­　　原標題：勒索病毒傳播已被終止，但隨時可能卷土重來

­　　這位化名Malware Tech（簡稱MT）的網(wǎng)絡安全人員在分析這類病毒時注意到，病毒在感染每一臺新電腦時，都會嘗試連接到一個特定的網(wǎng)址。然而，這個由一長串字母組成、仿佛是隨手按鍵盤打出來的網(wǎng)址，竟然沒有被注冊過。

­　　iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com

­　　于是，MT花了10美元注冊了該域名。這時他就可以查看連接該網(wǎng)址的電腦的所在區(qū)域——這也是這次病毒傳播所波及的范圍。

­　　隨后，MT查看了病毒代碼，并從中找出了這樣的語句：

­　　也就是說，病毒在感染一臺計算機時，會嘗試連接該域名。如果解析失敗，則繼續(xù)感染；如果解析成功（該域名被人注冊了），則會退出程序、停止感染。這正是控制勒索病毒的開關！

­　　目前，人們并不清楚設置該開關的目的何在。有人認為，開關的設置可能是防止出現(xiàn)無法控制的局面。MT則認為，其最初目的或許是阻止研究人員對勒索病毒進行分析，只是最終適得其反，成為研究者遠程終止病毒傳播的工具。

­　　值得注意的是，MT的發(fā)現(xiàn)只是基本暫停了這一輪勒索病毒的傳播，但勒索病毒的威脅依然存在。一方面，對于已經(jīng)中毒的電腦，目前尚未發(fā)現(xiàn)有效的解決方案（即便交付贖金也無濟于事）；另一方面，如果這類病毒出現(xiàn)變種——繞開該域名進行判斷，甚至直接不設置判斷條件，它們完全可以再次襲擊大量不具備防御措施的電腦。此外，根據(jù)報道，病毒在因為其他原因訪問不到這個域名的電腦中也會繼續(xù)發(fā)作。

­　　“我們阻止了這款病毒的傳播，但很快就會有我們無力阻止的新病毒出現(xiàn)，”MT也警示道，“這些人沒有理由停止這類病毒的傳播。對于他們來說，只需稍微修改代碼，就可以讓勒索病毒再度來襲。”

­　　附北京市委網(wǎng)信辦、北京市公安局和北京市經(jīng)濟和信息化委員會聯(lián)合發(fā)布的防范和遏制“Eternal Blue”病毒攻擊指南：

­　　一、微軟已經(jīng)發(fā)布相關的補丁MS17-010用以修復被 “Eternal Blue” 攻擊的系統(tǒng)漏洞，請盡快安裝此安全補丁，網(wǎng)址為https：//technet.microsoft.com/zh-cn/library/security/MS17-010。對于windows XP、Windows 2003等更加久遠的系統(tǒng)，微軟則不再提供安全補丁，請通過關閉端口的方式進行防護。

­　　在Windows電腦上運行系統(tǒng)自帶的免費殺毒軟件并啟用 Windows Updates的用戶可以免受這次病毒的攻擊。Windows 10的用戶可以通過設置-Windows更新啟用 Windows Updates安裝最新的更新，同時可以通過設置-Windows Defender，打開安全中心。

­　　二、關閉135、137、138、139、445端口，關閉網(wǎng)絡共享也可以避免中招。

­　?。ㄒ唬┓椒?/p>

­　　1、運行輸入“dcomcnfg”；

­　　2、在“計算機”選項右邊，右鍵單擊“我的電腦”，選擇“屬性”；

­　　3、在出現(xiàn)的“我的電腦屬性”對話框“默認屬性”選項卡中，去掉“在此計算機上啟用分布式 COM”前的勾；

­　　4、選擇“默認協(xié)議”選項卡，選中“面向連接的TCP/IP”，單擊“刪除”按鈕。

­　?。ǘ╆P閉135、137、138端口

­　　在網(wǎng)絡鄰居上點右鍵選屬性，在新建好的連接上點右鍵選屬性再選擇網(wǎng)絡選項卡，去掉 Microsoft 網(wǎng)絡的文件和打印機共享，以及 Microsoft 網(wǎng)絡客戶端的復選框。這樣就關閉了共享端135 、137、138端口。

­　?。ㄈ╆P閉139端口

­　　139端口是NetBIOSSession端口，用來文件和打印共享。關閉 139 的方法是：在“網(wǎng)絡和撥號連接”中的“本地連接”中，選取“Internet協(xié)議（TCP/IP）”屬性，進入“高級TCP/IP設置”“WINS設置”里面，有一項“禁用TCP/IP的 NETBIOS”，打勾就可關閉139端口。

­　?。ㄋ模╆P閉445端口

­　　開始-運行輸入regedit。確定后定位到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters，新建名為“SMBDeviceEnabled”的DWORD值，并將其設置為0，則可關閉445端口。