下载文档原格式
勒索病毒WannaCry解决办法
1、为计算机安装最新的安全补丁,微软已发布补丁MS17-010修复了“永恒之蓝”攻击的系统漏洞,请尽快安装此安全补丁,对于Windows XP、2003等微软已不再提供安全更新的机器,可以借助其它安全软件更新漏洞。
2、关闭445、135、137、138、139端口,关闭网络共享。
3、强化网络安全意识:不明链接不要点击,不明文件不要下载,不明邮件不要打开。
4、尽快(今后定期)备份自己电脑中的重要文件资料到移动硬盘、U盘,备份完后脱机保存该磁盘。
5、建议仍在使用Windows XP,Windows 2003操作系统的用户尽快升级到Window
7/Windows 10,或Windows 2008/2012/2016操作系统。
按下键盘的Windows键,打开控制面板
点击Windows防火墙
点击左边高级设置
点击左上角的入站规则
点击右边的新建规则
点击第二个选项→端口,点击下一步
选择TCP
在下方特定本地端口中输入135,445,点击下一步
选择第三个选项→阻止连接,点下一步,再点下一步
输入名称:比特币病毒防护,点击完成
重复一次3-10,在第7步时选择UDP
做完上面所有步骤后你会在入站规则的最上方看到两个新建的规则,这就表示完成了,保险起见,重启一下电脑。
排查指导
1.排查操作系统是否打上了MS17-010的补丁
在控制面板→程序→程序和功能→已安装更新里查看如果没有3月或者4月安装的补丁(如下图所示),如果没有则执行第2步;
2.排查windows机器高危端口135\445\3389是否打开,一般3389都会开放;
3.查看系统的登录日志是否存在频繁的尝试登录操作;
在cmd下运行eventvwr命令,选择windows日志下的安全
在短时间内有多次审核失败且任务类型为登录的记录,则说明可能存在尝试登录操作4.启动任务管理器,在进程标签中查看有没有可疑进程,比如存在包含”Wanna”字符串的进
程;对于无法确定的进程,可以截图后由专业人员进行分析;
5.全盘搜索有没有文件名包含“Wanna”的文件(模糊匹配),
6.在确认操作系统被勒索病毒感染后,请不要按照提示付款,建议备份操作系统
中关键资料文件,请联系微软及病毒软件厂家处理,提供给分析人员进行分析。
说明:勒索软件不同于普通的病毒软件,不会刻意隐藏自身,具有明显的特征,所以通过简单的
查看操作系统中的文件是否正常就可以判断是否感染勒索病毒.
缓解措施:
1、请不要随意点击打开来历不明的邮件附件和链接
2、尽快为操作系统打上最新补丁
3、对关键信息文件及时定期进行备份。
勒索病毒防护指引一、勒索病毒背景自2017年5月WannaCry(永恒之蓝勒索蠕虫)大规模爆发以来,勒索病毒已成为对政企机构和网民直接威胁最大的一类木马病毒。
大规模爆发的Globelmposter、GandCrab、Crysis等勒索病毒,攻击者更是将攻击的矛头对准企业服务器,并形成产业化;而且勒索病毒的质量和数量的不断攀升,已经成为政企机构面临的最大的网络威胁之一。
二、勒索病毒感染案例据某安全机构监测和评估显示:每天感染用户电脑的勒索病毒有10多种(家族),每天感染量高达10-15万台电脑,其中以漏洞为传播途径的勒索病毒占90%以上。
近期发生的一些勒索病毒感染事件再次对我们敲响了警钟。
案例一:某上市公司福建某上市公司服务器被勒索病毒Ransom/Bunnyde入侵,导致该企业核心的ERP(财务系统)数据库被加密,向病毒团伙支付了50万人民币赎金后,获得密钥恢复了数据。
该病毒是利用垃圾邮件和漏洞等方式传播,工程师调查发现,该企业服务器既没安装补丁程序,又没安装任何安全软件。
案例二:某知名高校某南方知名高校学生使用个人电脑连接学校网络时,被通过校园网主机系统漏洞进入的勒索病毒感染,包括毕业论文在内的所有文件被加密,该病毒提示需要支付近1万元人民币赎金。
该学生支付赎金后,病毒团伙并没有提供任何解密方式。
案例三:某服务提供商2019年11月9日拥有44万客户的网络托管提供商遭到勒索软件的攻击,这是今年的第三家大型网络托管提供商被勒索病毒网络犯罪团伙攻击,加密了客户服务器上的数据,该公司被勒索病毒攻击之后,客户电话被打爆而不得不中断客户电话热线,该公司网站在11月9日被迫关闭一整天。
三、勒索病毒的来源通过对云上用户的调查分析,大部分用户未按照最佳的安全使用方式来使用云服务器资源,主要问题有:关键账号存在弱口令或无认证机制服务器关键账号(root、administrator)密码简单或无密码。
数据库(Redis、MongoDB、MySQL、MSsql Server)等重要业务使用弱密码或无密码。
永恒之蓝全过程复现技术文档文档技术提供:Mr.LGH一、声明文档永恒之蓝复现,仅用于教学使用,请勿用于非法途径,若出现违法与教学提供者无关,用于非法途径,后果自负。
二、永恒之蓝简介永恒之蓝是指2017年4月14日晚,黑客团体Shadow Brokers(影子经济人)公布一大批网络攻击工具、期中包含永恒之蓝工具,“永恒之蓝”利用windows系统的SMB漏洞可以获取漏洞最高权限。
5月12日,不法份子通过改造“永恒之蓝”制作了wannacry勒索病毒,英国、俄罗斯、整个欧洲以及中国国内多个高兴内网、大型企业内网和政府机关中招,被勒索支付高额赎金才能恢复文件。
三、漏洞原理永恒之蓝是在window的SMB服务处理SMB v1请求时发生的漏洞,这个漏洞导致攻击者在目标系统上可以执行任意代码,通过永恒之蓝漏洞会扫描开放445文件共享端口的Windows机器,无需用户任何操作,只要开机上网,不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序。
四、SMB协议SMB(全称是Server Message Block)是一个协议服务器信息块,它是一种客户机/服务器、请求/响应协议,通过SMB协议可以在计算机间共享文件、打印机、命名管道等资源,电脑上的网上邻居就是靠SMB实现的;SMB协议工作在应用层和会话层,可以用在TCP/IP协议之上,SMB使用TCP139端口和TCP445端口。
五、漏洞防御1.禁用SMB1协议2.打开Windows Update,或手动安装补丁3.使用防火墙阻止445端口的连接,或者使用进/出站规则阻止445端口的连接4.不要随意打开陌生的文件,链接5.安装杀毒软件,及时更新病毒库6.暂时关闭Server服务。
六、实验环境1、系统:攻击机(Kali Linux)、Win7(受害机)2、工具:nmap、Metasploit、wcry(勒索病毒)3、网络设置,确保攻击机能与受害机进行通信七、漏洞复现1、检测受害机和端口情况,使用namp工具进行烧卖,检测目标主机是否存活、以及445端口开放情况。
《“永恒之蓝”勒索蠕虫最全知识手册》你该知道的都在这里!《“永恒之蓝”勒索蠕虫最全知识手册》2017-05-14 360企业安全今天,你一开机可能就不得不损失300美元!今天,你一开机所有文件将被加密无法读取!What?2017 年5 月12 日,“永恒之蓝”勒索蠕虫爆发,短短几小时,攻击了中国、英国、美国、德国、日本等近百个国家,至少1600 家美国组织,11200 家俄罗斯组织都受到了攻击,截至到5月13日20点,国内也有29372家机构组织的数十万台机器感染,其中有教育科研机构4341家中招,是此次事件的重灾区,事件影响持续发酵中。
什么是“永恒之蓝”勒索蠕虫?中了“永恒之蓝”勒索蠕虫如何紧急处置?。
针对大家最关心的“永恒之蓝”勒索蠕虫的相关问题360企业安全专家进行专业解答,集成《“永恒之蓝”勒索蠕虫最全知识手册》。
关于“永恒之蓝”勒索蠕虫,你该知道的都在这里▌1. 什么是蠕虫病毒?答:蠕虫病毒是一种常见的计算机病毒,它的主要特点是利用电脑存在的漏洞,通过网络进行自主的复制和传播,只要一释放出来,就会在无人干预的情况下以指数级快速扩散。
▌2. 这个病毒到底什么原理?答:这个病毒是勒索软件和蠕虫病毒的合体,利用了Windows操作系统的一个漏洞,投送勒索软件到受害主机。
在有蠕虫的环境中,有漏洞的用户电脑只要开机就会很快被感染,不需要任何用户操作,并且被感染的受害主机还会对其他主机发起同样的攻击,所以传播速度极快。
▌3.中了这个病毒会有什么危害?答:受害主机中招后,病毒就会在受害主机中植入勒索程序,硬盘中存储的文件将会被加密无法读取,勒索蠕虫病毒将要求受害者支付价值300/600美元的比特币才能解锁,而且越往后可能要求的赎金越多,不能按时支付赎金的系统会被销毁数据。
▌4. 这个病毒为什么影响这么严重?答:本次事件被认为是迄今为止影响面最大的勒索交费恶意活动事件,一旦受害主机存在被该病毒利用的漏洞,在连接网络的情况下,即使不做任何操作,病毒就会在受害主机中植入勒索程序,此外,由于其属于蠕虫病毒,具有自我复制、传播的特性,因此扩散速度极快。
“永恒之蓝”勒索蠕虫最全知识手册2017 年 5 月 12 日,“永恒之蓝”勒索蠕虫爆发,短短几小时,攻击了中国、英国、美国、德国、日本等近百个国家,至少 1600 家美国组织,11200 家俄罗斯组织都受到了攻击,截至到5月13日20点,国内也有29372家机构组织的数十万台机器感染,其中有教育科研机构4341家中招,是此次事件的重灾区,事件影响持续发酵中。
什么是“永恒之蓝”勒索蠕虫?中了“永恒之蓝”勒索蠕虫如何紧急处置?。
针对大家最关心的“永恒之蓝”勒索蠕虫的相关问题360企业安全专家进行专业解答,集成《“永恒之蓝”勒索蠕虫最全知识手册》关于“永恒之蓝”勒索蠕虫,你该知道的都在这里!1. 什么是蠕虫病毒?答:蠕虫病毒是一种常见的计算机病毒,它的主要特点是利用电脑存在的漏洞,通过网络进行自主的复制和传播,只要一释放出来,就会在无人干预的情况下以指数级快速扩散。
2. 这个病毒到底什么原理?答:这个病毒是勒索软件和蠕虫病毒的合体,利用了Windows操作系统的一个漏洞,投送勒索软件到受害主机。
在有蠕虫的环境中,有漏洞的用户电脑只要开机就会很快被感染,不需要任何用户操作,并且被感染的受害主机还会对其他主机发起同样的攻击,所以传播速度极快。
3. 中了这个病毒会有什么危害?答:受害主机中招后,病毒就会在受害主机中植入勒索程序,硬盘中存储的文件将会被加密无法读取,勒索蠕虫病毒将要求受害者支付价值300/600美元的比特币才能解锁,而且越往后可能要求的赎金越多,不能按时支付赎金的系统会被销毁数据。
4. 这个病毒为什么影响这么严重?答:本次事件被认为是迄今为止影响面最大的勒索交费恶意活动事件,一旦受害主机存在被该病毒利用的漏洞,在连接网络的情况下,即使不做任何操作,病毒就会在受害主机中植入勒索程序,此外,由于其属于蠕虫病毒,具有自我复制、传播的特性,因此扩散速度极快。
据360统计,短短一天多的时间,病毒已经攻击了近百个国家的上千家企业和公共组织,包括至少1600家美国组织,11200家俄罗斯组织和28388个中国机构,全球超过10万家机构中招。
永恒之蓝原理永恒之蓝(EternalBlue)原理。
永恒之蓝(EternalBlue)是一种利用Windows操作系统漏洞的网络攻击工具,于2017年5月被“永恒之蓝”勒索软件攻击事件广泛使用,引起了全球范围内的关注。
它利用了Windows操作系统中的一个名为MS17-010的漏洞,使得攻击者可以在未经授权的情况下远程执行恶意代码,从而控制受感染的计算机。
本文将对永恒之蓝的原理进行详细介绍,以帮助读者更好地了解这一网络安全威胁。
永恒之蓝利用的是Windows操作系统中的SMB服务(Server Message Block)的漏洞。
SMB是一种用于在计算机之间共享文件、打印机和其他资源的网络通信协议,而MS17-010漏洞则存在于SMBv1协议的实现中。
攻击者可以利用这一漏洞发送特制的网络数据包,触发目标系统上的缓冲区溢出,从而在系统内存中执行恶意代码。
一旦攻击成功,攻击者就可以获得对受感染计算机的完全控制,进而实施各种恶意活动,如窃取敏感信息、加密文件勒索等。
永恒之蓝的原理可以分为以下几个关键步骤,首先,攻击者需要确定目标系统是否存在MS17-010漏洞,这可以通过扫描目标系统的网络端口来实现。
一旦确认目标系统存在漏洞,攻击者就可以利用特制的网络数据包向目标系统发送攻击代码。
接下来,目标系统收到恶意数据包后,由于漏洞的存在,会导致系统内存发生溢出,恶意代码被执行。
最终,攻击者就可以通过远程控制工具获得对目标系统的控制权,从而实施各种攻击行为。
针对永恒之蓝的威胁,微软公司在爆发勒索软件攻击事件后迅速发布了安全更新,修补了MS17-010漏洞。
因此,及时更新系统补丁是防范永恒之蓝攻击的有效方法。
此外,关闭不必要的网络服务、加强网络安全防护、限制外部访问等措施也可以有效减少受到永恒之蓝攻击的风险。
总之,永恒之蓝是一种利用Windows操作系统漏洞的网络攻击工具,其原理是利用SMB服务的漏洞实现远程执行恶意代码。
永恒之蓝原理随着互联网的普及和信息化的发展,网络安全问题越来越受到人们的关注。
近年来,网络攻击事件层出不穷,造成了极大的损失和影响。
而“永恒之蓝”作为近年来最为恶劣的网络攻击事件之一,更是引起了全球的广泛关注。
“永恒之蓝”是一种利用Windows操作系统漏洞进行攻击的病毒,其攻击方式极具隐蔽性和破坏性。
该病毒的攻击原理主要是利用NSA (美国国家安全局)泄露的Windows系统漏洞,通过网络传播并感染目标计算机,最终实现对目标系统的控制和攻击。
那么究竟是什么原理使得“永恒之蓝”攻击如此成功呢?其实,这与网络安全的基本原理有关。
在网络安全领域,有一个著名的三要素模型,即“机密性、完整性、可用性”模型。
这三个要素分别代表了信息安全的三个方面:保密性、完整性和可用性。
而“永恒之蓝”攻击正是利用了这三个方面的漏洞,实现了对目标系统的攻击和控制。
首先,机密性方面,是指信息在传输和存储过程中不被未授权的人员所知晓。
而“永恒之蓝”攻击正是针对Windows系统的机密性漏洞进行的。
该病毒通过利用Windows系统中的漏洞,实现了对目标系统的入侵和控制,从而窃取了目标系统中的敏感信息。
其次,完整性方面,是指信息在传输和存储过程中不被篡改或损坏。
然而,“永恒之蓝”攻击正是利用了Windows系统的完整性漏洞。
该病毒通过在目标系统中植入恶意代码,实现了对系统的控制和篡改,从而对系统的完整性造成了威胁。
最后,可用性方面,是指信息在传输和存储过程中能够被及时、可靠地获取和使用。
然而,“永恒之蓝”攻击正是利用了Windows系统的可用性漏洞。
该病毒通过在目标系统中植入恶意代码,占用了系统资源,从而造成了系统的崩溃和不可用。
综上所述,“永恒之蓝”攻击利用了Windows系统的机密性、完整性和可用性漏洞,实现了对目标系统的攻击和控制。
而解决这些漏洞,就需要采取有效的措施,提高网络安全的水平。
这包括加强系统漏洞的修补和补丁更新,提高网络安全意识和能力,加强网络安全监管和管理等方面。
