Wanna Decryptor（WCRY）比特币勒索软件一些解决方案

解读WCRY

此次侵略各大计算机的Wanna Decryptor是一种基于加密的勒索软件，也被称为WCRY，针对Windows Vista，Windows

7和Windows 8的Windows版本，旨在通过持有数据文件乃至整个计算机来向受害者敲诈金钱（比特币形式）。

它使用AES和RSA加密方法，这意味着只能使用相应的唯一密钥来解密系统文件，由于这种勒索软件的加密强度很大，如果采用暴力破解，仍然需要极高的运算量，因此基本不可能成功解密。

该版本的WannaCry通过加密其所有文件来感染电脑，并通过SMB使用远程命令执行漏洞MS17-010，将其分发到同一网络上的其他Windows计算机上。虽然微软在今年三月已经发布了该漏洞的补丁，但是还有一些windows使用者没有及时更新。MS17-010也被称为“永恒之蓝”，与黑客组织Shadowbrokers有关。

(以上引用来自作者：MikaLeong 链接：https://www.zhihu.com/question/59765277/answer/168682746 来源：知乎)

影响范围

可以通过网站：https://intel.malwaretech.com/botnet/wcrypt 查看此次勒索病毒的影响范围

防护措施

针对未感染此病毒的用户，首先关闭 445 端口，然后安装补丁，关闭 445 端口只是暂时的缓解方法，是为了防止在安装补丁这段时间里感染病毒，最重要的还是要安装补丁，并且开启windows自动更新功能。如无特殊要求，建议安装Windows 10 系统。

安装检测工具

360已经针对周一上班日可能爆发病毒感染的情况，发布一款“离线救灾版”的360安全卫士（虽然现在不喜欢360，而且几乎没用任何他家的产品，不过360有时在安全方面还是很有实力的），具体详细步骤可以参考360安全卫士官方微博的文章：360紧急发布周一应对“勒索病毒”开机指南：http://weibo.com/ttarticle/p/show?id=2309404107352730142355

如果已经做了上一步，而且已经修复漏洞，那么下面就不用做了，这个病毒有效防御措施其实也就是打补丁就可好了。

如果不想使用360家的产品，也可以采用关闭 445 端口的方法先防御，然后到微软官网下载补丁的方式。

关闭 445 端口

依次打开控制面板-系统与安全-windows防火墙，点击左侧“启动或关闭windows防火墙”，都“启用windows防火墙”，然后点击“确定”。



点击“高级设置”



点击“入站规则”，然后点击“新建规则”



选择“端口”，然后点击“下一步”



选择“特定本地端口”，并输入

445

，然后点击“下一步”



选择“阻止连接”，然后点击“下一步”



默认全选即可，点击“下一步”



输入 名称，这里可以任意输入，尽量输入方便自从查看的名称，比如

close 445

，点击“完成”。



最后最好重启下电脑确保规则生效。

安装补丁

微软官方已经在2017年3月4日发布了这次漏洞的补丁：https://support.microsoft.com/zh-cn/help/4013389/title，所以如果是系统保持自动更新状态，并且已经更新了这个补丁，很大程度上会阻止这次病毒感染。

如果没有开启自动更新，或还没有安装这个补丁，建议到官网下载，MS17-010 补丁下载地址为：https://technet.microsoft.com/zh-cn/library/security/MS17-010 ，可以选择相应的版本进行下载安装。

感染后解决方案

如果不幸已经感染，以下是我所知的一些感染后的解决方案，选择适合自己的情况试试

交易欺骗

利用黑客在勒索赎金交易环节设计的疏忽，对其进行交易欺骗，具体操作步骤如下：

打开自己的那个勒索软件界面，点击 copy，复制黑客的比特币地址

把 copy 粘贴到 http://btc.com （区块链查询器）

在区块链查询器中找到黑客收款地址的交易记录，然后随意选择一个 txid（交易哈希值）

把 txid 复制粘贴到勒索软件中，并点击 connect us。

等黑客看到后，再点击勒索软件上的 check payment。

再点击 decrypt 解密文件即可。

使用开源脚本工具

使用开源的脚本（需要 Python 3 环境）来运行尝试恢复，本质与“交易欺骗”方法相同，需要 Python 3 环境，Python 3 下载地址：http://link.zhihu.com/?target=https%3A//www.python.org/ftp/python/3.6.1/python-3.6.1.exe ，

脚本下载地址：https://github.com/QuantumLiu/antiBTCHack

使用 360 勒索蠕虫病毒文件恢复工具

360 研发出一个紧急方案，可以部分恢复文件，具体使用方法可以参考链接：

http://weibo.com/ttarticle/p/show?id=2309404107129664487886&featurecode=20000180 ，里面已经给出了非常详细的使用步骤，可以试下。（经有人测试，此方法可以部分恢复甚至可以完全恢复被加密的文件，360应该也会继续更新这个工具，可以密切关注360的动态。因为我这里没有中毒而且没有安装360的安全工具，所以获得最新版本信息可能较迟。）

易我数据恢复工具

这是腾讯云鼎实验室推荐的恢复工具，具体效果未知，可以尝试下，具体使用方法参见：WannaCry 勒索病毒数据恢复指引：https://zhuanlan.zhihu.com/p/26896961?utm_source=qq&utm_medium=social

缴纳赎金

如果你的电脑里真的有非常重要的资料，价值超过赎金，并且没有备份，在尝试以上多种方法后都没有效果，而且需要急用，那么缴纳赎金试试吧，虽然也不一定会解密，但没有办法下也只好试试了。

重装系统

如对系统无特殊要求，建议安装 windows 10 系统，根据我自身使用 win XP，win 7、win 8 和 win 10 的体验而言，win 10 是最好用的，使用起来最方便好用，如果不想让 win 10 自动更新，可以安装 win 10 企业版，在策略组里设置更新频率，win 10 详细安装过程参考：http://blog.csdn.net/u012318074/article/details/54782984

建议

这次勒索病毒大规模泛滥，与一直存在的部分教育网安全意识差，使用系统版本老旧有关，而且普遍用户没有安全意识，使用老旧系统、关闭系统更新、重要数据不做备份。

对于普通用户的建议：

1. 使用 win 10 系统；

2. 及时更新系统，养成良好的安全意识；

3. 重要数据进行备份，可以是移动硬盘或网盘，网盘推荐百度云和坚果云。