预防永恒之蓝病毒安全设置锦集

Question

什么是永恒之蓝不用我多解释了，这两天新闻弹窗啥的都在说，影响力、破坏力甚大，我们不得不重新认识下我们的电脑安全问题，这篇文章就收集下网络上一些防范永恒之蓝病毒的方法。

我并不知道这些方法是否可行，反正能用的都试试吧，中毒了再说不行这些都是后话。

关闭445端口

永恒之蓝通过文件共享入侵，实际就是通过445端口进来的，以往的勒索软件主要靠钓鱼的形式，通过诱导用户分享以实现运行的目的。此次爆发的勒索软件通过从方程式组织泄露出的永恒之蓝漏洞来远程执行，这样就能达到神不知鬼不觉地运行勒索软件的效果。

在命令行中输入 netstat -an 查看当前计算机所有开放的端口：

这里会出现很多连接，我们只看本地地址这一栏，冒号前面的是IP地址，冒号后面是开放的端口，这里的IP地址也有很多个，这一栏我们只看我们对应的外网IP后面有没有开放 445 端口即可，例如我的局域网IP是 192.168.100.103，我们就去找 192.168.100.103:445 这条记录。

如果在命令行找到了，那么我们就需要关闭Server服务，运行 net stop server 命令：

再次运行 netstat -an 检查下是否真的关闭了 445 端口，这个方法是从根本上解决 永恒之蓝 病毒的方法。

360“永恒之蓝”勒索蠕虫免疫工具

360企业安全天擎团队提供的系统免疫工具，在电脑上运行以后，现有蠕虫将不会感染系统，360的速度就是快，也考虑到用户的需求，上面的设置实在太复杂了，直接出一个免疫工具，运行即可无需更多设置。

下载“永恒之蓝”勒索蠕虫免疫工具

版本：1.0.0.1016
MD5:5984af5eeebd82f42f758a43f1c0f352
sha1:bcb06b843648fadb7da975aa74d16c2610409600
sha256:b098acfc5fdf8dd5ef2b983e115b9c19f08bc0fd2e3102a8e6ba12ce89906938

此工具有以下两种免疫方式：

基本免疫

通过抢占WannaCry勒索蠕虫运行时创建的内核对象，迫使其不能正常运行从而达到免疫的效果。在终端上直接运行此工具即可实现基本免疫功能。

增强免疫

除了基本免疫功能外，根据《WanaCrypt0r勒索蠕虫完全分析报告》，还可通过劫持域名 www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com 的方式进一步增强免疫效果。

操作方法如下：

• 在内网服务器中部署http server，在http://nginx.org/en/download.html中下载运行http server;
• 查看http server所在服务器的IP,确保终端浏览器中能访问http://服务器的ip,然后将免疫工具文件名修改为OnionWormImmune(xxx.xxx.xxx.xxx).exe， 其中 xxx.xxx.xxx.xxx 为http server IP地址;
• 运行改名后的免疫工具OnionWormImmune(xxx.xxx.xxx.xxx).exe即可实现增强免疫效果；

其他工具

• “永恒之蓝”勒索蠕虫漏洞修复工具
• “永恒之蓝”勒索蠕虫专杀工具

微软安全补丁

2017年5月13日微软为已停止服务的XP和部分服务器版操作系统发布了特别补丁，下载地址如下，请广大用户抓紧打补丁：

winxp特别补丁KB4012598

• winxp3 32位 Security Update for Windows XP SP3 (KB4012598)
• winxp2 64位 Security Update for Windows XP SP2 for x64-based Systems (KB4012598)

win2003特别补丁KB4012598

• 2003SP2 32位 Security Update for Windows Server 2003 (KB4012598)
• 2003SP2 64位 Security Update for Windows Server 2003 for x64-based Systems (KB4012598)

win2008R2补丁 KB4012212、KB4012215

• March, 2017 Security Only Quality Update for Windows Server 2008 R2 for x64-based Systems (KB4012212)
• March, 2017 Security Monthly Quality Rollup for Windows Server 2008 R2 for x64-based Systems (KB4012215)

win7补丁 KB4012212、KB4012215

win7 32位

• March, 2017 Security Only Quality Update for Windows 7 (KB4012212)
• March, 2017 Security Monthly Quality Rollup for Windows 7 (KB4012215)

win7 64位

• March, 2017 Security Only Quality Update for Windows 7 for x64-based Systems (KB4012212)
• March, 2017 Security Monthly Quality Rollup for Windows 7 for x64-based Systems (KB4012215)

win10 1607补丁 KB4013429

• win10 1607 32位：Cumulative Update for Windows 10 Version 1607 (KB4013429)
• win10 1607 64位：Cumulative Update for Windows 10 Version 1607 for x64-based Systems (KB4013429)

win2012R2补丁 KB4012213、KB4012216

• March, 2017 Security Only Quality Update for Windows Server 2012 R2 (KB4012213)
• March, 2017 Security Monthly Quality Rollup for Windows Server 2012 R2 (KB4012216)

win2016补丁 KB4013429

• Cumulative Update for Windows Server 2016 for x64-based Systems (KB4013429)

更多版本的补丁见：https://technet.microsoft.com/zh-cn/library/security/MS17-010

Answer 1

风口好像过了，现在没啥这个病毒的消息了。