最新勒索软件病毒防范方法及措施

简介:

antian365.com  simeon

1.事件回顾

1)凤凰网:勒索病毒大范围传播,信息安全专家纷纷发出警告

http://news.ifeng.com/a/20170513/51086871_0.shtml

2)腾讯网:这种病毒全球大爆发!国内多所大学校园网沦陷,被黑的人都收到了勒索信

http://tech.qq.com/a/20170513/013226.htm

3)安天公司安天紧急应对新型蠕虫式勒索软件“wannacry”全球爆发

https://mp.weixin.qq.com/s?__biz=MjM5MTA3Nzk4MQ==&mid=2650170534&idx=1&sn=dedc3ff25c3594b49bc4e6c53c9fd123&chksm=beb9c79489ce4e8253e77bf176fd1e88bfbdbe6f3b24d84acdbe391da073a87a0cf313c26fb7&mpshare=1&scene=1&srcid=0513oXuWB6ySDTUPZUPpnWod#rd

    BBC报道,今天全球很多地方爆发一种软件勒索病毒,只有缴纳高额赎金(有的要比特币)才能解密资料和数据,英国多家医院中招,病人资料威胁外泄,同时俄罗斯,意大利,整个欧洲,包括中国很多高校……

该勒索软件是一个名称为“wannacry”的新家族,该加密软件采用流行的RSAAES加密算法,截止目前还无法破解,或者是暴力破解的成本非常高,普通用户基本无解,换句话说目前世界安全高手也无法解密该勒索软件加密的文件。

该勒索软件利用MS17-101漏洞来攻击全球主机,目前很多内网或者外网445端口基本是开放的,勒索软件借鉴蠕虫原理,利用了基于445端口传播扩散的SMB漏洞,在早期的研究中我们已经发现,勒索软件利用系统漏洞、Mysql以及Mssql数据库漏洞以及其它一些高位漏洞,先行渗透,再感染,所以以前大家都觉得网络安全离我很远,现在就不能这么看了,只要你系统存在高位漏洞,就有可能被感染。

2.实际影响

1)主动攻击

2)蠕虫传播,网络传播速度更快。截止目前很多内网已经沦陷。

3)对pptwordpdf等文档文件进行加密。

4)采用RSAAES加密算法,经请教北京理工大学信息安全专家张子剑博士,目前该算法破解时间耗费非常巨大,勒索软件声称需要几十年!其加密算法如下:

wKioL1kWmunD8CRXAAD27xDlQwA538.jpg-wh_50

3.出现的情况

如果出现以下情况的图片说明已经被勒索软件感染:

wKioL1kWmxmxQCqKAADhUJjLsYY544.jpg-wh_50

wKioL1kWmxfzf9XFAABqT3Q4EOM581.jpg-wh_50

 

4.防范方法

1)备份!备份!备份!一定要离线备份重要文件。可以将备份文件命名为mybak.ini文件。

2)开启防火墙

3)阻断445端口

锦佰安公司给出了防范445端口的命令脚本(下载地址:http://www.secboot.com/445.zip):

echo "欢迎使用锦佰安敲诈者防御脚本"

echo "如果pc版本大于xp 服务器版本大于windows2003,请右键本文件,以管理员权限运行。"

netsh firewall setopmode enable

netsh advfirewallfirewall add rule name="deny445" dir=in protocol=tcp localport=445action=block

4)所有程序都在虚拟机中运行。采用linux+windows虚拟机模式。文档等资料及时进行备份,定期制作镜像。

5.关闭危险的其他端口

1)关闭135端口,在运行中输入“dcomcnfg”,然后打开“组建服务”-“计算机”-“属性”-“我的电脑属性”-“默认属性”-“在此计算机上启用分布式COM”去掉选择的勾。然后再单击“默认协议”选项卡,选中“面向连接的TCP/IP”,单击“删除”或者“移除”按钮。

wKioL1kWo83jTNGgAAF9w_-UY5Y560.jpg-wh_50

4关闭135端口

2)关闭139端口,139端口是为“NetBIOS Session Service”提供的,主要用于提供Windows文件和打印机共享以及Unix中的Samba服务。 单击“网络”-“本地属性”,在出现的“本地连接属性”对话框中,选择“Internet协议版本4TCP/IPv4)”-“属性”,双击打开“高级TCP/IP设置”-WINS”,在“NetBIOS设置”中选择“禁用TCP/IP上的NetBIOS”,如图5所示。

wKiom1kWo87gOnYiAACoX09GMns569.jpg-wh_50

5关闭139端口

3)注册表关闭445端口

在命令提示符下输入“regedit”,依次打开“HKEY_LOCAL_MACHINE-System-Controlset”“Services-NetBT-Parameters”,在其中选择“新建”——“DWORD值”,将DWORD值命名为“SMBDeviceEnabled”,并通过修改其值设置为“0”,如图6所示。

wKioL1kWo8-AfcEQAAErfgfyLZk318.jpg-wh_50

6关闭445端口

4)查看端口是否开放

以后以下命令查看135139445已经关闭。

netstat  -an | find "445" | find"139" | find "135"



 本文转自 simeon2005 51CTO博客,原文链接:http://blog.51cto.com/simeon/1925263

相关文章
|
3月前
|
存储 安全 网络安全
警惕baxia勒索病毒,您需要知道的预防和恢复方法。
在数字时代,网络安全威胁日益严峻,.baxia勒索病毒以其隐蔽的传播方式和强大的加密能力,成为企业和个人数据安全的重大隐患。本文深入分析.baxia勒索病毒的工作原理、传播途径及其危害,并提出应对策略,帮助读者防范这一威胁。如遇数据加密问题,可添加技术服务号(sjhf91)获取专业数据恢复支持。
133 0
警惕baxia勒索病毒,您需要知道的预防和恢复方法。
|
6月前
|
安全 网络安全 区块链
抵御.360勒索病毒威胁:解密文件的有效方法与预防措施
近来,网络犯罪的一种新型形式——.360勒索病毒,备受关注。这种病毒通过加密用户文件,要求支付赎金以获取解密密钥。本文91数据恢复将深入介绍.360勒索病毒的特点,同时提供一些有效的恢复方法,并分享一些建议以预防未来的感染。
91 3
抵御.360勒索病毒威胁:解密文件的有效方法与预防措施
|
存储 安全 网络安全
警惕.Elbie勒索病毒,您需要知道的预防和恢复方法。
近年来,网络安全威胁不断增加,其中勒索软件作为一种具有破坏性的恶意软件类型,给个人用户和企业带来了严重的数据安全问题。.Elbie勒索病毒(Elbie Ransomware)是其中的一种变种,它能够对计算机中的数据文件进行加密,并以获取赎金为目的。本文91数据恢复将深入探讨.Elbie勒索病毒的特点、传播途径,并提供一些可能的数据恢复方法
404 0
|
存储 监控 安全
​【收藏】感染勒索病毒处置办法
​【收藏】感染勒索病毒处置办法
236 0
|
存储 安全 网络安全
从预防到恢复,企业如何应对勒索病毒攻击?
        勒索病毒是一种严重的计算机威胁,它往往会利用高强度的加密算法技术来锁定用户的数据文件。由于勒索病毒的广泛传播和高度复杂性,越来越多的企业面临着数据安全威胁。91数据恢复研究院本次将重点介绍一种名为kat6.l6st6r的勒索病毒,以及如何从中恢复加密的数据文件。
|
存储 安全
如何防护勒索软件攻击 - 安全意识
如何防护勒索软件攻击 - 安全意识
127 0
|
云安全 弹性计算 监控
如何预防勒索病毒?
一、 什么是勒索病毒2017年5月12日,一种名为“wanna cry”的勒索病毒袭击全球150多个国家和地区,影响领域包括政府部门、医疗服务、公共交通、邮政、通信和汽车制造业。其中Windows系统受创最重。
3324 0
如何预防勒索病毒?
|
Web App开发 安全 数据安全/隐私保护
9招教你企业应如何防范勒索软件
本文讲的是9招教你企业应如何防范勒索软件,赛门铁克等安全厂商的安全分析师们一致认为,2016年受到勒索软件影响的企业增长了35%。
1367 0
|
Web App开发 安全 网络安全