想哭(WannaCry)勒索病毒的用户防护和处置指南
北京时间2017年5月12日晚,勒索软件"WannaCry"感染事件爆发,全球范围内99个国家遭到大规模网络攻击,被攻击者电脑中的文件被加密,被要求支付比特币以解密文件;众多行业受到影响,比如英国的NHS服务,导致至少40家医疗机构内网被攻陷,电脑被加密勒索;而我国众多行业的也是如此,其中又以教育网最为显著,导致部分教学系统无法正常运行,相关学子毕业论文被加密等。截止到北京时间5月15日09点,目前事件趋势已经蔓延到更多行业,包含金融、能源、医疗、交通等行业均受到影响。
今年4月14日黑客组织Shadow Brokers(影子经纪人)公布了Equation Group(方程式组织)使用的"网络军火",其中包含了一些Windows漏洞(微软编号为MS17-010)和利用工具,这些漏洞利用中以Eternalblue(永恒之蓝)最为方便利用,并且网上出现的相关攻击脚本和利用教程也以该漏洞为主,而在4月14日后我们监控捕获的多起Windows主机入侵事件均是以利用Eternalblue进行入侵;Eternalblue可以远程攻击Windows的445端口,该端口主要用于基于SMB协议的文件共享和打印机共享服务。在以往捕获的利用Eternalblue进行入侵攻击的事件,黑客主要进行挖矿、DDoS等行为,而本次事件则是利用该漏洞进行勒索病毒的植入和传播。
本次事件影响范围广泛,腾讯安全云鼎实验室发布本处理指南意在指导云上用户在遭受攻击前后进行相关处理,个人用户也可参考部分章节。
二、事前预防
1、关闭漏洞端口,安装系统补丁
可以采用一些免疫工具进行自动化的补丁安装和端口屏蔽,比如电脑管家勒索病毒免疫工具(下载地址)
手动关闭端口,下载安装补丁,为确保补丁安装,请一定要手工安装补丁(补丁下载地址)。
利用防火墙添加规则屏蔽端口
开始菜单-打开控制面板-选择Windows防火墙
如果防火墙没有开启,点击"启动或关闭 Windows防火墙"启用防火墙后点击" 确定"
点击" 高级设置",然后左侧点击"入站规则",再点击右侧" 新建规则"
在打开窗口选择选择要创建的规则类型为"端口",并点击下一步
在"特定本地端口"处填入445并点击"下一步",选择"阻止连接",然后一直下一步,并给规则随意命名后点击完成即可。
注:不同系统可能有些差异,不过操作类似
腾讯云机器也可以通过配置安全组规则屏蔽445端口。
选择需要操作机器所属的安全组,点击"编辑规则"
直接点击快捷配置按钮"封堵安全漏洞"就可以自动添加规则
该快捷按钮将会添加"137、139、445"三个端口的屏蔽规则,如果只想添加本次所影响的445端口,可以在保存前进行调整(如非业务需要,不建议调整)
2、备份数据,安装安全软件,开启防护
对相关重要文件采用离线备份(即使用U盘等方式)等方式进行备份
部分电脑带有系统还原功能,可以在未遭受攻击之前设置系统还原点,这样即使遭受攻击之后可以还原系统,找回被加密的原文件,不过还原点时间到遭受攻击期间的文件和设置将会丢失
目前,大部分安全软件已经具有该勒索软件的防护能力或者其他免疫能力等,可以安装这些安全软件,如腾讯电脑管家,开启实时防护,避免遭受攻击
对于个人用户,可以采用一些文件防护工具,进行文件的备份、防护,如电脑管家的文档守护者(电脑管家工具箱内可下载使用)
3、建立灭活域名实现免疫
根据对已有样本分析,勒索软件存在触发机制,如果可以成功访问iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com,则电脑在中了勒索病毒后不会进行文件加密而直接退出。目前该域名已被安全人员注册,可以正常访问。
普通用户在可以联网状态下,保证对该网址的可访问,则可以避免在遭受攻击后避免被加密(仅限于已知勒索病毒)
企业用户可以通过在内网搭建Web Server,然后通过内网DNS的方式将域名解析到Web Server IP的方式来实现免疫;通过该域名的访问情况也可以监控内网病毒感染的情况
三、事后病毒清理
首先可以拔掉网线等方式隔离已遭受攻击电脑,避免感染其他机器
病毒清理
相关安全软件(如电脑管家)的杀毒功能能直接查杀勒索软件,可以直接进行扫描清理(已隔离的机器可以通过U盘等方式下载离线包安装);
也可以在备份了相关数据后直接进行系统重装,并在重装后参考"事前预防"进行预防操作
四、事后文件恢复
基于目前已知的情况,当前没有完美的文件恢复方案,可以通过以下的方式恢复部分文件:
勒索软件带有恢复部分加密文件的功能,可以直接通过勒索软件恢复部分文件,不过该恢复有限;直接点击勒索软件界面上的"Decrypt"可弹出恢复窗口,显示可免费恢复的文件列表,然后点击"Start"即可恢复列表中文件
根据对勒索病毒分析,勒索软件在加密文件后会删除源文件,所以通过数据恢复软件可以有一定概率恢复已被加密的部分文件,可以使用第三方数据恢复工具尝试数据恢复,云上用户请直接联系我们协助处理。
原文发布时间为:2017年5月14日 本文作者:云鼎实验室 本文来自云栖社区合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。 原文链接如何预防勒索病毒? 一、 什么是勒索病毒2017年5月12日,一种名为“wanna cry”的勒索病毒袭击全球150多个国家和地区,影响领域包括政府部门、医疗服务、公共交通、邮政、通信和汽车制造业。其中Windows系统受创最重。
相关文章
- C# -- HttpWebRequest 和 HttpWebResponse 的使用 C#编写扫雷游戏 使用IIS调试ASP.NET网站程序 WCF入门教程 ASP.Net Core开发(踩坑)指南 ASP.Net Core Razor+AdminLTE 小试牛刀 webservice创建、部署和调用 .net接收post请求并把数据转为字典格式
- 《Spring Boot官方指南》28.安全
- Bitbucket 版本控制入门指南
- Netty 5用户指南(二)
- 《CUDA高性能并行计算》----0.8 用户指南
- 《Ansible权威指南 》一3.4 Ad-Hoc用户与组管理
- 《Python数据科学实践指南》一 第2章 Python基础知识
- Spring Tool Suite 4下载安装用户指南
- Ubuntu 20.04-Pytorch-GPU系统环境搭建指南
- 《树莓派用户指南(第3版)》——第1章 初识树莓派
- 《树莓派用户指南(第3版)》——1.1 主板简介
- 《树莓派用户指南(第3版)》——2.1 连接显示器
- 《树莓派用户指南(第3版)》——2.5 连接外部存储设备
- 《树莓派用户指南(第3版)》——2.7 连接电源
- 《Windows PowerShell实战指南(第2版)》——1.7 赶紧使用PowerShell吧
- 《C语言编程——零基础初学者指南(第3版)》一2.2 main()函数
- 《妥协的完美主义:优秀产品经理的实践指南(卷二)》一1.3 用户研究越来越被强调
- 《妥协的完美主义—优秀产品经理的实践指南(卷一)》一2.4 分工常见的错误
- 《SQL初学者指南(第2版)》——1.1 SQL是什么
- 《UML用户指南(第2版.修订版)》—第2章2.3节体系结构
- 《UML用户指南(第2版.修订版)》—第2章2.4节软件开发生命周期
- 《树莓派用户指南(第3版)》——1.2 Model A
- 《树莓派用户指南(第3版)》——2.8 安装操作系统
- 《iOS应用开发指南——使用HTML5、CSS3和JavaScript》——2.3 下载和安装NimbleKit
- 《逆向工程权威指南》—第3章3.2节x86-64
- 《低功耗蓝牙开发权威指南》——2.8节模块化架构
- 《Arduino开发实战指南:机器人卷》一2.6 串口通信函数
- Oracle初学者入门指南-什么是 Metalink 或 MOS ?
- Java_并发工具包 java.util.concurrent 用户指南(转)
- 【深度学习环境搭建】Pytorch-GPU1.7.1 和 TensorFlow-GPU1.14.0 安装指南(基于windows10)
- 【正点原子STM32连载】第六章 新建寄存器版本MDK工程 摘自【正点原子】MiniPro STM32H750 开发指南_V1.1
- 【正点原子MP157连载】第十四章 串口通信实验-摘自【正点原子】STM32MP1 M4裸机CubeIDE开发指南
- 【正点原子MP157连载】 第十一章 触摸按键控制LED灯实验【正点原子】STM32MP1嵌入式Linux驱动开发指南V1.7
- 【正点原子FPGA连载】第四十三章MT9V034摄像头RGB-LCD显示实验 -摘自【正点原子】新起点之FPGA开发指南_V2.1
- 【正点原子FPGA连载】第二十九章频率计实验 -摘自【正点原子】新起点之FPGA开发指南_V2.1
- 机试指南
- Gradle 1.12用户指南翻译——第三十二章. JDepend 插件
- 手把手系列--华邦W25Q128JV Flash操作指南