antian365.com  simeon

1.事件回顾

（1）凤凰 ：勒索病毒大范围传播，信息安全专家纷纷发出警告

http://news.ifeng.com/a/20170513/51086871_0.shtml

（2）腾讯 ：这种病毒全球大爆发！国内多所大学校园 沦陷，被黑的人都收到了勒索信

http://tech.qq.com/a/20170513/013226.htm

（3）安天公司: 安天紧急应对新型“蠕虫”式勒索软件“wannacry”全球爆发

https://mp.weixin.qq.com/s_biz=MjM5MTA3Nzk4MQ==&mid=2650170534&idx=1&sn=dedc3ff25c3594b49bc4e6c53c9fd123&chksm=beb9c79489ce4e8253e77bf176fd1e88bfbdbe6f3b24d84acdbe391da073a87a0cf313c26fb7&mpshare=1&scene=1&srcid=0513oXuWB6ySDTUPZUPpnWod#rd

    据BBC 道，今天全球很多地方爆发一种软件勒索病毒，只有缴纳高额赎金（有的要比特币）才能解密资料和数据，英国多家医院中招，病人资料威胁外泄，同时俄罗斯，意大利，整个欧洲，包括中国很多高校……

该勒索软件是一个名称为“wannacry”的新家族，该加密软件采用流行的RSA和AES加密算法，截止目前还无法破解，或者是暴力破解的成本非常高，普通用户基本无解，换句话说目前世界安全高手也无法解密该勒索软件加密的文件。

该勒索软件利用MS17-101漏洞来***全球主机，目前很多内 或者外 445端口基本是开放的，勒索软件借鉴蠕虫原理，利用了基于445端口传播扩散的SMB漏洞，在早期的研究中我们已经发现，勒索软件利用系统漏洞、Mysql以及Mssql数据库漏洞以及其它一些高位漏洞，先行***，再感染，所以以前大家都觉得 络安全离我很远，现在就不能这么看了，只要你系统存在高位漏洞，就有可能被感染。

2.实际影响

（1）主动***

（2）蠕虫传播， 络传播速度更快。截止目前很多内 已经沦陷。

（3）对ppt、word、pdf等文档文件进行加密。

（4）采用RSA和AES加密算法，经请教北京理工大学信息安全专家张子剑博士，目前该算法破解时间耗费非常巨大，勒索软件声称需要几十年！其加密算法如下：

图4关闭135端口

（2）关闭139端口，139端口是为“NetBIOS Session Service”提供的，主要用于提供Windows文件和打印机共享以及Unix中的Samba服务。 单击“ 络”–“本地属性”，在出现的“本地连接属性”对话框中，选择“Internet协议版本4（TCP/IPv4）”–“属性”，双击打开“高级TCP/IP设置”–“WINS”，在“NetBIOS设置”中选择“禁用TCP/IP上的NetBIOS”，如图5所示。

图6关闭445端口

（4）查看端口是否开放

以后以下命令查看135、139、445已经关闭。

附加另一篇查看本机开放端口命令的另一篇文章,原文出自:http://blog.csdn.net/kalision/article/details/7239001

查看本机开放的端口 ，查看某个端口 是否被占用，查看被占用的端口 被哪个进程所占用，如何结束该进程

利用快捷键win+R键打开运行窗口。输入cmd回车打开命令提示符窗口

1：查看本机开放的端口，即已被占用的端口 。

命令：

netstat -an

部分结果列表：

Proto  Local Address          Foreign Address        State
TCP    0.0.0.0:135            0.0.0.0:0              LISTENING
TCP    0.0.0.0:3473           0.0.0.0:0                 LISTENING
TCP    0.0.0.0:8009           0.0.0.0:0                         LISTENING

Local Addresss 对应的这列，“：”后边即为以开放的端口 。

2：查看某个端口 是否被占用

比如要查看Mysql的默认服务端口3306是否已被占用

命令：

netstat -ano|findstr “3306”

  —-如果没有返回任何结果，即证明此端口没有被占用。

  —-如果返回结果为：

TCP  0.0.0.0:8080 0.0.0.0:0 LISTENING 1640

说明8080端口已经被占用。 1640即占用8080此端口 的进程 。

3：查看进程 对应的进程名称

任务管理器：

如果没有PID（进程ID）列，可以在任务管理器的菜单栏-查看-选择列中选中该列即可。

命令：

tasklist|findstr ”1640“

这是查看1640进程 所对应的进程名称。

返回结果为：

Tomcat5.exe 1640Console  0 33,802 K

Tomcat5.exe 即是占用1640端口 的进程名。

4：结束进程

可以直接在任务管理器中结束，打开任务管理器快捷键:ctrl+shift+ESC

命令:

tskill 进程名/进程

如：tskill Tomcat5.exe

tskill 1640

相关资源：软件开发范型(Paradigm)-清华大学郑人杰_殷仁昆教授_《软件工程…