今天上班先断网再开电脑可免中毒 专家：开机联网就可能感染

周一开机指南

一、安全防范措施

个人用户

1.立即拔掉个人电脑网线断开网络连接，防止个人电脑被病毒感染；

2.立即通过离线方式更新操作系统补丁；

3.立即通过操作系统防火墙关闭本地的445及其他关联端口（135、137、139）的外部网络访问权限；

4.立即通过U盘和移动硬盘做好重要文件备份工作。

企业网络管理员

1.边界交换机、路由器、防火墙以及内网核心主干交换路由等设备禁止双向135/137/139/445端口的TCP连接；

2.更新入侵防御、入侵检测、APT等安全设备漏洞库、开启防御策略；

3.对局域网内设备445及其他关联端口135、137、139进行扫描，发现潜在风险的设备进行安全加固。

二、应急处置

对于已感染的设备，进行以下操作：

1.立即断开已感染设备的网络连接，防止病毒进一步扩散；

2.尝试通过深度文件恢复工具对已被加密文件进行恢复；

3.使用PE盘进入操作系统，将可用文件进行备份，并对备份数据进行离线处理。

大洋网讯  全球突发的勒索病毒WannaCry仍在肆虐，专家指出，今天周一工作日可能更多电脑感染，建议开机前先断网，备份重要资料并打补丁防病毒。这是记者昨天从蓝盾股份联合广东省公安厅网警总队、中山大学等共同召开WannaCry病毒威胁解读及加固建议的专题研讨会上获悉的。

网警：缴纳赎金不一定能解锁

在会上，广东省公安厅网警总队副总队长蔡旭就本次病毒进行舆情通报：WannaCry目前已波及全球100多个国家与地区，个别医院、政府等行业的关键信息系统受到了沉重打击，如英国有超过40家医院电脑受到大规模攻击后沦陷。我国也有一批高校、企业和个人的电脑系统受到该病毒感染，这些被感染的服务器被加密后，业务延续性和信息安全保障方面会受到较大影响。

蔡旭强调，此次事件恶劣程度虽远超前几年的“熊猫烧香”事件，但也不是想象中那么可怕，只要及时做好预防就可有效避免。对此，他建议，各行各业和广大网民不要恐慌；不信谣、不传谣，不要过多相信网络上出现的防病毒软件；切记不要缴纳赎金，国外已发生过多起缴纳赎金后仍没有解锁的案例。

周一可能更大规模爆发

与会专家指出，“WannaCry”病毒是5月12日晚，也就是上周五开始全球进行大规模攻击，目前已知有100多个国家和地区超过21万的PC终端受害，被攻击者被要求支付比特币解锁。我国的教育网络在也成了本轮攻击的重灾区，攻击造成了部分学校教学网络的瘫痪；5月13日，病毒进一步大面积爆发，如某市车管所被病毒感染后无法工作。这在以前是极少发生的。受感染的电脑被勒索支付高额赎金才能解密恢复文件，对重要数据造成严重损失。

与会专家都提醒，由于病毒爆发是周五晚，我国政府部门很多电脑处于关机状态，估计周一开机时会爆发更大的疫情，包括医疗系统、快递公司、石油石化、学校、银行、警察局等众多行业受可能受到影响。

专家：开机联网就可能感染

中山大学网络空间安全研究所所长张方国就WannaCry给出了溯源分析：“永恒之蓝”可远程攻击Windows的445端口（文件共享），如果系统没有安装今年3月的微软补丁（MS17-010），无需用户任何操作，只要开机上网，“永恒之蓝”就能在电脑里执行任意代码，植入勒索病毒等恶意程序。

他说，国内之前曾多次出现利用445端口传播的蠕虫病毒的案例，因此部分运营商和个人用户封掉了445端口。但是教育网并无此限制，存在大量暴露着445端口的机器，因此成为不法分子使用NSA黑客武器攻击的重灾区。

技术“小白”咋办？开机前断网

对于普通个人电脑用户、技术“小白”们来说，怎么防毒？网络安全厂商“蓝盾”股份首席技术官杨育斌指出，“如果不确定自己的电脑有没有感染病毒，开机前切记断网，开机后先备份重要文件和资料，然后检查自己的电脑有没有打过补丁，没有的赶紧升级打补丁。”

杨育斌谈到，用户需要尽快为电脑安装微软已发布的MS17-010补丁；低版本系统用户尽快升级到高版本系统；所有Windows 服务器、个人电脑，全部使用防火墙过滤或关闭445、135、137、138、139端口，及时关闭网络共享；同时尽快转移电脑重要文件，加强移动安全介质、网盘等软件安装入口管理，预防计算机受到病毒影响。

为了更好地防范各类网络安全事件，他建议用户保持良好的电脑使用习惯，强化网络安全意识，不要点击可疑链接及邮件，遇到问题可及时紧急联系专业网络安全服务商，对校园网及个人终端的漏洞进行全面的核查和紧急补救。

知多D

技术“小白”问答专家

为什么这次高校成为重灾区？

中山大学网络空间安全研究所所长张方国称，各大高校通常接入的网络是为教育、科研和国际学术交流服务的教育科研网，大多没有对445端口做防范处理，这是导致这次高校成为重灾区的原因之一。此外，中国高校内，一些同学为了打局域网游戏，有时需要关闭防火墙，也是此次事件在中国高校内大肆传播的另一原因。

赎金为什么选比特币？

张方国解释，这是由于比特币的匿名性、难以监管及价格大涨。比特币具有便捷、匿名性，可以实现快速全球转账的特征，才被犯罪组织所看中。而监管者难以跟踪或拦截。相比其他方式，利用比特币汇款要“隐秘”的多。

同时，比特币近期的大幅上涨，也是黑客看中的原因，近期受量产减少、比特币ETF的利好推动，比特币一度创下新高。

是否安装了微软补丁就能确保不受到此次病毒的袭击？

“蓝盾”股份首席技术官杨育斌指出，为了打消更多用户的顾虑，现在微软再次发出公告，如果用户使用的是全新版本的Windows 10系统，并开启Windows Defender的话，那么就会免疫这些勒索病毒。

通俗地说，究竟什么是Wannacry病毒，什么是“永恒之蓝”？

杨育斌介绍，“永恒之蓝”勒索蠕虫病毒主要攻击方式是445端口，防范重点是开启系统自动更新，打好补丁，开启防火墙关闭445端口。截至今日暂时没有彻底的解决办法，临时的解决方法并不能一劳永逸。

永恒之蓝和之前的熊猫烧香什么区别？

杨育斌介绍，“熊猫烧香”除了正常的通过用户浏览网站从而感染病毒外，还会在局域网中传播，一旦局域网中感染病毒，会在极短的时间内感染数以千台电脑，那些中毒的电脑上会显示“熊猫烧香”的图案。

“熊猫烧香”会删除拓展名为gho的文件，还会感染系统的.exe、.com、.f.src、.html.asp文件，让系统自动添加含有病毒的网址，用户一旦打开这些网址就会自动下载病毒。

此次病毒事件是黑客利用NSA黑客武器库中的“永恒之蓝”病毒发起的，该病毒会扫描开放455文件共享端口的Windows机器，用户根本不需要任何操作，只要电脑联网，黑客就能在电脑中植入勒索软件、远程控制木马等恶意程序。同时病毒会将磁盘里的文件加密为.onion后缀，只有支付高额赎金（300美元合计2000元人民币，但只接受比特币付款）才可能解锁，恢复文件。

撰文 信时记者 蒋隽  通讯员 韩炜