net stop rdr

　　这几天，“永恒之蓝”勒索病毒无疑是热点中的热点，占据了各大媒体的头条，也刷爆了我们的朋友圈！

　　针对这个“大事”，江小弟（zuineijiang0832）第一时间联系了总部位于内江的四川效率源信息安全技术股份有限公司，进行了独家采访。

　　勒索病毒肆虐，中国校园网络成重灾区

　　5月12日晚，全球近百国网民相继遭受到一款名为WNCRYPT“永恒之蓝”的恶意勒索软件攻击，受害电脑被黑客“劫持”，大量文件被加密锁定。中国的企业、医院、政府机关等单位在这场攻击中也未能幸免，特别是校园网络成为重灾区。

　　电脑遭受恶意勒索软件攻击

　　目前，中国各大高校已经进入毕业答辩时间，不少学生电脑里的Office文件不幸“中招”，无法打开，包括毕业论文、毕业设计和答辩PPT等全被锁定。中了勒索病毒的学生都十分着急，很多人甚至已经开始连夜重做毕业论文和答辩PPT等。

　　内江高科技企业出手，成功分析出勒索病毒加密方式

　　总部位于内江市经开区松山南路253号的四川效率源信息安全技术股份有限公司，是国家高新技术企业和国家科技部重点新产品研制单位，拥有16年的介质存储技术底层研究和世界领先的数据恢复技术，申请国家专利达350余项 。

　　2015年4月，效率源科技建设了数据恢复四川省重点实验室。实验室围绕存储数据恢复、移动终端数据恢复、图像与视频数据恢复课题展开研究，面向国内外开放，注重自主创新、自主研发。实验室设立学术委员会，由11名全国知名高校、研究机构相关专业权威专家组成。

　　针对比特币勒索软件，该数据恢复重点实验室搭建仿真破环环境，已经进行了数月的研究和实践，有着丰富的技术和经验。2017年4月，就成功研发出了针对数据库加密的恢复方法，并由效率源科技进行产品化，上市了“勒索BT币服务器数据库恢复工具”，成功对感染了Wallet勒索病毒的多家企业进行关键数据恢复。

　　什么是勒索软件？

　　勒索软件是近年来一种流行的木马，其通过骚扰、恐吓甚至采用绑架用户文件等方式，使用户数据资产或计算资源无法正常使用，并以此为条件向用户勒索钱财。目前，中国已经成勒索软件重灾区，每年仅此一项带来的损失就超过10亿元。

　　四川某市一燃气公司电脑遭受恶意勒索软件攻击

　　据效率源科技公司总经理梁效宁介绍，2017年以来，效率源科技已经接到公安机关几十起针对企业进行勒索的案件协助。其中，最近的一次案例发生在今年4月：四川某市一燃气公司员工上班时发现，公司燃气系统服务器被勒索软件病毒感染，所有关键数据和信息都被锁定，导致整个系统无法正常运行。黑客在所有被加密的文件上都留下了他们的邮箱联系方式，要求燃气公司支付4个比特币（约合人民币2.8万元）才肯解除密码锁定。

　　解密成本高，企业面临两难选择

　　面对勒索软件的敲诈，企业要么选择缴纳赎金以求拿回数据，要么选择找专业安全厂商解密数据。

　　企业如果选择交赎金，还是可能拿不到数据，其原因可能有： 1.黑客暴露，被国外或国内公安抓住； 2.黑客的网站或者服务器被封，无法登录后台确认有没有收到钱；3.黑客的解密服务器出问题，导致数据无法解密；4.病毒加密程序bug，加密文件与解密不完整。

　　而选择寻找专业安全厂商解密数据，则面临高昂的技术服务费。以本案为例，燃气公司咨询几家信息安全厂商之后，得到的技术服务费用都在3万元以上，甚至已经超出了黑客勒索的成本。

　　“高手过招，有招便有破”

　　在接到针对该案的协助调查后，效率源科技在第一时间组织骨干技术人员进行研究和破解。效率源技术工程师研究发现：本案中的勒索软件是一种名为Wallet木马病毒的最新版本（主程序版本2017∕3∕30）。此版本Wallet虽然也是通过服务器传播，但是入侵者采用了更多样的手法——不再仅仅是对3389端口进行简单扫描，而是更有针对性的对服务器进行系统性攻击。

　　效率源勒索BT币服务器数据库恢复工具

　　成功恢复后的数据库

　　针对本案中的Wallet勒索软件，效率源技术工程师使用自主研发的免费软件——勒索BT币服务器数据库恢复工具，成功恢复出数据库的记录。

　　勒索BT币服务器数据库恢复工具支持病毒版本

　　效率源勒索BT币服务器数据库恢复工具目前能够支持对多个版本的木马病毒进行数据恢复。尽管如此，黑客也在不断的更新病毒版本，因此，效率源科技科研人员也在持续进行研究，不断对勒索BT币服务器数据库恢复工具进行版本升级，以便更好解决此类问题。

　　“发在意先，一招制敌”

　　果不其然，5月12日20时左右，Wallet勒索软件的升级版——“永恒之蓝”勒索病毒爆发，目前已有100多个国家和地区的数万台电脑遭该勒索病毒感染，我国部分Windows系列操作系统用户已经遭到感染。

　　此次，针对变异的“永恒之蓝”，实验室与效率源联手组织技术工程师对病毒进行研究和破解，成功分析出此病毒的加密方式，第一时间推出“永恒之蓝”比特币勒索Office数据恢复工 具V1.0。

　　经研究发现，“永恒之蓝”勒索病毒的加密方式主要有两种，来听听效率源科技工程师赵飞的详细介绍：

　　1

　　大于1.5MB文件的加密方式

　　对于大于0x180000字节（1.5MB）的文件，是按照正常文件总大小整除3，得到每个间隔块大小M，将文件分为M、2M大小的两个间隔块，每个间隔块的前512扇区被填0，被加密的512扇区都会被填0，并将加密的多个512扇区写入到文件尾部。

　　该类文件数据大多数没有被加密，特别是数据库之类的大文件，可以直接使用效率源“勒索BT币服务器数据库恢复工具”进行数据库记录提取，其准确率在93%以上。

　　效率源“永恒之蓝”比特币勒索Office数据恢复工具V1.0

　　针对特殊格式的文档，如docx文档，可进行碎片恢复。目前，效率源科技技术工程师已成功开发出免费工具——“永恒之蓝”比特币勒索Office数据恢复工具V1.0。打开软件，导入被加密文件，选择存储路径（建议保存在干净的移动硬盘或U盘上），点击数据分析，即可进行数据恢复，操作十分简便。

　　效率源是全球第一家发布专门针对勒索数据库以及文档的数据恢复免费产品，而且恢复成功率也是最高的。“永恒之蓝”比特币勒索Office数据恢复工具于5月14日晚上9点过上线，截至5月15日下午2点，有近1500次下载。

　　2

　　小于1.5MB文件的加密方式

　　对于小于0x180000（1.5MB）字节的文件，其全部内容都进行了加密，但是在加密小文件时，会先加密，再删除原文件。因此，如果计算机被加密，对于一些小文件，可以使用专业数据恢复软件，如效率源DRS数据恢复系统、R-Studio、WinHex等进行数据恢复。

　　效率源DRS数据恢复系统

　　需要注意的是：此类文件恢复成功率，会受到文件数量、时间、磁盘操作情况等因素影响。一般来说，中毒后越早恢复，成功的几率越高。

　　网友直呼“世界需要你们拯救”

　　勒索病毒肆虐全球，内江高科技企业效率源“该出手时就出手”，赢得了不少网友和业内同行的欢呼。

　　网友@大头鱼说：推出国际版本的，世界需要你们拯救~

　　对此，效率源的技术人员表示，国外版本语言包装和一些技术小细节需要修改，大致原理相同，但还是有差异性的，要做一些特殊处理，今天（5月15日）就会推出！！

　　世界人民有救了！！

　　防范病毒更为重要

　　江小弟（zuineijiang0832）就手把手教你：如何设置电脑，防范勒索病毒。

　　临时解决方案：

　　★开启系统防火墙

　　★利用系统防火墙高级设置阻止向445端口进行连接（该操作会影响使用445端口的服务）

　　★打开系统自动更新，并检测更新进行安装

　　★360公司发布的“比特币勒索病毒”免疫工具下载地址：
http://dl.360safe.com/nsa/nsatool.exe

　　Win7、Win8、Win10的处理流程

　　1、打开控制面板-系统与安全-Windows防火墙，点击左侧启动或关闭Windows防火墙。

　　2、选择启动防火墙，并点击确定。

　　3、点击高级设置。

　　4、点击入站规则，新建规则。

　　5、选择端口，下一步。

　　6、特定本地端口，输入445，下一步。

　　7、选择阻止连接，下一步。

　　8、配置文件，全选，下一步。

　　9、名称，可以任意输入，完成即可。

　　XP系统的处理流程

　　1、依次打开控制面板，安全中心，Windows防火墙，选择启用。

　　net stop rdr

　　net stop srv

　　net stop netbt

　　2、点击开始，运行，输入cmd，确定执行上面三条命令。

　　3、建议停止使用Windows XP、Windows 2003等微软已不再提供安全更新的操作系统，请尽快升级到高版本系统。

　　来源：最内江