WannaCry 勒索软件一旦中招之后会加密硬盘文件，无法恢复，因为它的加密算法是不可逆的，除非你支付相关的赎金，所以说危害很严重，一定要引起重视。针对此病毒，我们可以做的：
一、终端电脑立即打上 MS17-010 漏洞补丁。
二、外部的网络设备上（路由器、防火墙、IPS等）屏蔽445端口。

　　绿盟科技是国内著名的网络安全厂商，在我读大学那会已经很有名气了，他们出了一个勒索病毒安全加固工具V1.4，是 BAT 程序，下载下来之后看了源代码。它的“加固”方式主要是两点：一是关闭了 Server 服务，二是通过防火墙屏蔽了445端口。程序适用于 Windows 7/10/ 和 Windows Server 2003/2008/2012/2016，使用方便，特此推荐，代码如下。

@echo off
mode con: cols=85 lines=40
:NSFOCUSXA
title  WannaCry勒索病毒安全加固工具  
color 0A
cls
echo.                   
echo.                      
echo -----------------------  WannaCry勒索病毒安全加固工具  --------------------------
echo.                                                                         
echo.       
echo    * WannaCry勒索软件可加密硬盘文件，受害者必须支付高额赎金才有可能解密恢复，安
echo      全风险高，影响范围广！
echo.                                                                     
echo    * 网络层面：建议边界防火墙阻断445端口的访问，可通过IPS、防火墙相关安全设备配
echo      置相关阻断策略。    
echo.
echo    * 终端层面：暂时关闭Server服务,使用命令"netstat -ano | findstr ":445""，确保
echo      关闭445端口，建议在微软官网下载MS17-010补丁,选择对应的版本进行补丁安装，补
echo      丁下载地址：https://ihacksoft.com/513.html。        
echo.     
echo    * 注：恢复功能用于恢复加固功能所关闭的服务及屏蔽的端口。
echo.
echo    * 必须以系统管理员身份运行，以下提供此工具所做的操作的介绍：
echo.
echo       1：WIN7加固       11: WIN7加固恢复
echo       2：WIN10加固      12：WIN10加固恢复
echo       3：WIN2003加固    13：WIN2003加固恢复
echo       4：WIN2008加固    14：WIN2008加固恢复
echo       5：WIN2012加固    15：WIN2012加固恢复
echo       6：WIN2016加固    16：WIN2016加固恢复
echo.  
echo       7: 退出                                                              
echo                                                       绿盟科技 V1.4                      
echo                                                      www.nsfocus.com 
echo                                                                  
echo ---------------------------------------------------------------------------------
echo.
set start=
set /p start=    输入(1 2 3 4 5 6)后按回车键:
if "%start%"=="1" goto WIN7
if "%start%"=="2" goto WIN10
if "%start%"=="3" goto WIN2003
if "%start%"=="4" goto WIN2008
if "%start%"=="5" goto WIN2012
if "%start%"=="6" goto WIN2016
if "%start%"=="11" goto WIN7X
if "%start%"=="12" goto WIN10X
if "%start%"=="13" goto WIN2003X
if "%start%"=="14" goto WIN2008X
if "%start%"=="15" goto WIN2012X
if "%start%"=="16" goto WIN2016X
if "%start%"=="7" goto quit
goto NSFOCUSXA

:WIN7
net stop server /Y > nul
sc config lanmanserver start= disabled
netsh advfirewall set currentprofile state on > nul
netsh advfirewall firewall add rule name="DenyEquationTCP" dir=in action=block localport=445 remoteip=any protocol=tcp > nul
netsh advfirewall firewall add rule name="DenyEquationUDP" dir=in action=block localport=445 remoteip=any protocol=udp > nul
echo ---------------------------------------------------------------------------------
echo    *  Windows 7系统加固命令执行完毕！
echo .
pause
goto NSFOCUSXA
:WIN10
net stop server > nul
sc config lanmanserver start= disabled
netsh firewall set opmode enable > nul
netsh advfirewall firewall add rule name="DenyEquationTCP" dir=in action=block localport=445 remoteip=any protocol=tcp > nul
netsh advfirewall firewall add rule name="DenyEquationUDP" dir=in action=block localport=445 remoteip=any protocol=udp > nul
echo ---------------------------------------------------------------------------------
echo    *  Windows 10系统加固命令执行完毕！
echo .
pause
goto NSFOCUSXA
:WIN2003
net stop server > nul
net start sharedaccess > nul
sc config lanmanserver start= disabled
netsh firewall add portopening protocol = ALL port = 445 name = DenyEquationTCP mode = DISABLE scope = ALL profile = ALL > nul
echo ---------------------------------------------------------------------------------
echo    *  Windows Server 2003系统加固命令执行完毕！
echo .
pause
goto NSFOCUSXA

:WIN2008
net stop server /Y > nul
sc config lanmanserver start= disabled
netsh advfirewall set currentprofile state on > nul
netsh advfirewall firewall add rule name="DenyEquationTCP" dir=in action=block localport=445 remoteip=any protocol=tcp > nul
netsh advfirewall firewall add rule name="DenyEquationUDP" dir=in action=block localport=445 remoteip=any protocol=udp > nul
echo ---------------------------------------------------------------------------------
echo    *  Windows Server 2008系统加固命令执行完毕！
echo .
pause
goto NSFOCUSXA

:WIN2012
net stop server > nul
net start MpsSvc > nul
sc config lanmanserver start= disabled
netsh advfirewall firewall add rule name="DenyEquationTCP" dir=in action=block localport=445 remoteip=any protocol=tcp > nul
netsh advfirewall firewall add rule name="DenyEquationUDP" dir=in action=block localport=445 remoteip=any protocol=udp > nul
echo ---------------------------------------------------------------------------------
echo    *  Windows Server 2012系统加固命令执行完毕！
echo .
pause
goto NSFOCUSXA
:WIN2016
net stop server > nul
sc config lanmanserver start= disabled
netsh advfirewall firewall add rule name="DenyEquationTCP" dir=in action=block localport=445 remoteip=any protocol=tcp > nul
netsh advfirewall firewall add rule name="DenyEquationUDP" dir=in action=block localport=445 remoteip=any protocol=udp > nul
echo ---------------------------------------------------------------------------------
echo    *  Windows Server 2016系统加固命令执行完毕！
echo .
pause
goto NSFOCUSXA


:WIN7X
net start server /Y > nul
sc config lanmanserver start= auto
netsh advfirewall set currentprofile state on > nul
netsh advfirewall firewall delete rule name="DenyEquationTCP" > nul
netsh advfirewall firewall delete rule name="DenyEquationUDP" > nul
echo ---------------------------------------------------------------------------------
echo    *  Windows 7系统加固恢复命令执行完毕！
echo .
pause
goto NSFOCUSXA
:WIN10X
net start server > nul
sc config lanmanserver start= auto
netsh firewall set opmode enable > nul
netsh advfirewall firewall delete rule name="DenyEquationTCP"  > nul
netsh advfirewall firewall delete rule name="DenyEquationUDP"  > nul
echo ---------------------------------------------------------------------------------
echo    *  Windows 10系统加固恢复命令执行完毕！
echo .
pause
goto NSFOCUSXA
:WIN2003X
net start server > nul
net start sharedaccess > nul
sc config lanmanserver start= auto
netsh firewall delete portopening protocol = TCP port = 445 > nul
netsh firewall delete portopening protocol = UDP port = 445 > nul
echo ---------------------------------------------------------------------------------
echo    *  Windows Server 2003系统加固恢复命令执行完毕！
echo .
pause
goto NSFOCUSXA

:WIN2008X
net start server /Y > nul
sc config lanmanserver start= auto
netsh advfirewall set currentprofile state on > nul
netsh advfirewall firewall delete rule name="DenyEquationTCP"  > nul
netsh advfirewall firewall delete rule name="DenyEquationUDP"  > nul
echo ---------------------------------------------------------------------------------
echo    *  Windows Server 2008系统加固恢复命令执行完毕！
echo .
pause
goto NSFOCUSXA

:WIN2012X
net start server > nul
net start MpsSvc > nul
sc config lanmanserver start= auto
netsh advfirewall firewall delete rule name="DenyEquationTCP"  > nul
netsh advfirewall firewall delete rule name="DenyEquationUDP"  > nul
echo ---------------------------------------------------------------------------------
echo    *  Windows Server 2012系统加固恢复命令执行完毕！
echo .
pause
goto NSFOCUSXA
:WIN2016X
net start server > nul
sc config lanmanserver start= auto
netsh advfirewall firewall delete rule name="DenyEquationTCP"  > nul
netsh advfirewall firewall delete rule name="DenyEquationUDP"  > nul
echo ---------------------------------------------------------------------------------
echo    *  Windows Server 2016系统加固恢复命令执行完毕！
echo .
pause
goto NSFOCUSXA

点击下载勒索病毒安全加固工具 1.4 最新版

　　VirusTotal是一个在线文件扫描网站，用户上传文件并扫描后，网站会给出扫描报告并对扫描的结果进行总体的评估。用户可以在报表中查看不同杀毒软件对文件的扫描结果。当然，即使报告发现病毒，也有可能是杀软的误报，用户应根据查毒结果进一步自行判断。对于有一定计算机基础和高级用户，推荐使用腾讯公司出品的哈勃分析系统。哈勃文件分析系统可以给出文件被运行后的检测评级及行为分析报告，包括“基本行为”、“关键行为”、“进程行为”、“文件行为”、“网络行为”、“注册表行为”、“其他行为”。用户可以详细地了解程序在计算机中的行为，对文件的安全性作出准确的判断。需要提醒的一点是，在线的文件检测并不具备实时保护的功能，它并不能替代用户电脑中的安全防护软件。

　　在线应用能够提供给我们很多方便，但用户在使用此类应用时，应尽量使用可靠厂商出品的 Web 版本应用。对于其他一些无法 验证可靠性与安全性的在线应用，用户应提高防范意识，不要上传涉及隐私的敏感性文件，谨防网站恶意盗取用户的个人文件，造成隐私的泄露。

　　CrySiS 成功激活后，会先创建一个互斥变量，这个东西就是用来防止病毒多次运行的，也就是病毒在一台电脑上只能激活一次。接着，拷贝自身到系统的 %windir%\System32、%appdata%、%sh (Startup)%、%sh (Common Startup)%目录中，还会释放一个勒索信息的配置文件Info.hta，并为它设置—个自启动项，如此就可以在用户重启电脑或者开机时弹出一个勒索界面，之后枚举系统的 Windows Driver Foundation、User mode Driver Framework、wudfsvc、Windows Update、wuauserv、Security Center、wscsvc、Windows Management、Instrumentation、Winmgmt、Diagnostic Service Host、WdiServiceHost、VMWare Tools、VMTools.Desktop、Window Manager Session Manager 服务和1c8.exe、1cv77.exe、outlook.exe、postgres.exe、mysqld-nt.exe、mysqld.exe、sqlserver.exe 进程, 如果发现这些服务和进程干扰了病毒的数据库文件就会发出终止指令。

　　然后，寻找电脑的高价值文件并对之进行加密（类似boot.ini、bootfont.bin、io.sys之类的文件就跳过)，加密后的文件的后缀变成.java，加密的密钥大小块为184字节，前32字节存放RC4加密后的随机数密钥, 该密钥用于之后加密文档。为了加强随机性，病毐通过RDTST函数读取时间计数器，最后通过RC4加密得到密钥。最后，病毒通过调用rundll32.exe或mshta.exe进程，执行勒索病毒的勒索信息文件Info.hta,弹出勒索界面。

　　需要注意的是，CrySiS勒索病毐的传播是通过RDP暴力破解的方式进行的，因此建议用户关闭系统的RDP服务。什么是RDP服务？它是远程桌面协议的英文缩写（Remote Desktop Protocol)，Windows 系统的标配功能，这个协议的主要用处是管理员可以远程操作管理用户的电脑，不过在人多数情况下普通人是用不到这个功能的。在实际生活中，开启RDP服务的电脑一般设置有账号和密码，CrySiS勒索病毒就通过暴力破解的方式猜出账号和密码，特别是那些常见的组合，很容易被破解，例如账号admin、密码admin等。

　　另外，CrySiS勒索病毐的变种还有本土化特征，也就是进行了多重免杀，以干扰杀毒软件的判断。不过，随着安全厂商对CrySiS勒索病毐的变种的重视，主流杀毐软件都能査杀此类病毒。

　　最后，要防范勒索病毒，要注意以下几点：关闭共享目录文件；及时给系统打补丁，修复系统漏洞； 不要点击来源不明的邮件以及附件； 保证杀毒软件的正常运行；对重要的数据文件定期进行非本地备份；尽量关闭不必要的文件共享权限以及关闭不必要的端口，例如445、135、139、3389等。