"永恒之蓝"勒索病毒凶猛 周一上班请用正确姿势打开电脑

本文涉及的产品
云防火墙,500元 1000GB
简介: 一、概述   这个周末,对于网络安全圈来说可以用“血雨腥风”来形容。北京时间5月12日开始,全球范围内爆发了基于Windows网络共享协议进行攻击传播的“永恒之蓝”勒索病毒。截止发稿时为止,包括美国、俄罗斯以及整个欧洲在内的100多个国家,及国内众多大型企事业单位内网和政府机构专网中招,电脑磁盘上的文件被加密,用户被勒索支付高额赎金才能解密恢复文件。

一、概述

  这个周末,对于网络安全圈来说可以用“血雨腥风”来形容。北京时间5月12日开始,全球范围内爆发了基于Windows网络共享协议进行攻击传播的“永恒之蓝”勒索病毒。截止发稿时为止,包括美国、俄罗斯以及整个欧洲在内的100多个国家,及国内众多大型企事业单位内网和政府机构专网中招,电脑磁盘上的文件被加密,用户被勒索支付高额赎金才能解密恢复文件。由于病毒使用的是高强度的RSA和AES加密算法,目前还无法破解。换句话说,用户一旦中招,基本无解。

  鉴于病毒还在全面传播,如暂时无法进行系统处置,内网用户应尽量先断网关机,等候使用离线工具处理。根据实际情况配置指南的版本会动态持续更新。

  经分析,判定该勒索软件是一个名称为“WannaCry”的新家族。该勒索软件迅速感染全球大量主机的原因是利用了基于445端口传播扩散的SMB漏洞MS17-010,微软在今年3月份发布了该漏洞的补丁。2017年4月14日黑客组织Shadow Brokers(影子经纪人)公布的Equation Group(方程式组织)使用的“网络军火”中包含了该漏洞的利用程序,而该勒索软件的攻击者或攻击组织在借鉴了该“网络军火”后进行了这次全球性的大规模攻击事件。

开机防护操作指南

关于尚未感染的用户群体的详细防护步骤如下:

1)关闭网络,开启系统防火墙;

2)利用系统防火墙高级设置阻止向445端口进行连接(该操作会影响使用445端口的服务)及网络共享;

3)打开网络,开启系统自动更新,并检测更新进行安装;

2.1 Win7、Win8、Win10操作指南:

1)关闭网络:拔下网线,关闭无线路由器,已开机PC可关闭本机无线网卡,或禁用网络连接。

2)打开控制面板-系统与安全-Windows防火墙,点击左侧启动或关闭Windows防火墙

3)选择启动防火墙,并点击确定

4)点击高级设置

5)点击入站规则,新建规则,以445端口为例

6)选择端口、下一步

7)选择特定本地端口,输入445,下一步

8)选择阻止连接,下一步

9)配置文件,全选,下一步

10) 名称,可以任意输入,完成即可。

11) 插入网线,启用网卡,恢复网络。

12) 开启系统自动更新,并检测更新进行安装

注:在系统更新完成后,如果业务需要使用SMB服务,将上面设置的防火墙入站规则删除即可。

2.2XP系统操作流程

1、依次打开控制面板,安全中心,Windows防火墙,选择启用

2、通过注册表关闭445端口,单击“开始”——“运行”,输入“regedit”,单击“确定”按钮,打开注册表。

3、找到HKEY_LOCAL_MACHINE\System\Controlset\Services\NetBT\Parameters,选择“Parameters”项,右键单击,选择“新建”——“DWORD值”。

4、将DWORD值命名为“SMBDeviceEnabled”,值修改为0。

5、重启机器,查看445端口连接已经没有了。

6、鉴于本次WannaCry蠕虫事件的影响巨大,微软总部决定对已停服的XP和部分服务器版本发布特别补丁,微软公告详情 https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

被感染的用户补救方案

1)首先拔掉网线,与内网其他机器隔离;

2)参考“二、开机防护操作指南”操作免疫;

3)使用蠕虫勒索软件专杀工具(WannaCry)清除病毒;

4)使用PE盘进入操作系统,将可用文件进行备份,并对备份数据进行离线处理;

5)如果重装系统,重装后重复2)、3)步骤,并参考做好防护工作。


转载自阿里云合作伙伴“安恒信息”
相关文章
|
安全
金山卫士:输入法不见了系感染型木马作怪
近日,数以万计的用户电脑上出现了一种怪病——“输入法不见了”。据金山卫士安全专家分析发现,该症状系“输入法”感染型木马所致。据了解,输入法感染型木马以感染微软office产品中的“ctfmon.exe”程序的方式绕过杀毒软件的查杀,进行盗取网游账号、网银密码等不法行为。
1019 0
|
安全 Linux 区块链
勒索病毒WannaCry(永恒之蓝)
原创作品,允许转载,转载时请务必以超链接形式标明文章 原始出处 、作者信息和本声明。否则将追究法律责任。http://solin.blog.51cto.com/11319413/1925890 勒索病毒WannaCry(永恒之蓝)   日前,"永恒之蓝"席卷全球,已经有90个国家遭到***。
2018 0
|
安全
四月新增电脑病毒180万 2千万台次电脑遭攻击
5月18日,国内知名的信息网络安全厂商金山软件正式发布《2009年4月份中国电脑病毒疫情及互联网安全报告》。报告显示,2009年4月份,新增电脑病毒、木马1,773,891个,病毒、木马感染电脑数量为20,083,015台次。
1654 0
|
安全 区块链 数据安全/隐私保护
|
Web App开发 安全
想哭(WannaCry)勒索病毒最新情报汇总:首个工作日,多少电脑中招?
本文讲的是想哭(WannaCry)勒索病毒最新情报汇总:首个工作日,多少电脑中招?,今天是想哭(Wannacry)勒索病毒遇到的第一个工作日,也是全球各大安全公司预测的“二次爆发日”。
1491 0
|
安全 测试技术 数据安全/隐私保护
XP用户意外惊喜!中了想哭(WannaCry)勒索病毒后有机会解密数据
本文讲的是XP用户意外惊喜!中了想哭(WannaCry)勒索病毒后有机会解密数据,法国Quarkslab研究员阿德里安·古奈特(Adrien Guinet)周四表示,如果Windows XP系统遭到WCry勒索病毒的感染,用户可以自行解密数据,不必支付300至600美元的赎金。
1912 0
|
安全 数据安全/隐私保护
想哭(WannaCry)勒索病毒中招后,该怎么恢复数据?(非解密)
本文讲的是想哭(WannaCry)勒索病毒中招后,该怎么恢复数据?(非解密),受WannaCry勒索病毒影响,许多遭受攻击的电脑中的大部分文件被加密而被勒索要求支付比特币以进行解密文件。
1985 0