事件解读
2017年4月14日黑客组织 Shadow Brokers(影子经纪人)公布Equation Group(方程式组织)的文件中首次出现MS17-010漏洞,该漏洞是利用Windows的445端口的SMB服务进行攻击,该漏洞级别属于高危(远程溢出漏洞)。
2017年5月12日,全球爆发一种名为Ransom.CryptXXX ( WannaCry)的新型比特币勒索病毒家族的攻击。该勒索软件由爆发至今已在全球广泛传播,并影响大量企业用户,中国国内不少高校也遭到攻击。
该勒索软件截图如下:
勒索病毒被漏洞远程执行后,会从资源文件夹下释放一个压缩包,此压缩包会在内存中通过密码:Ncry@2ol7 解密并释放文件。该勒索软件会将系统内所有软件进行加密,需要用户缴纳不低于300美元的比特币才能解密。
这些文件包含了后续弹出勒索框的exe,桌面背景图片的bmp,包含各国语言的勒索字体,还有辅助攻击的两个exe文件。这些文件会释放到了本地目录,并设置为隐藏。勒索软件会将系统中的所有照片、图片、文档、压缩包、音频、视频、可执行程序等几乎所有类型的文件进行加密,且被加密的文件后缀名被统一修改为“.WNCRY”。
在不确认自己电脑是否已经安装最新windows补丁时的临时方案
- 检测与修复之前有必要做全面断网处理;如对外主机不确定是否已经感染,内网主机应做脱离工作。
- 断网的情况下做好重要数据的备份工作。
- 在其他安全的电脑下下载补丁等(见下文)
针对win7、win8、win10操作步骤
- 打开控制面板-系统与安全-Windows防火墙,点击左侧启动或关闭Windows防火墙。
- 选择入站规则
- 选择右边的新建规则
- 选择端口
- 选择TCP协议,本地特定端口输入445
- 选择阻止连接
- 选择所有规则
- 名称随便填写,然后选择启用
针对XP系统
首先打开防火墙
再点击开始-运行-输入cmd,然后依次输入以下几条命令
net stop rdr
net stop srv
net stop netbt
通用解决方案
微软官方补丁地址:https://support.microsoft.com/zh-cn/help/4012598/title(优先在线更新,如暂停支持请与支持列表中手动下载更新)
注意:在线更新需确认已经实施445端口过滤,手动更新请与安全网络环境下下载更新包,主机断网后执行更新补丁)
以上就是现有的几种常见预防措施了,大家还需在日常的工作学习中注意及时更新发布的补丁,并养成及时备份重要资料的好习惯,才不会让此类勒索病毒为所欲为。
如果你还有什么更好的方法,欢迎在评论区分享哦~
229
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
