实验环境
- 操作机:
Windows 7 64位
实验工具
360文件恢复工具
:可以对部分病毒加密过的软件进行恢复。
实验目的
- 学习检测系统是否存在此漏洞
- 掌握如何对此漏洞进行防御
- 学会如何对加密文件进行恢复
实验内容
WannaCry勒索病毒
北京时间5月12日晚20时左右,全球爆发了大规模蠕虫勒索病毒感染事件,多家组织遭到了一次严重的勒索攻击,短短几个小时,已经攻击了近百个国家,上万台电脑,并且攻击仍在继续蔓延。
此次WannaCry勒索病毒
是利用NSA永恒之蓝漏洞进行传播的,NSA永恒之蓝漏洞具体请参考i春秋官网:https://www.ichunqiu.com/course/58005
影响版本
包括Windows Vista
、Windows Server 2008
、Windows 7
、Windows Server 2008 R2
、Windows 8.1
、Windows Server 2012
、Windows 10
、Windows Server 2012 R2
、Windows Server 2016
漏洞危害
在被WannaCry
攻击后,最明显的症状就是电脑桌面背景被修改,文件被加密,并且弹出提示,需要向作者支付比特币才可以解锁加密软件。
注:在实验环境中,系统会提示重启,请选择稍后重新启动
,否则实验无法进行。
实验步骤
对于此漏洞的防御有如下两个方案:
1. 将端口加入防火墙规则,这样任何流量再经过端口时,会受到防火墙的拦截与提示,可以在cmd中输入如下命令:
netsh advfirewall set allprofiles state on //启动防火墙
//将对应端口加入防火墙
netsh advfirewall firewall add rule name=”deny udp 137 ” dir=in protocol=udp localport=137 action=block
netsh advfirewall firewall add rule name=”deny tcp 137″ dir=in protocol=tcp localport=137 action=block
netsh advfirewall firewall add rule name=”deny udp 138″ dir=in protocol=udp localport=138 action=block
netsh advfirewall firewall add rule name=”deny tcp 138″ dir=in protocol=tcp localport=138 action=block
netsh advfirewall firewall add rule name=”deny udp 139″ dir=in protocol=udp localport=139 action=block
netsh advfirewall firewall add rule name=”deny tcp 139″ dir=in protocol=tcp localport=139 action=block
netsh advfirewall firewall add rule name=”deny udp 445″ dir=in protocol=udp localport=445 action=block
netsh advfirewall firewall add rule name=”deny tcp 445″ dir=in protocol=tcp localport=445 action=block
pause
这样一来就可以在一定程度上成功对此蠕虫病毒进行防御。
2. 升级补丁,包括Windows XP等已经停止更新了的系统,微软也提供了紧急的补丁,具体情况如下:
可以在微软官网寻找对应版本的补丁进行下载 ,打上微软紧急提供的补丁,即使不关闭对应的端口,病毒也无法对系统造成破坏了。
文件恢复
首先我们在桌面打开360文件恢复工具,如图,点击开始扫描
:
点击后自动开始扫描,结果如下:
可以看到,已经扫描到了被加密的文档。
接下来依次选择需要解密的文件,点击恢复选中的文件
即可:
这里我选择恢复到了E盘:
可以看到,E盘已经恢复了部分文件。
注:恢复文件时,不要选择相同的磁盘进行恢复,一定要恢复到其他盘符或者移动硬盘,这样才可以正常的进行文件解密恢复。
实验结果分析与总结
本次实验我们学习了如何检测系统的安全性,掌握如何对此漏洞进行防御,并对加密文件进行恢复。因此在以后的使用中,要常对系统进行更新,关闭一些敏感端口,注意本地客户端的安全。
思考
请思考,除了文中所述你还有哪些方法对系统进行修复,并对文件进行恢复。