本文详细介绍了如何防范永恒之蓝勒索病毒,包括安装微软的安全补丁MS17-010,备份重要文件,关闭高风险端口445、135、137、138、139,并提供了关闭这些端口的步骤。同时,对于已经中招的用户,提供了360的查杀工具和卡巴斯基的文件解锁工具链接,以及可能的解密文件方法。
一、预防
1、为计算机安装最新的安全补丁,微软已发布补丁MS17-010修复了“永恒之蓝”攻击的系统漏洞,请尽快安装此安全补丁,网址为Microsoft 安全公告 MS17-010 - 严重 | Microsoft Docs。
2、及时备份,一定要离线备份重要文件
3、开启防火墙
4、关闭445、135、137、138、139端口,关闭网络共享。
(1)关闭445端口
WIN+R 运行--regedit
找到注册表项“HKEY_LOCAL_MACHINE\System\Controlset\Services\NetBT\Parameters”
选择“Parameters”项,右键单击,选择“新建”——“DWORD值”。(64位 32位根据自己需求)
将DWORD值重命名为“SMBDeviceEnabled”
修改"数值数据"的值为0,点击确定,完成设置
(2)关闭135端口
135端口:Microsoft在这个端口运行DCE RPC end-point mapper为它的DCOM服务。这与UNIX 111端口的功能很相似。使用DCOM和RPC的服务利用计算机上的end-point mapper注册它们的位置。远端客户连接到计算机时,它们查找end-point mapper找到服务的位置。
WIN+R 运行--dcomcnfg
在弹出的“组件服务”对话框中,选择“计算机”选项。
右键单击"我的电脑",选择"属性"
在"默认属性"选项卡中,去掉"在此计算机上启用分布式COM"前的勾。
选择"默认协议"选项卡,选中"面向连接的TCP/IP",单击"移除"按钮。
(3)关闭137、138、139端口
137、138端口:137、138是UDP端口,当通过网上邻居传输文件时用这个端口。而139端口:通过这个端口进入的连接试图获得NetBIOS/SMB服务
打开网络共享中心 -- 更改适配器设置
右键点击属性,把框起来的选项前面的勾去掉,然后卸载
双击Internet 协议版本 4 (TCP/IPv4)-- 高级--选择WIN
勾选禁用TCP/IP上的NetBIOS(S)
做完以上操作 重启即可关闭端口
锦佰安公司的防范445端口的命令脚本:http://www.secboot.com/445.zip
二、修复
如果中招 已经被勒索,建议360网址下载查杀工具:http://dl.360safe.com/nsa/nsatool.exe
到卡巴斯基下载文件解锁工具:https://noransom.kaspersky.com/
1、打开自己的那个勒索软件界面,点击copy. (复制黑客的比特币地址)
2、把copy粘贴到btc.com (区块链查询器)
3、在区块链查询器中找到黑客收款地址的交易记录,然后随意选择一个txid(交易哈希值)
4、把txid 复制粘贴给 勒索软件界面按钮connect us.
5、等黑客看到后 你再点击勒索软件上的check payment.
6、再点击decrypt 解密文件即可。
解锁软件:https://github.com/QuantumLiu/antiBTCHack
实际上并不是物理解密文件
扫一扫
1095
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
