下载文档原格式
勒索病毒WannaCry解决办法
1、为计算机安装最新的安全补丁,微软已发布补丁MS17-010修复了“永恒之蓝”攻击的系统漏洞,请尽快安装此安全补丁,对于Windows XP、2003等微软已不再提供安全更新的机器,可以借助其它安全软件更新漏洞。
2、关闭445、135、137、138、139端口,关闭网络共享。
3、强化网络安全意识:不明链接不要点击,不明文件不要下载,不明邮件不要打开。
4、尽快(今后定期)备份自己电脑中的重要文件资料到移动硬盘、U盘,备份完后脱机保存该磁盘。
5、建议仍在使用Windows XP,Windows 2003操作系统的用户尽快升级到Window
7/Windows 10,或Windows 2008/2012/2016操作系统。
按下键盘的Windows键,打开控制面板
点击Windows防火墙
点击左边高级设置
点击左上角的入站规则
点击右边的新建规则
点击第二个选项→端口,点击下一步
选择TCP
在下方特定本地端口中输入135,445,点击下一步
选择第三个选项→阻止连接,点下一步,再点下一步
输入名称:比特币病毒防护,点击完成
重复一次3-10,在第7步时选择UDP
做完上面所有步骤后你会在入站规则的最上方看到两个新建的规则,这就表示完成了,保险起见,重启一下电脑。
排查指导
1.排查操作系统是否打上了MS17-010的补丁
在控制面板→程序→程序和功能→已安装更新里查看如果没有3月或者4月安装的补丁(如下图所示),如果没有则执行第2步;
2.排查windows机器高危端口135\445\3389是否打开,一般3389都会开放;
3.查看系统的登录日志是否存在频繁的尝试登录操作;
在cmd下运行eventvwr命令,选择windows日志下的安全
在短时间内有多次审核失败且任务类型为登录的记录,则说明可能存在尝试登录操作4.启动任务管理器,在进程标签中查看有没有可疑进程,比如存在包含”Wanna”字符串的进
程;对于无法确定的进程,可以截图后由专业人员进行分析;
5.全盘搜索有没有文件名包含“Wanna”的文件(模糊匹配),
6.在确认操作系统被勒索病毒感染后,请不要按照提示付款,建议备份操作系统
中关键资料文件,请联系微软及病毒软件厂家处理,提供给分析人员进行分析。
说明:勒索软件不同于普通的病毒软件,不会刻意隐藏自身,具有明显的特征,所以通过简单的
查看操作系统中的文件是否正常就可以判断是否感染勒索病毒.
缓解措施:
1、请不要随意点击打开来历不明的邮件附件和链接
2、尽快为操作系统打上最新补丁
3、对关键信息文件及时定期进行备份。
勒索病毒防护指引一、勒索病毒背景自2017年5月WannaCry(永恒之蓝勒索蠕虫)大规模爆发以来,勒索病毒已成为对政企机构和网民直接威胁最大的一类木马病毒。
大规模爆发的Globelmposter、GandCrab、Crysis等勒索病毒,攻击者更是将攻击的矛头对准企业服务器,并形成产业化;而且勒索病毒的质量和数量的不断攀升,已经成为政企机构面临的最大的网络威胁之一。
二、勒索病毒感染案例据某安全机构监测和评估显示:每天感染用户电脑的勒索病毒有10多种(家族),每天感染量高达10-15万台电脑,其中以漏洞为传播途径的勒索病毒占90%以上。
近期发生的一些勒索病毒感染事件再次对我们敲响了警钟。
案例一:某上市公司福建某上市公司服务器被勒索病毒Ransom/Bunnyde入侵,导致该企业核心的ERP(财务系统)数据库被加密,向病毒团伙支付了50万人民币赎金后,获得密钥恢复了数据。
该病毒是利用垃圾邮件和漏洞等方式传播,工程师调查发现,该企业服务器既没安装补丁程序,又没安装任何安全软件。
案例二:某知名高校某南方知名高校学生使用个人电脑连接学校网络时,被通过校园网主机系统漏洞进入的勒索病毒感染,包括毕业论文在内的所有文件被加密,该病毒提示需要支付近1万元人民币赎金。
该学生支付赎金后,病毒团伙并没有提供任何解密方式。
案例三:某服务提供商2019年11月9日拥有44万客户的网络托管提供商遭到勒索软件的攻击,这是今年的第三家大型网络托管提供商被勒索病毒网络犯罪团伙攻击,加密了客户服务器上的数据,该公司被勒索病毒攻击之后,客户电话被打爆而不得不中断客户电话热线,该公司网站在11月9日被迫关闭一整天。
三、勒索病毒的来源通过对云上用户的调查分析,大部分用户未按照最佳的安全使用方式来使用云服务器资源,主要问题有:关键账号存在弱口令或无认证机制服务器关键账号(root、administrator)密码简单或无密码。
数据库(Redis、MongoDB、MySQL、MSsql Server)等重要业务使用弱密码或无密码。
永恒之蓝全过程复现技术文档文档技术提供:Mr.LGH一、声明文档永恒之蓝复现,仅用于教学使用,请勿用于非法途径,若出现违法与教学提供者无关,用于非法途径,后果自负。
二、永恒之蓝简介永恒之蓝是指2017年4月14日晚,黑客团体Shadow Brokers(影子经济人)公布一大批网络攻击工具、期中包含永恒之蓝工具,“永恒之蓝”利用windows系统的SMB漏洞可以获取漏洞最高权限。
5月12日,不法份子通过改造“永恒之蓝”制作了wannacry勒索病毒,英国、俄罗斯、整个欧洲以及中国国内多个高兴内网、大型企业内网和政府机关中招,被勒索支付高额赎金才能恢复文件。
三、漏洞原理永恒之蓝是在window的SMB服务处理SMB v1请求时发生的漏洞,这个漏洞导致攻击者在目标系统上可以执行任意代码,通过永恒之蓝漏洞会扫描开放445文件共享端口的Windows机器,无需用户任何操作,只要开机上网,不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序。
四、SMB协议SMB(全称是Server Message Block)是一个协议服务器信息块,它是一种客户机/服务器、请求/响应协议,通过SMB协议可以在计算机间共享文件、打印机、命名管道等资源,电脑上的网上邻居就是靠SMB实现的;SMB协议工作在应用层和会话层,可以用在TCP/IP协议之上,SMB使用TCP139端口和TCP445端口。
五、漏洞防御1.禁用SMB1协议2.打开Windows Update,或手动安装补丁3.使用防火墙阻止445端口的连接,或者使用进/出站规则阻止445端口的连接4.不要随意打开陌生的文件,链接5.安装杀毒软件,及时更新病毒库6.暂时关闭Server服务。
六、实验环境1、系统:攻击机(Kali Linux)、Win7(受害机)2、工具:nmap、Metasploit、wcry(勒索病毒)3、网络设置,确保攻击机能与受害机进行通信七、漏洞复现1、检测受害机和端口情况,使用namp工具进行烧卖,检测目标主机是否存活、以及445端口开放情况。
