

2.不支持预览的文件类型，只能恢复后才能知道是否能够正常使用

3.使用误删除文件功能，扫描完后，每一个文件会有恢复几率显示，恢复几率高，恢复成功率就高

4.视频文件极易产生碎片和数据覆盖，因此视频文件彻底恢复的可能性很小。

5.物理损坏的硬盘或其余存储介质，恢复后的文件多是已损坏的文件。