扫一扫,访问微社区

QQ登录

只需一步,快速开始

查看: 5257|回复: 0

[Windows] Wana Decryptor2.0文件勒索病毒预防 加密文件恢复

[复制链接]
发表于 2017-5-15 15:12:58 | 显示全部楼层 |阅读模式

访客您好,登录后可看更多精彩内容!发帖、回复积分还可换实物奖品哦,还在犹豫什么,赶紧注册登录吧!

您需要 登录 才可以下载或查看,没有账号?立即注册

×
本帖最后由 bijiafeng 于 2017-5-15 15:49 编辑

    北京时间2017年5月12日晚,勒索软件"WannaCry"感染事件爆发,全球范围内99个国家遭到大规模网络攻击,被攻击者电脑中的文件被加密,被要求支付比特币以解密文件;众多行业受到影响,比如英国的NHS服务,导致至少40家医疗机构内网被攻陷,电脑被加密勒索;而我国众多行业也是如此,其中又以教育网最为显著,导致部分教学系统无法正常运行,相关学子毕业论文被加密等。截止到北京时间5月15日09点,目前事件趋势已经蔓延到更多行业,包含金融、能源、医疗、交通等行业均受到影响。
9.png

    今年414日黑客组织ShadowBrokers(影子经纪人)公布了Equation Group(方程式组织)使用的"网络军火",其中包含了一些Windows漏洞(微软编号为MS17-010)和利用工具,这些漏洞利用中,以Eternalblue(永恒之蓝)最为方便利用,并且网上出现的相关攻击脚本和利用教程也以该漏洞为主,而在414日后腾讯云安全团队监控捕获的多起Windows主机入侵事件均是以利用Eternalblue进行入侵;Eternalblue可以远程攻击Windows445端口,该端口主要用于基于SMB协议的文件共享和打印机共享服务。在以往捕获的利用Eternalblue进行入侵攻击的事件,黑客主要进行挖矿、DDoS等行为,而本次事件则是利用该漏洞进行勒索病毒的植入和传播。

预防

1.关闭漏洞端口,安装系统补丁
a) 可以采用一些免疫工具进行自动化的补丁安装和端口屏蔽,比如:
     360NSA武器库免疫工具:http://dl.360safe.com/nsa/nsatool.exe
     电脑管家勒索病毒免疫工具(下载地址:http://dlied6.qq.com/invc/xfspee ... oad/VulDetector.exe
b) 手动关闭端口,下载安装补丁,为确保补丁安装,请一定要手工安装补丁。
   i.  补丁下载地址:

   ii.  利用防火墙添加规则屏蔽端口

1.开始菜单-打开控制面板-选择Windows防火墙
1.png
2.如果防火墙没有开启,点击"启动或关闭 Windows防火墙"启用防火墙后点击" 确定"
2.png
3.点击" 高级设置",然后左侧点击"入站规则",再点击右侧" 新建规则"
3.png
4.png
4.在打开窗口选择选择要创建的规则类型为"端口",并点击下一步
5.png
5.在"特定本地端口"处填入445并点击"下一步",选择"阻止连接",然后一直下一步,并给规则随意命名后点击完成即可。
6.png
7.png
8.png
注:不同系统可能有些差异,不过操作类似

2. 备份数据,安装安全软件,开启防护

a) 对相关重要文件采用离线备份(即使用U盘等方式)等方式进行备份
b) 部分电脑带有系统还原功能,可以在未遭受攻击之前设置系统还原点,这样即使遭受攻击之后可以还原系统,找回被加密的原文件,不过还原点时间到遭受攻击期间的文件和设置将会丢失
c) 目前,大部分安全软件已经具有该勒索软件的防护能力或者其他免疫能力等,可以安装这些安全软件,如腾讯电脑管家,开启实时防护,避免遭受攻击
d) 对于个人用户,可以采用一些文件防护工具,进行文件的备份、防护,如电脑管家的文档守护者(电脑管家工具箱内可下载使用)

3. 建立灭活域名实现免疫

根据对已有样本分析,勒索软件存在触发机制,如果可以成功访问iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com,则电脑在中了勒索病毒后不会进行文件加密而直接退出。目前该域名已被安全人员注册,可以正常访问。

a) 普通用户在可以联网状态下,保证对该网址的可访问,则可以避免在遭受攻击后避免被加密(仅限于已知勒索病毒)
b) 企业用户可以通过在内网搭建Web Server,然后通过内网DNS的方式将域名解析到Web Server IP的方式来实现免疫;通过该域名的访问情况也可以监控内网病毒感染的情况

病毒清理

1.首先可以拔掉网线等方式隔离已遭受攻击电脑,避免感染其他机器

2. 病毒清理

相关安全软件(如电脑管家)的杀毒功能能直接查杀勒索软件,可以直接进行扫描清理(已隔离的机器可以通过U盘等方式下载离线包安装);

3. 也可以在备份了相关数据后直接进行系统重装,并在重装后参考"事前预防"进行预防操作

文件恢复

基于目前已知的情况,当前没有完美的文件恢复方案,可以通过以下的方式恢复部分文件:
1. 勒索软件带有恢复部分加密文件的功能,可以直接通过勒索软件恢复部分文件,不过该恢复有限;直接点击勒索软件界面上的"Decrypt"可弹出恢复窗口,显示可免费恢复的文件列表,然后点击"Start"即可恢复列表中文件
9.png
10.png

2. 根据对勒索病毒分析,勒索软件在加密文件后会删除源文件,所以通过数据恢复软件可以有一定概率恢复已被加密的部分文件,可以使用第三方数据恢复工具(下图以易我数据恢复向导为例)尝试数据恢复,云上用户请直接联系我们协助处理。
11.png
参考链接

1] 微软MS17-010漏洞公告及补丁下载 https://technet.microsoft.com/zh ... urity/ms17-010.aspx
[2] 微软Windows XP/2003补丁下载 http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
毕嘉峰电脑技术论坛-Bijiafeng.com:论技术分享我们更专业更精确!!
关闭

站长推荐 上一条 /1 下一条

9.9全场包邮
客服热线
暂缓开通 周一至周五:09:00 - 18:00
公司地址:北京市海淀区中关科技园
邮箱:root@bijiafeng.com

毕嘉峰电脑技术网始于2008年,由毕嘉峰创办并延续至今,在2012年进行线下转型于2013年正式上线运行。我们坚持初心不忘使命,努力为客户打造准确精准的解决方案,目前处于公益运行,如果你喜欢本站,希望给予赞助让我们做得更好更久,谢谢支持!。

Powered by Discuz!  X3.5 © 2008-2021 毕嘉峰电脑技术网   技术支持: 凡尘

申请友链|手机版|小黑屋|毕嘉峰电脑技术网 ( 京ICP备13033230号-2 )|赞助我们

GMT+8, 2024-11-23 17:29 , Processed in 0.052144 second(s), 29 queries .

快速回复 返回顶部 返回列表