席卷全球的想哭（ WannaCry ） 勒索病毒 的影响仍在持续，热度不减，引发全球瞩目，目前至少有150个国家受到网络攻击，而病毒已出现“变种”，传播速度可能更快。

用户电脑中招后，弹出的勒索界面后,大量电脑文件被加密，只有支付比特币赎金才能解密。

据不完全统计，截止5月15日下午四点，该病毒已感染196027台设备，有84179台设备仍处于联网状态。

蓝点为受感染设备，可以看到欧洲、北美、国内沿海已经一片蓝了

“想哭”勒索病毒的前身只是一款普通勒索软件，传播能力极弱。经攻击者改造，植入被泄露公开在网上的美国国家安全局军火库漏洞“永恒之蓝”（漏洞编号：MS17-101）后，变成极具传播能力的大杀器。 目前发现的病毒会扫描开放445文件共享端口的Windows设备，无需用户操作，只要开机联网，攻击者就能在电脑和主机内植入勒索病毒。政府、学校、企业等内网环境，只要有一台Windows设备感染，就会迅速扩散到所有未安装补丁的设备上。

用户电脑中招后，系统内的图片、文档、视频、压缩包等所有用户文件均被加密，只有向勒索者支付价值数百美元的比特币方可解锁。

以下为安全公司分析出勒索病毒会加密的文件格式，涵盖了所有用户重要文件。

.doc .docx .xls .xlsx .ppt .pptx .pst .ost .msg .eml .vsd .vsdx .txt .csv .rtf .123 .wks .wk1 .pdf .dwg .onetoc2 .snt .jpeg .jpg .docb .docm .dot .dotm .dotx .xlsm .xlsb .xlw .xlt .xlm .xlc .xltx .xltm .pptm .pot .pps .ppsm.ppsx .ppam .potx .potm .edb .hwp .602 .sxi .sti .sldx .sldm .sldm .vdi .vmdk .vmx .gpg .aes .ARC .PAQ.bz2 .tbk .bak .tar . tgz .gz . 7z .rar .zip .backup .iso .vcd .bmp .png .gif .raw .cgm .tif . tiff .nef .psd .ai .svg .djvu .m4u .m3u .mid .wma . flv .3g2 . mkv .3gp . mp4 .mov .avi . asf . mpeg .vob . mpg . wmv .fla .swf .wav .mp3 .sh .class .jar .java .rb .asp .php .jsp .brd .sch .dch .dip .pl .vb . vbs .ps1 .bat .cmd .js .asm .h .pas .cpp .c .cs .suo .sln .ldf .mdf .ibd .myi .myd .frm .odb .dbf .db .mdb .accdb .sql .sqlitedb .sqlite3 .asc .lay6 .lay .mml .sxm .otg .odg .uop .std .sxd .otp .odp .wb2 .slk .dif .stc .sxc .ots .ods .3dm .max .3ds .uot .stw .sxw .ott .odt .pem .p12 .csr .crt .key .pfx .der

影响范围

未安装补丁的Windows全系列设备，包括：

Windows XP

Windows Server 2003

Windows Vista

Windows Server 2008

Windows 7

Windows Server 2008 R2

Windows 8.1

Windows Server 2012 和 Windows Server 2012 R2

Windows RT 8.1

Windows 10

安全防护和解决办法

一、事前预防

第一步 ： 手动关闭漏洞端口 ， 安装系统补丁

方案A：使用安全厂商推出的勒索病毒免疫工具进行检查

金山毒霸勒索病毒免疫工具：

360 NSA武器库免疫工具：

方案B：手动预防

在 微软 官网下载系统对应版本的补丁，并进行安装。下载地址：

利用防火墙添加规则进行屏蔽

1、开始菜单-打开控制面板-选择Windows防火墙

2、如果防火墙没有开启，点击”启动或关闭 Windows防火墙”启用防火墙后点击” 确定”

3、点击” 高级设置”，然后左侧点击”入站规则”，再点击右侧” 新建规则”

4、在打开窗口选择选择要创建的规则类型为”端口”，并点击下一步

在”特定本地端口”处填入445并点击”下一步”，选择”阻止连接”，然后一直下一步，并给规则随意命名后点击完成即可。

注：不同系统可能有些差异，不过操作类似

第二步：备份数据，安装安全软件，保证电脑处于安全状态

对相关重要文件采用离线备份（即使用U盘或移动硬盘等方式）等方式进行备份。

目前，主流安全软件已经具备针对勒索软件的防护能力或者免疫能力等，推荐大家安装安全软件并开启实时防护，避免遭受攻击。

二、事后病毒清理

第一步：发现感染机器后，立刻拔掉网线、关闭WiFi，隔离相关机器，避免勒索病毒继续感染内网其它机器。

第二步：在未感染机器上下载安全软件，用U盘或移动硬盘拷贝至感染机器，安装后进行查杀。如机器上无重要数据，也可直接重装系统，重装后参考“事前预防”进行操作

三、事后文件恢复

目前暂时没有解密工具，不过根据国内安全公司对病毒的分析，发现病毒采用加密原文件后再删除原文件的方式，于是针对被删除的文件就存在一定恢复的可能性。

大家可使用主流数据恢复软件，对被加密文件的磁盘进行扫描，然后对扫描结果执行恢复操作。该方法可能能恢复部分文件，机器感染后越快恢复效果越好。