针对WannaCrypt勒索病毒的讨论和技术文章是铺天盖地,大量的技术流派,安全厂家等纷纷献计献策,有安全厂家开发各种安全工具,对安全生态来说是一个好事,但对个人未必就是好事,我们国家很多用户是普通用户是安全小白,如果遭遇WannaCrypt勒索软件,我们该怎么办?是主动积极应对,还是被动等待被病毒感染,这完全取决于您个人选择,笔者战斗在病毒对抗的第一线,将一些经验跟大家分享,https://www.ichunqiu.com/course/58271?from=27希望能对您有所帮助!本文收集了windowsxp-windows2012所有的补丁程序以及360等安全公司的安全工具程序供大家下载
到互联网上乃至技术专家都认为WannaCrypt攻击源头来自于MS17-010漏洞,在现实中很多被感染网络是内网,mssecsvc.exe病毒文件大小只有3M多,其后续加密生成有多个文件,这些文件是从哪里来,内网是跟外网隔离的!笔者整理认为病毒感染是有条件的:
1.Windows7以上操作系统感染几率较高
2.在感染的网络上,如果系统开放了445端口,将被快速感染计算机。
3.内网补丁更新不及时
WannaCrypt勒索病毒被定义为蠕虫病毒,其传播速度非常快,一旦被感染,只有两种途径来解决,一种是支付赎金,另外一种就是重装系统,所有资料全部归零。通过笔者分析,如果是在病毒WannaCrypt发作前,能够成功清除病毒,将可以救回系统,减少损失!360也提供了一款勒索蠕虫病毒文件恢复工具RansomRecovery ,其下载地址:dl.360safe.com/recovery/RansomRecovery.exe主要针对勒索病毒成功感染后的恢复,越早恢复,文件被恢复的几率越高
二、 WannaCrypt勒索病毒原理分析
WannaCrypt勒索病毒原理分析笔者再次就不赘述了,详细情况请参阅WanaCrypt0r勒索蠕虫完全分析报告(bobao.360.cn/learning/detail/3853.html)。
笔者要想说的是病毒感染的三个时间段:
1.病毒感染初阶段,病毒从未知渠道进入网络,病毒开始攻击内网某台主机,对计算机存在漏洞计算机进行攻击,成功后释放mssecsvc.exe文件,并连接固定url(54.153.0.145): www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com;
a)如果连接成功,则退出程序
b)连接失败则继续攻击
2.病毒感染中阶段
接下来蠕虫开始判断参数个数,小于2时,进入安装流程;大于等于2时,进入服务流程
3.病毒感染后阶段,对磁盘文件进行加密处理,出现勒索软件界面。
笔者在实际病毒对抗过程中发现,加固是针对未感染的计算机有用,感染后的计算机加固也是无用的!!!!
在前面病毒运行阶段有两个小时的黄金时间,我想明天大家上班了,如果个人人走关机,则意味做网络是关闭的,计算机是安全的,这是时候第一时间是拔掉网线,然后再开启计算机!!如果网络中已经存在病毒了,那么应该以最快的速度来结束病毒,可以参考文章后面的结束病毒进程,然后是备份文件,最后加固!如果有条件可以利用linux启动盘启动系统,先备份文件,然后再做其他事情!整理了一下具体流程:
1.开机前拔掉网线,不使用网络。
2.若熟悉linux,可以刻盘启动计算机,使用U盘对文件进行备份。
3.使用本文提及的方法清理病毒。
4.使用安全优盘进行系统文件备份,如果没有优盘,则可以将
最低0.47元/天 解锁文章
225
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
