勒索者蠕蟲病毒WannaCry應急處理方案
文章推薦指數: 80 %
最近筆者所在的公司的安全部門向全員發了一封應對WannaCry病毒的郵件,郵件大致是預防過程和比較實用的安裝包。
這個病毒目前來看還沒有破解方法。
但是可以從根本上預防。
先粘出來,供大家參考。
如果需要安裝包的話,下方回復接受安裝包的郵箱或者關注頭條號私信筆者,筆者會在第一時間傳給大家的(因為筆者公司封掉了百度雲,所以暫時無法上傳到百度雲,不好意思哈)。
一、病毒影響範圍
MS17-010漏洞主要影響以下作業系統:Windows 2000,Windows 2003,Windows2008,Windows2012,Windows XP,Windows Vista,Windows7,Windows8,Windows10。
二、應急解決方案
對於未開機或未被感染的計算機:
第一步:斷開網絡(拔掉網線);
第二步:使用U盤或光碟自帶的PE系統啟動電腦,將計算機中所有重要文件(尤其文檔、圖片、照片、壓縮包、音頻、視頻等)備份到移動存儲設備上。
第三步:開啟系統防火牆,並利用系統防火牆高級設置阻止向445埠進行連接。
第四步:對系統進行ms17010、ms10061、ms14068、ms08067、ms09050補丁更新。
安全補丁網址為 https://technet.microsoft.com/zh-cn/library/security/MS17-010。
對於 windows XP、Windows 2003 等更加久遠的系統,微軟則不再提供安全補丁,請通過關閉埠的方式進行防護。
已感染病毒機器請立即斷網,避免進一步傳播感染。
三、啟動防火牆及阻止135、137、138、139、445埠處理流程
3.1 關閉埠方法
1、運行 輸入「dcomcnfg」;
2、在「計算機」選項右邊,右鍵單擊「我的電腦」,選擇「屬性」;
3、在出現的「我的電腦屬性」對話框「默認屬性」選項卡中,去掉「在此計算機上啟用分布式 COM」前的勾;
4、選擇「默認協議」選項卡,選中「面向連接的TCP/IP」,單擊「刪除」按鈕。
3.2 關閉 135、137、138 埠
在網絡鄰居上點右鍵選屬性,在新建好的連接上點右鍵選屬性再選擇網絡選項卡,去掉 Microsoft 網絡的文件和印表機共享,以及 Microsoft 網絡客戶端的複選框。
這樣就關閉了共享端 135 、137、138埠。
3.3 關閉 139 埠
139 埠是 NetBIOSSession 埠,用來文件和列印共 享。
關閉 139 的方法是:在「網絡和撥號連接」中的「本地連接」中,選取「Internet協議 (TCP/IP)」屬性,進入「高級 TCP/IP 設置」「WINS設置」裡面,有一項「禁用TCP/IP的 NETBIOS 」,打勾就可關閉 139 埠。
3.4 關閉 445 埠
開始-運行輸入 regedit. 確定後定位到 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters,新建名為「SMBDeviceEnabled」的DWORD值,並將其設置為 0,則可關閉 445 埠。
也可運行附件的批處理文件,運行即可關閉137、138、139、445等埠。
四、手工查殺方法
檢查步驟:
1、 首先,使用任務管理器查找如下檢查,並結束進程,進程可能包括:
l taskhsvc.exe
l taskdl.exe
l taskse.exe
l tasksche.exe
2、刪除自動註冊表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中惡意項,其值是 tasksche.exe
3、 通過文件搜索查找所有命名為@[email protected]的文件,接著刪除系統所有的 @[email protected]。
4、 刪除所有以.wnry命名的文件
5、 另外,其它不會對系統有影響的的文件如:
@[email protected]和@[email protected]等也可疑刪除。
6、 重啟電腦。
如果還有問題,請重複1到5 這個過程。
備註:所有被加密的文件命名為「*.WNCRY」
五、如何分辨是否中毒:
當系統被該勒索軟體入侵後,會彈出勒索對話框:
或在桌面及各個文件夾內出現以下文件:
該病毒目前沒有專殺工具,加密文件無法暴力破解。
如不幸感染病毒,系統中有重要文件的請等待解密工具,沒有重要文件的可以選擇格式化全盤並重做系統。
該勒索軟體採用包括英語、簡體中文、繁體中文等28種語言進行「本地化」。
會將自身複製到每個文件夾下,並重命名為「@[email protected]」。
同時衍生大量語言配置等文件,該勒索軟體AES和RSA加密算法,加密的文件以「WANACRY!」開頭,加密如下後綴名的文件:
鑒於本次勒索者蠕蟲病毒WannaCry 主要針對Windows系統,對個人電腦危害極大,目前爆發在周末,但是周一上班將是個人電腦病毒爆發的高峰,建議組織形式的公司的話,各運維團隊在網際網路出口防火牆關閉對內、對外的135、137、139、445等埠的訪問,等組織形式的公司自查完畢,補丁升級或埠確認關閉後,再逐步開放如上埠的訪問。
自查工具連結:
安天蠕蟲病毒WannaCry免疫工具和掃描工具下載地址為:http://www.antiy.com/tools.html
勒索蠕蟲-WanaCrypt0r防治攻略和事件回顧
====== 2017年5月12日星期五,全球近100個國家(中國、西班牙、義大利、葡萄牙、俄羅斯、烏克蘭)的,多個行業機構的電腦感染名為WannaCry0r的勒索軟體。目前據報導英國醫療、德國...