勒索病毒问答

Q1 勒索病毒是否有传播性？

A1：理论上病毒代码可以带有任意形式的恶意功能，因此无法保证特定一款勒索病毒不具有传播性。但就目前实际捕获到的勒索病毒来看，更多的勒索病毒自身并不具备自主传播的特 征（WannaCry 是个例外）。然而这并不代表其不会影响到局域网内的其他机器，受影响的机 器会有如下几类情形。

​ 1. 和被感染机器在同一内网，并与被感染机器共享部分文件夹。

​ 由于被感染机器能直接访 问到该文件夹，如果没有设置适当的权限控制，病毒就能将该共享文件夹加密。

​ 自查是否只有共享被加密：win+r 输入 cmd，然后输入 net share 回车。即可看到当前 设备共享了哪些文件夹。

​ 对于自行添加的共享文件夹，可以调整权限，如果没有使用需求的，可以直接关闭共享。

​ 2. 黑客利用被感染机器作为跳板，尝试通过扫描同网段端口、查看远程桌面登录记录 、Nday漏洞攻击等方式攻击内网其他机器。

Q2 文件已被加密，但扫不出病毒？

A2 ：勒索病毒受害者经常在发现中毒后第一时间会使用杀毒软件进行查杀，但杀毒软件却没有查杀到可疑文件，这种现象很常见，也有很多种可能情况：大部分情况下，勒索病毒在加密完文件后便会自删除，留下被加密的文件，而被加密文件不带毒。

黑客将勒索提示信息写入到开机启动项，用户关机重启后会弹出勒索窗口，那是黑客留下的勒索提示信息文档，用来指导用户如何联系他们支付赎金恢复文件。

一般只是文档，本身并不具备加密功能，也不是病毒。本机并非被勒索病毒直接感染机器，仅因和中毒机器进行了文件共享导致共享文件夹被加密。

这种勒索病毒程序是在其它设备中的，当然计算机中没有病毒。

Q3 如何判断系统是否还存在勒索病毒？

A3：部分中招用户在文件恢复后不确定系统是否安全，想知道如何处理才能尽可能保证此次攻击事件遗留问题都被解决。

针对此问题我们给出以下处理流程。在断网处理后的感染设备上新建文档，看文件是否会被加密。

若被加密，说明勒索病毒仍在运行，可使用最新带离线病毒包的360杀毒进行查杀，如果360杀毒无法正常安装，可尝试在winpe下进行查杀。

在完成步骤一之后，确认没有存在的病毒存在，建议连网使用360安全卫士对该设备进行彻底查杀。注意需要清理杀毒软件的信任区。查杀完毕后对系统常规项进行检查，具体项目请参考安全加固→定期排查项。

其它常见问题

Q1 不知道为什么就中招了，想知道具体中毒原因

A1 ：下面总结几个常见的中毒原因：

1. 开启了远程桌面 ，设置的密码太简单、或使用初始密码，被登录投毒。太简单、或使用初始密码，被登录投毒。
2. 下载了激活工具或者破解软件导致中毒文件被加密。
3. 设置了共享文件夹，局域网内有其它机器中招，导致共享文件夹的数据被其它机器的病毒加密。
4. 运行了钓鱼邮件中的附件导致中毒文件被加密。
5. 系统中存在漏洞导致中毒文件被加密。
6. U盘蠕虫导致文件被加密。
7. 其它弱口令攻击，例如mysql，tomcat等。

对于不确定什么原因导致文件被加密的，可以提交反勒索服务，联系我们的工作人员协助您来排查具体中招原因。具体操作流程可参考360反勒索服务。

Q2 勒索病毒是否会在内网中横向转播？

A2 ：大部分黑客在投毒之前会先尝试拿到内网中更多机器的权限，手段不限，常见手段如下：

1. 弱口令攻击

​ 包括远程桌面弱口令、数据库弱口令、tomcat弱口令、NAS弱口令、共享文件夹弱口令等等。

1. 漏洞攻击

​ 如永恒之蓝相关漏洞、java漏洞、weblogic漏洞、泛微OA漏洞等等。

1. 非主动传播

​ 中毒机器所在内网种存在部分机器设置了共享文件夹，并且未设置访问权限，导致中毒机器能直接访问到该机器的文件，从而导致文件被加密。

因此，内网中中毒机器应及时断网，找到中毒原因后再做处理。同时应立即修改内网中所有机器的密码，因为黑客登录用户机器后都会尝试收集内网中其他机器的口令。

Q3 插入U盘文件被加密了，那文件还能备份吗？

A3：插入U盘，U盘中的文件被加密了，说明勒索病毒还在系统中运行。需要结束掉该勒索病毒。被加密的文件本身不带病毒。只需防范好U盘蠕虫的运行，就可以放心备份到其他地方。

Q4 中毒系统需要重装吗？

A4：建议找到具体中招原因后再重装。在过往的案例中，存在因病毒入侵途径未被找到并及时封堵所导致的多次中招案例，且存在付款后再次被加密案例。

Q5 我安装了NSAtools为什么还是中了勒索病毒？

A5：NSAtools只是一个针对“WANNACRY勒索病毒的防护工具”，并非是针对所有勒索病毒的免疫工具。勒索病毒的传播渠道很多，安装了NSAtools只是关闭了一条勒索病毒的传播渠道。

Q6 勒索病毒的传播方式？

网站挂马：浏览带病毒的网站时，电脑可能被植入木马。

钓鱼邮件：点击陌生邮件的链接或附件，病毒会悄悄运行。

系统漏洞：利用未修复的漏洞攻击，比如WannaCry通过445端口传播。

捆绑软件：下载盗版或破解软件时，可能连带安装病毒。

U盘/光盘：使用带病毒的移动设备，插电脑后自动感染。

平时注意不点可疑链接，及时打补丁，能有效降低风险。

您是想了解如何预防勒索病毒传播，还是已经遇到感染需要解决方案呢？

预防措施 已感染需解决

定期备份：重要数据存到移动硬盘或云盘，和日常使用的设备分开。

更新补丁：及时升级系统和软件，堵住漏洞。

关闭高危端口：比如445、3389等，减少攻击入口。

安装防护软件：用杀毒工具实时监控，拦截可疑行为。

警惕陌生文件：不点不明链接、邮件附件，U盘先杀毒再打开。

企业用户还可以部署防火墙、零信任访问控制，加强内网隔离。

已经感染了的话需要尽快处理，避免数据丢失。您方便留个联系方式吗？帮您对接安全服务专员，提供勒索病毒处理方案及报价。

您是想了解个人设备中毒处理，还是企业服务器中毒的应急方案呢？

可以给您发份企业服务器中毒的应急处理方案，里面包含详细的步骤和工具推荐。您方便微信接收吗？通过微信发送方案给您，您可以先按照步骤紧急处理，有不懂的可以随时提问，您看可以吗？

电脑或是服务器中毒了怎么办？

电脑或服务器中毒后，可以试试这几个步骤：

立即断网：拔掉网线或关闭Wi-Fi，防止病毒扩散到内网其他设备。这是最紧急的操作。

查杀病毒：用专业杀毒软件全盘扫描，比如我们的端点安全管理系统aES能识别90%以上的勒索病毒变种。服务器可启用安全模式清理。

恢复数据：如果有备份，直接还原到感染前的干净版本。没备份的话可以尝试数据恢复工具，但成功率要看加密强度。

加固防护：事后记得更新系统补丁，修改所有密码，关闭高危端口如445。企业用户建议部署全网行为管理AC做权限管控。

预防方面建议定期备份关键数据，更新系统和杀毒软件，避免点击可疑链接或附件。如果已经感染，优先断开网络防止扩散。

怎么有效预防勒索病毒？

防范勒索病毒最有效的方法是做好主动防护。可以试试这几个方案：

定期备份数据：把重要文件存到不联网的移动硬盘或云盘，万一中招能快速恢复。不过要记得定期检查备份是否有效。

关闭高危端口：像135、445这些端口容易被利用，手动关掉能减少风险。企业用户可以在防火墙设置拦截规则。

装专业防护软件：比如我们的端点安全管理系统aES，能实时监控和拦截勒索病毒行为，适合企业统一部署。

员工安全意识培训：很多病毒是通过钓鱼邮件传播的，教会员工识别可疑链接和附件很关键。

企业用户还可以考虑部署全网行为管理AC，能细化管控网络访问权限，降低内网扩散风险。