"永恒之蓝"勒索病毒凶猛 周一上班请用正确姿势打开电脑

"永恒之蓝"勒索病毒凶猛 周一上班请用正确姿势打开电脑




一、概述

上个周末,对于网络安全圈来说可以用“血雨腥风”来形容。北京时间5月12日开始,全球范围内爆发了基于Windows网络共享协议进行攻击传播的“永恒之蓝”勒索病毒。截止发稿时为止,包括美国、俄罗斯以及整个欧洲在内的100多个国家,及国内众多大型企事业单位内网和*机构专网中招,电脑磁盘上的文件被加密,用户被勒索支付高额赎金才能解密恢复文件。由于病毒使用的是高强度的RSA和AES加密算法,目前还无法破解。换句话说,用户一旦中招,基本无解。


鉴于病毒还在全面传播,如暂时无法进行系统处置,内网用户应尽量先断网关机,等候使用离线工具处理。根据实际情况配置指南的版本会动态持续更新。


经分析,判定该勒索软件是一个名称为“WannaCry”的新家族。该勒索软件迅速感染全球大量主机的原因是利用了基于445端口传播扩散的SMB漏洞MS17-010,微软在今年3月份发布了该漏洞的补丁。2017年4月14日黑客组织Shadow Brokers(影子经纪人)公布的Equation Group(方程式组织)使用的“网络军火”中包含了该漏洞的利用程序,而该勒索软件的攻击者或攻击组织在借鉴了该“网络军火”后进行了这次全球性的大规模攻击事件。


二、开机防护操作指南

关于尚未感染的用户群体的详细防护步骤如下:

1)关闭网络,开启系统防火墙;

2)利用系统防火墙高级设置阻止向445端口进行连接(该操作会影响使用445端口的服务)及网络共享;

3)打开网络,开启系统自动更新,并检测更新进行安装;


2.1 Win7、Win8、Win10操作指南:

1)关闭网络:拔下网线,关闭无线路由器,已开机PC可关闭本机无线网卡,或禁用网络连接。


"永恒之蓝"勒索病毒凶猛 周一上班请用正确姿势打开电脑


2)打开控制面板-系统与安全-Windows防火墙,点击左侧启动或关闭Windows防火墙


"永恒之蓝"勒索病毒凶猛 周一上班请用正确姿势打开电脑


3)选择启动防火墙,并点击确定


"永恒之蓝"勒索病毒凶猛 周一上班请用正确姿势打开电脑


4)点击高级设置


"永恒之蓝"勒索病毒凶猛 周一上班请用正确姿势打开电脑


5)点击入站规则,新建规则,以445端口为例


"永恒之蓝"勒索病毒凶猛 周一上班请用正确姿势打开电脑


6)选择端口、下一步


"永恒之蓝"勒索病毒凶猛 周一上班请用正确姿势打开电脑


7)选择特定本地端口,输入445,下一步


"永恒之蓝"勒索病毒凶猛 周一上班请用正确姿势打开电脑


8)选择阻止连接,下一步


"永恒之蓝"勒索病毒凶猛 周一上班请用正确姿势打开电脑


9)配置文件,全选,下一步

"永恒之蓝"勒索病毒凶猛 周一上班请用正确姿势打开电脑


10) 名称,可以任意输入,完成即可。

"永恒之蓝"勒索病毒凶猛 周一上班请用正确姿势打开电脑


11) 插入网线,启用网卡,恢复网络。


"永恒之蓝"勒索病毒凶猛 周一上班请用正确姿势打开电脑

12) 开启系统自动更新,并检测更新进行安装


"永恒之蓝"勒索病毒凶猛 周一上班请用正确姿势打开电脑


注:在系统更新完成后,如果业务需要使用SMB服务,将上面设置的防火墙入站规则删除即可。


"永恒之蓝"勒索病毒凶猛 周一上班请用正确姿势打开电脑


2.2XP系统操作流程

1、依次打开控制面板,安全中心,Windows防火墙,选择启用

"永恒之蓝"勒索病毒凶猛 周一上班请用正确姿势打开电脑


2、通过注册表关闭445端口,单击“开始”——“运行”,输入“regedit”,单击“确定”按钮,打开注册表。

"永恒之蓝"勒索病毒凶猛 周一上班请用正确姿势打开电脑


3、找到HKEY_LOCAL_MACHINE\System\Controlset\Services\NetBT\Parameters,选择“Parameters”项,右键单击,选择“新建”——“DWORD值”。

"永恒之蓝"勒索病毒凶猛 周一上班请用正确姿势打开电脑


4、将DWORD值命名为“SMBDeviceEnabled”,值修改为0。

"永恒之蓝"勒索病毒凶猛 周一上班请用正确姿势打开电脑


5、重启机器,查看445端口连接已经没有了。

"永恒之蓝"勒索病毒凶猛 周一上班请用正确姿势打开电脑


6、鉴于本次WannaCry蠕虫事件的影响巨大,微软总部决定对已停服的XP和部分服务器版本发布特别补丁,微软公告详情 https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/。

被感染的用户补救方案

1)首先拔掉网线,与内网其他机器隔离;

2)参考“二、开机防护操作指南”操作免疫;

3)使用蠕虫勒索软件专杀工具(WannaCry)清除病毒;

4)使用PE盘进入操作系统,将可用文件进行备份,并对备份数据进行离线处理;

5)如果重装系统,重装后重复2)、3)步骤,并参考做好防护工作。






本文来自合作伙伴“阿里聚安全”,发表于2017年05月15日 .
上一篇:ECMAScript 双月报告:TC39 11月会议提案进度汇总


下一篇:《树莓派渗透测试实战》——2.11 安装Stunnel客户端