紧急防范勒索病毒,避免你的文件惨遭破坏!!


佚名 2017-05-15 00:00:30 上传:atao 浏览:1次

本月5月12日下午开始,Onion、WNCRY两类敲诈者病毒变种席卷全球。

近期国内多所院校出现ONION勒索软件感染情况,磁盘文件会被病毒加密为.onion后缀,该勒索软件运用了高强度的加密算法难以破解,被攻击者除了支付高额赎金外,往往没有其他办法解密文件,只有支付高额赎金才能解密恢复文件,对学习资料和个人数据造成严重损失。

u=780055561,3515699665&fm=170&s=5B8000C4C8C2355B040D5D9A0300D050&w=554&h=289&img.JPEG&access=215967316

u=1976786562,4101165544&fm=170&s=99604186DCFF288EF51DB0D903005091&w=640&h=591&img.JPEG&access=215967316

今年4月,NSA(美国国家安全局)的黑客武器库被泄漏公开,其中包括一个专门远程攻击Windows文件共享端口(445端口)的“永恒之蓝”黑客武器。

在之前就已经爆发的多次利用445端口进行蠕虫攻击的事件中,部分运营商在主干网络上已经封禁了445端口,但是教育网以及大量企业内网并没有此限制,而且并未及时安装补丁,仍然存在大量暴露445端口且存在漏洞的电脑,导致了这次“永恒之蓝”勒索蠕虫的泛滥。

业界资深安全专家表示,“隔离不等于安全,高校以及企业隔离的专网本身就是一个小规模的互联网,需要当作互联网来建设。”针对此次安全事件,强烈建议企业安全管理员在网络边界的防火墙上阻断445端口的访问,并升级设备的检测规则到最新版本,同时设置相应漏洞攻击的阻断,直到确认网络内的电脑已经安装了微软MS17-010补丁或关闭了Server服务。

对于Win7及以上版本的操作系统,目前微软已发布补丁MS17-010修复了“永恒之蓝”攻击的系统漏洞,请立即电脑安装此补丁。出于基于权限最小化的安全实践,建议用户关闭并非必需使用的Server服务。

对于WindowsXP、2003等微软已不再提供安全更新的机器,推荐使用360“NSA武器库免疫工具”检测系统是否存在漏洞,并关闭受到漏洞影响的端口,以避免遭到勒索蠕虫病毒的侵害。免疫工具下载地址:http://dl.360safe.com/nsa/nsatool.exe。这些老操作系统的机器建议加入淘汰替换队列,尽快进行升级。

应急处理方法

目前利用漏洞进行攻击传播的蠕虫开始泛滥,您可以在防火墙上阻断445端口的访问,直到确认网内的电脑已经安装了MS17-010补丁或关闭了Server服务。

检查系统是否开启Server服务:

1、打开开始按钮,点击运行,输入cmd,点击确定

2、输入命令:netstat-an回车

3、查看结果中是否还有445端口

u=2404878310,233842492&fm=170&s=48E68A42B3B497DE0271DC830100E081&w=639&h=405&img.JPEG&access=215967316

对于已感染的机器建议暂时隔离处理断网断电

解决方法

对于Win7及以上版本的操作系统,目前微软已发布补丁MS17-010修复了“永恒之蓝”攻击的系统漏洞,请立即电脑安装此补丁。出于基于权限最小化的安全实践,建议用户关闭并非必需使用的Server服务,操作方法见“应急处置方法”部分。对于WindowsXP、2003等微软已不再提供安全更新的机器,推荐使用360“NSA武器库免疫工具”检测系统是否存在漏洞,并关闭受到漏洞影响的端口,以避免遭到勒索蠕虫病毒的侵害。免疫工具下载地址:http://dl.360safe.com/nsa/nsatool.exe。这些老操作系统的机器建议加入淘汰替换队列,尽快进行升级。

重要的事情多说几遍!!

360NSA武器库免疫工具下载地址:http://dl.360safe.com/nsa/nsatool.exe

手动补丁下载(对于新手,推荐使用360NSA武器库免疫工具)

各系统补丁官方下载地址如下:

【KB4012212】:http://www.catalog.update.microsoft.com/Search.asp...

适用于Windows732位/64位/嵌入式、WindowsServer2008R232位/64位

【KB4012214】:http://catalog.update.microsoft.com/v7/site/Search...

适用于Windows8嵌入式、WindowsServer2012

【KB4012598】:http://www.catalog.update.microsoft.com/Search.asp...

适用于WindowsXP32位/64位/嵌入式、WindowsVista32/64位、WindowsServer2003SP232位/64位、Windows832位/64位、WindowsServer200832位/64位/安腾

【KB4012606】:http://www.catalog.update.microsoft.com/Search.asp...

适用于Windows10RTM32位/64位/LTSB

【KB4012213】:http://catalog.update.microsoft.com/v7/site/Search...

适用于Windows8.132位/64位、WindowsServer2012R232位/64位

【KB4013429】:http://www.catalog.update.microsoft.com/Search.asp...

适用于Windows101607周年更新版32/64位、WindowsServer201632/64位

【KB4013198】:http://www.catalog.update.microsoft.com/Search.asp...

适用于Windows101511十一月更新版32/64位



上午,小编曾推送文章,提醒大家注意迄今为止最大规模的勒索病毒网络攻击。多所高校发布关于连接校园网的电脑大面积中“勒索”病毒的消息,四川高校也有中招!详情戳这里,紧急提醒!勒索电脑病毒全球爆发,四川多所高校发出预警!

u=3243865478,3497149818&fm=170&s=787021C09BACAC4D725EB58E0300C093&w=600&h=450&img.JPEG&access=215967316

电脑被攻击界面

今日,国家网络与信息安全信息通报中心紧急通报:这种勒索病毒变!种!了!

监测发现,在全球范围内爆发的WannaCry 勒索病毒出现了变种:WannaCry 2.0,与之前版本的不同是,这个变种取消了Kill Switch,不能通过注册某个域名来关闭变种勒索病毒的传播,该变种传播速度可能会更快。

u=1824460774,3991355500&fm=170&s=2FF241878F83A10F1BBDB0A10300E091&w=640&h=360&img.JPEG&access=215967316

为避免周一上班后刚开机就被病毒感染,导致硬盘所有文件被恶意加密,成都市委网信办建议公众在周一开机前先断网,并按序开展以下病毒防护操作:

1.断网。拔下网线!

2.咨询本单位网络安全管理员,索取Windows补丁安装光盘。

3.开机。

4.使用光盘安装windows补丁。

5.用其他介质(光盘、U盘等)备份电脑里的重要文件。

6.确认445端口关闭。本机cmd窗口执行命令"netstat-ano | findstr "445"",回车后无任何返回。

7.确认光盘补丁已经安装完毕后,再联网检查更新打补丁。近日因微软补丁更新服务器访问流量过大,连接速度较慢,请耐心重试。

划重点了!详细攻略来了!蜀妹重要提醒!应该如何设置电脑,防范勒索病毒,大家follow me!

临时解决方案:

开启系统防火墙利用系统防火墙高级设置阻止向445端口进行连接(该操作会影响使用445端口的服务)打开系统自动更新,并检测更新进行安装360公司发布的“比特币勒索病毒”免疫工具下载地址:http://dl.360safe.com/nsa/nsatool.exe

Win7、Win8、Win10的处理流程

1、打开控制面板-系统与安全-Windows防火墙,点击左侧启动或关闭Windows防火墙

u=3068048548,4212427914&fm=170&s=CDC4CD1A9FE84109565DB8DB0000D0B1&w=554&h=242&img.JPEG&access=215967316

2、选择启动防火墙,并点击确定

u=1384817857,4074828076&fm=170&s=4DCAED13118F614D547DC1DA0000C0B3&w=554&h=469&img.JPEG&access=215967316

3、点击高级设置

u=1740709615,396897764&fm=170&s=8510EC32D5D941CA1659E4CF0000C0B2&w=554&h=315&img.JPEG&access=215967316

4、点击入站规则,新建规则

u=1572673466,3261879045&fm=170&s=6F50E01B4D2AFF204AF141CA010050B3&w=554&h=169&img.JPEG&access=215967316

5、选择端口,下一步

u=1600356121,1414078103&fm=170&s=449A74321DCA74490E5DC4DE000080B2&w=554&h=415&img.JPEG&access=215967316

6、特定本地端口,输入445,下一步

u=3155165569,2449091086&fm=170&s=041A7432198A644914FD45DE000080B2&w=554&h=415&img.JPEG&access=215967316

7、选择阻止连接,下一步

u=4072308483,1355505123&fm=170&s=00106432118EE14D4CFDD5DE0000A0B1&w=554&h=415&img.JPEG&access=215967316

8、配置文件,全选,下一步

u=1825481729,3425765822&fm=170&s=44106432198A744B5EDDC5DE000070B2&w=554&h=415&img.JPEG&access=215967316

9、名称,可以任意输入,完成即可。

u=955095946,545226750&fm=170&s=04106432533B642906D9D1DE0000E0B1&w=554&h=415&img.JPEG&access=215967316

XP系统的处理流程

1、依次打开控制面板,安全中心,Windows防火墙,选择启用

u=2018980896,2377002986&fm=170&s=4FD6489A508E55ED0458ACD80300D0B3&w=433&h=469&img.JPEG&access=215967316

2、点击开始,运行,输入cmd,确定执行下面三条命令

net stop rdrnet stop srvnet stop netbt

3、建议停止使用Windows XP、Windows 2003等微软已不再提供安全更新的操作系统,请尽快升级到高版本系统。

附参考链接:https://blogs.technet.microsoft.com/msrc/2017/04/14/protecting-customers-and-evaluating-risk/?from=timeline&isappinstalled=0(微软发布的官方安全公告)https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/(微软发布已停服务的XP和部分服务器版特别补丁)

另外小编还有提醒:

高校、生活服务机构网络易受攻击个人用户相对安全

根据360威胁情报中心发布的最新WannaCrypt(永恒之蓝)勒索蠕虫态势显示,国内已经有29372家机构组织的数十万台机器感染WannaCrypt(永恒之蓝),被感染的组织和机构已经覆盖了几乎所有地区,影响范围遍布高校、火车站、自助终端、邮政、加油站、医院、政府办事终端等多个领域,被感染的电脑数字还在不断增长中。

u=205901418,1981948516&fm=170&s=B11A4F32DB1744CA526184C80200B0B3&w=500&h=500&img.JPEG&access=215967316

病毒攻击流程图

从行业分布来看,教育科研机构成为最大的重灾区。共有4316个教育机构IP被发现感染永恒之蓝勒索蠕虫,占比为14.7%;其次是生活服务类机构,3302个,占比11.2%;商业中心(办公楼、写字楼、购物中心等)3014个,占比10.3%,交通运输2686个,占比9.1%。另有1053个政府、事业单位及社会团体,706个医疗卫生机构、422个企业,以及85个宗教设施的IP都被发现感染了永恒之蓝勒索蠕虫。

u=2650836882,1597695370&fm=170&s=4010399A198E44CA186CA4D3010050B3&w=636&h=458&img.JPEG&access=215967316

u=3884938355,3782699738&fm=170&s=4010389A022E42A968EDA8D1030010A3&w=612&h=443&img.JPEG&access=215967316

u=2012957120,1099896740&fm=170&s=E110109B138F40E88ED4E1DC0100C0B3&w=640&h=598&img.JPEG&access=215967316

四川多所高校官微发布提示消息防范病毒入侵

金山安全专家李铁军告诉记者,相对于互联网企业,教育机构对网络系统的综合管理水平普遍较低,缺乏专职安全管理人员,加之盗版软件普遍,教育机构成为此次病毒攻击的“重灾区”。“只要网络中一台有安全漏洞的电脑中毒,整个局域网有漏洞的电脑都会被入侵。那些与外界互动频繁的企业,如果电脑不及时打补丁,被勒索病毒入侵只是时间问题。”

不过他认为,普通家庭用户并不用过分担心,因为家庭用户的网络并没有服务器,并且家庭用户使用的路由器会隔绝外界的访问,“只要及时更新系统补丁,电脑基本上没有被入侵的可能。”

病毒的攻击高峰期至少还有一周

目前,“永恒之蓝”传播的勒索病毒以ONION和WNCRY两个家族为主,受害机器的磁盘文件会被篡改为相应的后缀,图片、文档、视频、压缩包等各类资料都无法正常打开,只有支付赎金才能解密恢复。这两类勒索病毒,勒索金额分别是5个比特币和300美元,折合人民币分别为5万多元和2000多元。

u=3959828671,3157766741&fm=170&s=8850EA02659AB7CC5CEC340E0000E0C2&w=640&h=526&img.JPEG&access=215967316

目前受到病毒攻击的国家

郑文彬坦言,目前对于这种病毒还没有什么出现完美的解决办法。“如果资料实在特别重要,按照勒索病毒的要求交钱也是挽回文件的方式之一。”

虽然目前已经不少电脑中毒,但郑文彬预计病毒在国内的爆发仍将继续,未来一周仍然是企业办公电脑的“危险期”。“周一又会有很多办公电脑重新开工,估计又会出现一轮爆发的情况,但是未来随着大家都开始给电脑打补丁、用工具杀毒,这种病毒的影响会逐步减弱。”


标签: 病毒  计算机  安全  
声明:文章内容由作者原创或整理,未经允许,不得转载! 评论(0) 最后修改于
发布新评论