最新勒索软件WannaCrypt病毒感染前清除处理及加固

简介:

       昨天、今天、乃至最近一段时间,安全圈甚至全中国将聚焦在勒索病毒“WannaCrypt”,很多人都以为安全离我很远,其实不然,过去病毒可能仅仅是在线攻击,而今天出现的“WannaCrypt”勒索病毒达到一定条件后,将感染内网,注意是内网!当然外网也是感染对象,目前国内很多高校、政府、企业和个人均出现了大面积的感染。很多安全公司将其定义为“蠕虫”病毒,其危害相当巨大,一旦被感染,只有两种途径来解决,一种是支付赎金,另外一种就是重装系统,所有资料全部归零。通过笔者分析,如果是在病毒WannaCrypt发作前,能够成功清除病毒,将可以救回系统,减少损失!

  记住在病毒发作的两个小时内清除病毒效果最佳,错过以后,及时关机,病毒也会继续计算时间!也就是说最佳处理时间是病毒感染的两个小时内!

一、最重要的事情

   先进行本文的第三部分,对系统进行查看有无病毒,如果有则可以参考以下步骤:

1.第一时间彻底清除病毒。

2.拔掉网线,防止再次被感染!

3.使用安全优盘进行系统文件备份,如果没有优盘,则可以将需要备份的文件先行压缩为rar文件,然后再修改为.exe文件。

4.WannaCrypt目前不对exe文件进行加密,文件处理好以后再进行加固!

二、病毒原始文件分析

   1.文件名称及大小

本次捕获到病毒样本文件三个,mssecsvc.exeqeriuwjhrftasksche.exe,如图1所示,根据其md5校验值,tasksche.exeqeriuwjhrf文件大小为3432KBmssecsvc.exe大小为3636KB

2.md5校验值

使用md5计算工具对以上三个文件进行md5值计算,其md5校验值分别如下:

tasksche.exe  8b2d830d0cf3ad16a547d5b23eca2c6e

mssecsvc.exe  854455f59776dc27d4934d8979fa7e86

qeriuwjhrf:  8b2d830d0cf3ad16a547d5b23eca2c6e

wKioL1kYE-rgaXtpAAGZZtLdbGU824.jpg-wh_50

勒索软件病毒基本情况

3.查看病毒文件

1)系统目录查看

文件一般位于系统盘下的windows目录,例如c:\windows\,通过命令提示符进入:

cd c:\windows\

dir /od /a *.exe

   2)全盘查找

dir /od /s tasksche.exe

dir /od /s mssecsvc.exe

4.病毒现象

1)通过netstat –an命令查看网络连接,会发现网络不停的对外发送SYN_SENT包,如图2所示。

wKiom1kYE-uSmklrAAKNU_2xN6w131.jpg-wh_50

2对外不断的发送445连接包

2)病毒服务

   通过Autoruns安全分析工具,可以看到在服务中存在“fmssecsvc2.0”服务名称,该文件的时间戳为2010112017:03分。

wKioL1kYE-zC7WKbAAQxfeJGroU472.jpg-wh_50

三、杀毒方法

   1.设置查看文件选项

由于病毒设置了隐藏属性,正常情况下无法查看该文件,需要对文件查看进行设置,即在资源管理器中单击“工具”-“文件夹选项”,如图4所示。

wKiom1kYE-2Q6GAHAADiOeNywUA943.jpg-wh_50

打开文件夹选项设置

去掉“隐藏受保护的操作系统文件(推荐)”、选择“显示隐藏的文件、文件夹和驱动器”、去掉“隐藏已知文件类型的扩展名”,如图5所示,即可查看在windows目录下的病毒隐藏文件。

wKioL1kYE-3CydilAADOb6hXHYw672.jpg-wh_50

5文件夹查看选项设置

2.结束进程

   通过任务管理器,在任务栏上右键单击选择“启动任务管理器”,从进程中去查找mssecsvc.exetasksche.exe文件,选中mssecsvc.exetasksche.exe,右键单击选择“结束进程树”将病毒程序结束,又可能会反复启动,结束动作要快。

3.删除程序

windows目录将三个文件按照时间排序,一般会显示今天或者比较新的时期,将其删除,如果进程结束后,又启动可来回删除和结束。直到将这三个文件删除为止,有可能到写本文章的时候,已经有病毒变体,但方法相同,删除新生成的文件。

4.再次查看网络

使用netstat –an命令再次查看网络连接情况,无对外连接情况,一切恢复正常。

可以使用安全计算机下载安全工具Autoruns以及ProcessExplorer,通过光盘刻录软件,到感染病毒计算机中进行清除病毒!软件下载地址:

https://download.sysinternals.com/files/Autoruns.zip

https://download.sysinternals.com/files/ProcessExplorer.zip

注意,本文所指清除病毒是指勒索软件还未对系统软件进行加密!如果在桌面出现黄色小图标,桌面背景有红色英文字体显示(桌面有窗口弹出带锁图片,Wana Decryptor2.0),这表明系统已经被感染了。

四、安全加固

1.关闭445端口

1)手工关闭

在命令提示符下输入“regedit”,依次打开“HKEY_LOCAL_MACHINE-System-Controlset”“Services-NetBT-Parameters”,在其中选择“新建”——“DWORD值”,将DWORD值命名为“SMBDeviceEnabled”,并通过修改其值设置为“0”,如图6所示,需要特别注意一定不要将SMBDeviceEnabled写错了!否则没有效果!

wKioL1kYE-7i4TaOAADiPZ9lcMo666.jpg-wh_50

6注册表关闭445端口

查看本地连接属性,将去掉“Microsoft网络的文件和打印机共享”前面的勾选,如图7所示。

wKiom1kYE-_CaBLbAACu2jg9gYE186.jpg-wh_50

7取消网络文件以及打印机共享

2)使用锦佰安提供的脚本进行关闭,在线下载脚本地址:http://www.secboot.com/445.zip,脚本代码如下:

echo "欢迎使用锦佰安敲诈者防御脚本"

echo "如果pc版本大于xp 服务器版本大于windows2003,请右键本文件,以管理员权限运行。"

netsh firewall set opmode enable

netsh advfirewall firewall addrule name="deny445" dir=in protocol=tcp localport=445 action=block

netsh firewall setportopening  protocol=TCP port=445mode=disable name=deny445

2.关闭135端口

在运行中输入“dcomcnfg”,然后打开“组建服务”-“计算机”-“属性”-“我的电脑属性”-“默认属性”-“在此计算机上启用分布式COM”去掉选择的勾。然后再单击“默认协议”选项卡,选中“面向连接的TCP/IP”,单击“删除”或者“移除”按钮,如图8所示。

wKioL1kYE-_gnpYmAAF9w_-UY5Y030.jpg-wh_50

8关闭135端口

3.关闭139端口

139端口是为“NetBIOS Session Service”提供的,主要用于提供Windows文件和打印机共享以及Unix中的Samba服务。 单击“网络”-“本地属性”,在出现的“本地连接属性”对话框中,选择“Internet协议版本4TCP/IPv4)”-“属性”,双击打开“高级TCP/IP设置”-WINS”,在“NetBIOS设置”中选择“禁用TCP/IP上的NetBIOS”,如图9所示。

wKioL1kYE_Diwtm9AACoX09GMns093.jpg-wh_50

9关闭139端口

4.查看端口是否开放

以后以下命令查看135139445已经关闭。

netstat -an | find  "445"

netstat -an | find  "139"

netstat -an | find "135"

5.开启防火墙

   启用系统自带的防火墙。

6.更新系统补丁

   通过360安全卫士更新系统补丁,或者使用系统自带的系统更新程序更新系统补丁。

五、安全提示

1.来历不明的文件一定不要打开

2.谨慎使用优盘,在优盘中可以建立antorun.inf文件夹防止优盘病毒自动传播

3.安装杀毒软件

4.打开防火墙

5.ATScannerWannaCry

http://www.antiy.com/response/wannacry/ATScanner.zip

6.蠕虫勒索软件免疫工具(WannaCryhttp://www.antiy.com/response/wannacry/Vaccine_for_wannacry.zip

  有关WannaCrypt勒索病毒软件的进一步分析,请关注我们的技术分析,欢迎加入安天365技术交流群(513833068)进行该技术的探讨。




 本文转自 simeon2005 51CTO博客,原文链接:http://blog.51cto.com/simeon/1925518

相关文章
|
存储 监控 安全
360勒索病毒的最新威胁:如何恢复您的数据?
在数字化时代,勒索病毒已成为数码世界的威胁魔头,而其中的360勒索病毒更是狡猾至极,给用户带来巨大困扰。然而,面对这个顽敌,我们不能束手待毙。本文91数据恢复将全面解析360勒索病毒的特点和传播途径,探索数据恢复的多种方法,并提供一揽子预防措施,助您在保护数据的战斗中胜出!
360勒索病毒的最新威胁:如何恢复您的数据?
|
安全 网络协议 网络安全
解决方案:勒索蠕虫病毒文件恢复工具
首先还是预防为主,最简单预防方案,自己操作一下就好,控制面板→windows防火墙→高级设置→入站规则→新建规则→端口→tcp→下面输入“135,445”→阻止连接→再新建一次规则里面选udp。
145 0
|
供应链 安全 网络安全
.360勒索病毒的加密数据怎么处理?|.360勒索病毒数据解密恢复
​ .360勒索病毒是一种恶意软件,它对用户的计算机文件进行加密,并要求支付赎金才能解密恢复数据。这种勒索病毒以其广泛传播和严重破坏性而闻名,给个人用户和企业带来了巨大的困扰和损失。
134 0
.360勒索病毒的加密数据怎么处理?|.360勒索病毒数据解密恢复
|
存储 监控 安全
感染了后缀为.malox勒索病毒如何应对?数据能够恢复吗?
网络安全战场上,.malox勒索病毒如一头凶猛的野兽,肆虐着无数用户的数据和隐私。它利用复杂的加密算法迅速封锁着我们最宝贵的文件,要挟着巨额赎金,如同丧命灾星。然而,正义永远不会缺席!本文91数据恢复将深度揭示.malox勒索病毒的威胁模式,探讨多重预防措施,并分享应对之策,助您在重获数据的征程中勇往直前!
422 0
|
存储 数据采集 安全
devos勒索病毒解决方法|勒索病毒解密|勒索病毒恢复|数据库修复
       随着数字时代的来临,企业在数据采集、处理、存储等方面进行了大量投资,数据已经成为了企业最重要的资产之一。但是,这些数据的安全性受到了越来越多的威胁,其中最臭名昭著的就是勒索病毒。勒索病毒是一种具有高度危险性的恶意软件,可以导致企业数据丢失或被盗取,给企业带来不可估量的经济和声誉损失。91数据恢复研究团队将详细介绍devos后缀勒索病毒及其解决办法,旨在帮助企业更好地了解和应对这一安全威胁。
devos勒索病毒解决方法|勒索病毒解密|勒索病毒恢复|数据库修复
|
存储 安全 NoSQL
【91数据恢复】感染了.halo勒索病毒怎么办?如何确保数据完整恢复?
        在2023年初,一种新的勒索病毒开始在网络上传播,它的名字叫做.halo勒索病毒。这种病毒属于BeijngCrypt勒索病毒家族,它会通过远程桌面爆破、数据库端口攻击、垃圾邮件等方式入侵目标设备,然后加密设备上的文件,并在文件名后添加.halo扩展名。如果您不幸感染了这种病毒,您应该如何应对呢?数据还有没有可能恢复呢?本文将为您介绍一些相关的知识和建议。
【91数据恢复】感染了.halo勒索病毒怎么办?如何确保数据完整恢复?
|
存储 安全 算法
.360勒索病毒和.halo勒索病毒数据怎么处理|数据解密恢复
.360勒索病毒和.halo勒索病毒都属于BeijingCrypt勒索病毒家族旗下的病毒,两者加密特征一致,加密勒索信内容一致,仅仅为加密后缀名称不相同。 勒索病毒如今成为网络安全的头号威胁!您的宝贵数据是否正面临被绑架的风险?不要慌张!91数据恢复将在本文深入解析.360勒索病毒和.halo勒索病毒的工作原理。让我们一起揭开这场数据解密之谜,有效保护你的数据免遭黑客绑架!
|
安全 网络协议 数据安全/隐私保护
遭遇勒索软件攻击之后需要采取的5个恢复步骤
遭遇勒索软件攻击之后需要采取的5个恢复步骤
492 0
|
监控 安全 测试技术
关于防勒索病毒的两款软件的测试比对
防勒索病毒软件的POC测试比对
725 0
关于防勒索病毒的两款软件的测试比对
|
安全 测试技术 数据安全/隐私保护
如何恢复部分WannaCry勒索软件加密文件
 如何恢复部分WannaCry勒索软件加密文件 原创作品,允许转载,转载时请务必以超链接形式标明文章 原始出处 、作者信息和本声明。否则将追究法律责任。http://yueque.blog.51cto.com/4580340/1926054    WannaCry勒索软件中毒后的计算机文件会被加密,但是通过测试发现,加密软件先加密文件然后再删除原文件。
1355 0