ITGeeker技术奇客

2017比特币勒索病毒: WannaCry(想哭)

itgeeker

先来看一下中毒后的截图吧,似乎还挺有服务意识,考虑挺周到,但是当事人真的会WannaCry. 除了杀毒软件的网站,这会儿云端存储的网站也会是流量大增吧。只有当痛苦发生了,大家才会想起来云端同步的重要性。

本轮敲诈者蠕虫病毒传播主要包括 Onion、WNCRY 两大家族变种,本次感染事件首先在英国、俄罗斯等多个国家爆发,新闻报道有多家企业、医疗机构的系统中招,损失非常惨重。安全机构全球监测已经发现目前多达上百个国家遭遇本次敲诈者蠕虫攻击。从 5 月 12 日开始,国内的感染传播量也开始急剧增加,在多个高校和企业内部集中爆发并且愈演愈烈。

WNCRY 变种一般勒索价值 300~600 美金的比特币,而 onion 变种甚至要求用户支付 3 个比特币,以目前的比特币行情,折合人民币在 3 万左右。此类病毒一般使用 RSA 等非对称算法,没有私钥就无法解密文件。WNCRY 敲诈者病毒要求用户在 3 天内付款,否则解密费用翻倍,并且一周内未付款将删除密钥导致无法恢复。

病毒原理

病毒一旦被不知情的用户点击并激活后,可以通过用户所在的局域网自动传播,使用的是445 端口 (用于文件共享) 在内网进行蠕虫式感染传播。

本次感染急剧爆发的主要原因在于其传播过程中使用了前段时间泄漏的美国国家安全局 (NSA) 黑客工具包中的“永恒之蓝”漏洞 (微软 3 月份已经发布补丁,漏洞编号:MS17-010)。和历史上的“震荡波”、“冲击波”等大规模蠕虫感染类似,本次传播攻击利用的“永恒之蓝”漏洞可以通过 445 端口直接远程攻击目标主机,传播感染速度非常快。

如何预防 – 可防不可解

  • 关闭Windows的SMB/CIFS文件共享功能,关闭用户共享和 445 端口。
  • 谨慎打开不明邮件文档,禁用 office 宏,钓鱼邮件是勒索病毒传播的一个重要渠道。
  • 启动Windows系统自动更新服务或安装微软官方补丁NSA 泄漏漏洞的安全补丁:https://technet.microsoft.com/zh-cn/library/security/MS17-010
  • 尽快开通云端文件存储,并要有历史文件恢复功能。

不要付钱的方法 – 文件救回

如果你使用了Onedrive, Dropbox或者是Google Drive,您可以在线登陆Web云端,使用历史版本(History Version)或类似的功能,恢复到没有被感染前的文件。这也是晚上流传的不要付钱的回复办法。

如果是小企业,不想使用这些公开云,可以联系ITGeeker技术奇客,帮助你建立属于公司的私有云文件存储。

检测和杀掉勒索病毒-永恒之蓝

  1. 腾讯电脑管家免疫补丁:https://guanjia.qq.com/wannacry/
  2. 360官网页面:http://special.btime.com/37h7sasi85f95tpt54acpcir37b.shtml
  3. 360免疫工具下载地址:NSA武器库免疫工具: http://dl.360safe.com/nsa/nsatool.exe
  4. ESET Online Scanner
  5. Windows系统补丁下载地址
    Windows XP(32位系统)补丁:http://url.cn/499Z92O
    Windows7(32位系统)补丁:http://url.cn/499TgUP
    Windows7(64位系统)补丁:http://url.cn/499QOql
    Windows8(32位系统)补丁:http://url.cn/499UfBn
    Windows8(64位系统)补丁:http://url.cn/499XgR5
    Windows8.1(32位系统)补丁:http://url.cn/499XgSg
    Windows8.1(64位系统)补丁:http://url.cn/499XgSm
    Windows8 Vista(32位系统)补丁: http://url.cn/499TgW8
    Windows8 Vista(64位系统)补丁: http://url.cn/499RJx3
    其它操作系统请访问:http://url.cn/492HwRJ,选取相应补丁版本下载
    如果您不确认自己的操作系统,请使用电脑管家敲诈者病毒免疫工具离线版(链接http://url.cn/496kcwV)

应急脚本.bat

rem 关闭智能卡服务        
net stop SCardSvr        
net stop SCPolicySvc        
sc config SCardSvr start=disabled        
sc config SCPolicySvc start=disabled        
rem 开启服务        
net start MpsSvc        
rem 开机启动        
sc config MpsSvc start=auto        
rem 启用防火墙        
netsh advfirewall set allprofiles state on        
rem 屏蔽端口

netsh advfirewall firewall add rule name=”deny udp 137 ” dir=in protocol=udp localport=137 action=block

netsh advfirewall firewall add rule name=”deny tcp 137″ dir=in protocol=tcp localport=137 action=block        
netsh advfirewall firewall add rule name=”deny udp 138″ dir=in protocol=udp localport=138 action=block        
netsh advfirewall firewall add rule name=”deny tcp 138″ dir=in protocol=tcp localport=138 action=block        
netsh advfirewall firewall add rule name=”deny udp 139″ dir=in protocol=udp localport=139 action=block

netsh advfirewall firewall add rule name=”deny tcp 139″ dir=in protocol=tcp localport=139 action=block

netsh advfirewall firewall add rule name=”deny udp 445″ dir=in protocol=udp localport=445 action=block        
netsh advfirewall firewall add rule name=”deny tcp 445″ dir=in protocol=tcp localport=445 action=block        
pause

 

评论

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据

奇客罗方公众号 奇客罗方小程序 奇客罗方客服 ITGeeker Telegram

网站由ITGeeker技术奇客开发并管理;隶属于GeekerCloud奇客罗方智能科技
Site designed and developed by ITGeekerwhich is a sub-website of GeekerCloud
网站地图 | 沪ICP备2021031434号-4