你好:

     感谢你访问我的 Blog ,本博客只提供博主的技术经验分享,你可以在此做简单的留言和评论,我会抽空回复你;若是要深入交流探讨,请联系QQ:47853253或者加QQ群:12012081


 

WannaCry勒索软件病毒攻击防范处理指南

        席卷全球的WannaCry勒索病毒的影响仍在持续,热度不减,引发全球瞩目,目前至少有150个国家受到网络攻击,而病毒已出现“变种”,传播速度可能更快。

 

前言

       2017年5月12日晚开始,想哭(WannaCry)勒索病毒大规模爆发,包括中国在内全球近百个国家受到攻击,大量电脑文件被加密,只有支付比特币赎金才能解密。

(用户电脑中招后,弹出的勒索界面)

 

       受影响单位不乏国内知名高校、政府单位和企业,比如山东大学、桂林电子科技大学、桂林航天工业学院等,学生毕业论文被加密,欲哭无泪。甚至多地公安网络业务被迫停顿、中石油多地加油站支付系统挂掉,都在断网抢修。而在国外,英国国家卫生系统、西班牙电信巨头Telefónica、跨国快递公司FedEx等知名企业业务也纷纷停顿紧急加班维护。据不完全统计,截止5月15日下午四点,该病毒已感染196027台设备,有84179台设备仍处于联网状态。

(蓝点为受感染设备,可以看到欧洲、北美、国内沿海已经一片蓝了)

 

病毒介绍

       “想哭”勒索病毒的前身只是一款普通勒索软件,传播能力极弱。经攻击者改造,植入被泄露公开在网上的美国国家安全局军火库漏洞“永恒之蓝”(漏洞编号:MS17-101)后,变成极具传播能力的大杀器。

       目前发现的病毒会扫描开放445文件共享端口的Windows设备,无需用户操作,只要开机联网,攻击者就能在电脑和主机内植入勒索病毒。政府、学校、企业等内网环境,只要有一台Windows设备感染,就会迅速扩散到所有未安装补丁的设备上。

       用户电脑中招后,系统内的图片、文档、视频、压缩包等所有用户文件均被加密,只有向勒索者支付价值数百美元的比特币方可解锁。

       以下为安全公司分析出勒索病毒会加密的文件格式,涵盖了所有用户重要文件。

.doc .docx .xls .xlsx .ppt .pptx .pst .ost .msg .eml .vsd .vsdx .txt .csv .rtf .123 .wks .wk1 .pdf .dwg .onetoc2 .snt .jpeg .jpg .docb .docm .dot .dotm .dotx .xlsm .xlsb .xlw .xlt .xlm .xlc .xltx .xltm .pptm .pot .pps .ppsm.ppsx .ppam .potx .potm .edb .hwp .602 .sxi .sti .sldx .sldm .sldm .vdi .vmdk .vmx .gpg .aes .ARC .PAQ.bz2 .tbk .bak .tar .tgz .gz .7z .rar .zip .backup .iso .vcd .bmp .png .gif .raw .cgm .tif .tiff .nef .psd .ai .svg .djvu .m4u .m3u .mid .wma .flv .3g2 .mkv .3gp .mp4 .mov .avi .asf .mpeg .vob .mpg .wmv .fla .swf .wav  .mp3 .sh .class .jar .java .rb .asp .php .jsp .brd .sch .dch .dip .pl .vb .vbs .ps1 .bat .cmd .js .asm .h .pas .cpp .c .cs .suo .sln .ldf .mdf .ibd .myi .myd .frm .odb .dbf .db .mdb .accdb .sql .sqlitedb .sqlite3 .asc .lay6 .lay .mml .sxm .otg .odg .uop .std .sxd .otp .odp .wb2 .slk .dif .stc .sxc .ots .ods .3dm .max .3ds .uot .stw .sxw .ott .odt .pem .p12 .csr .crt .key .pfx .der

 

影响范围

未安装补丁的Windows全系列设备,包括:

Windows XP

Windows Server 2003

Windows Vista

Windows Server 2008

Windows 7

Windows Server 2008 R2

Windows 8.1

Windows Server 2012 和 Windows Server 2012 R2

Windows RT 8.1

Windows 10

 

安全防护和解决办法

 

一、事前预防

 

第一步手动关闭漏洞端口安装系统补丁

 

方案A:使用安全厂商推出的勒索病毒免疫工具进行检查

金山毒霸勒索病毒免疫工具:http://cd002.www.duba.net/duba/install/2011/ever/knsatool_20170514.exe

360 NSA武器库免疫工具:http://dl.360safe.com/nsa/nsatool.exe

 

方案B:手动预防

在微软官网下载系统对应版本的补丁,并进行安装。下载地址:https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx

 

利用防火墙添加规则进行屏蔽

1、开始菜单-打开控制面板-选择Windows防火墙

 

2、如果防火墙没有开启,点击”启动或关闭 Windows防火墙"启用防火墙后点击" 确定"

3、点击” 高级设置",然后左侧点击"入站规则",再点击右侧" 新建规则"

4、在打开窗口选择选择要创建的规则类型为”端口",并点击下一步

在"特定本地端口"处填入445并点击"下一步",选择"阻止连接",然后一直下一步,并给规则随意命名后点击完成即可。

 

注:不同系统可能有些差异,不过操作类似

 

第二步:备份数据,安装安全软件,保证电脑处于安全状态

 

对相关重要文件采用离线备份(即使用U盘或移动硬盘等方式)等方式进行备份。

目前,主流安全软件已经具备针对勒索软件的防护能力或者免疫能力等,推荐大家安装安全软件并开启实时防护,避免遭受攻击。

 

二、事后病毒清理

 

第一步:发现感染机器后,立刻拔掉网线、关闭WiFi,隔离相关机器,避免勒索病毒继续感染内网其它机器。

第二步:在未感染机器上下载安全软件,用U盘或移动硬盘拷贝至感染机器,安装后进行查杀。如机器上无重要数据,也可直接重装系统,重装后参考“事前预防”进行操作

 

三、事后文件恢复

 

目前暂时没有解密工具,不过根据国内安全公司对病毒的分析,发现病毒采用加密原文件后再删除原文件的方式,于是针对被删除的文件就存在一定恢复的可能性。

 

大家可使用主流数据恢复软件,对被加密文件的磁盘进行扫描,然后对扫描结果执行恢复操作。该方法可能能恢复部分文件,机器感染后越快恢复效果越好。

 

易我数据恢复官网:http://www.easeus.com.cn/drw/

金山数据恢复官网:http://vip.ijinshan.com/huifu/index/

360勒索蠕虫病毒文件恢复工具:http://dl.360safe.com/recovery/RansomRecovery.exe

 


文章来自: 本站原创
引用通告: 查看所有引用 | 我要引用此文章
Tags:
评论: 0 | 引用: 0 | 查看次数: 105
发表评论
你没有权限发表留言!