开发者社区> 美人迟暮> 正文
阿里云
为了无法计算的价值
打开APP
阿里云APP内打开

"永恒之蓝"勒索病毒凶猛 周一上班请用正确姿势打开电脑

简介:
+关注继续查看

"永恒之蓝"勒索病毒凶猛 周一上班请用正确姿势打开电脑




一、概述

上个周末,对于网络安全圈来说可以用“血雨腥风”来形容。北京时间5月12日开始,全球范围内爆发了基于Windows网络共享协议进行攻击传播的“永恒之蓝”勒索病毒。截止发稿时为止,包括美国、俄罗斯以及整个欧洲在内的100多个国家,及国内众多大型企事业单位内网和政府机构专网中招,电脑磁盘上的文件被加密,用户被勒索支付高额赎金才能解密恢复文件。由于病毒使用的是高强度的RSA和AES加密算法,目前还无法破解。换句话说,用户一旦中招,基本无解。


鉴于病毒还在全面传播,如暂时无法进行系统处置,内网用户应尽量先断网关机,等候使用离线工具处理。根据实际情况配置指南的版本会动态持续更新。


经分析,判定该勒索软件是一个名称为“WannaCry”的新家族。该勒索软件迅速感染全球大量主机的原因是利用了基于445端口传播扩散的SMB漏洞MS17-010,微软在今年3月份发布了该漏洞的补丁。2017年4月14日黑客组织Shadow Brokers(影子经纪人)公布的Equation Group(方程式组织)使用的“网络军火”中包含了该漏洞的利用程序,而该勒索软件的攻击者或攻击组织在借鉴了该“网络军火”后进行了这次全球性的大规模攻击事件。


二、开机防护操作指南

关于尚未感染的用户群体的详细防护步骤如下:

1)关闭网络,开启系统防火墙;

2)利用系统防火墙高级设置阻止向445端口进行连接(该操作会影响使用445端口的服务)及网络共享;

3)打开网络,开启系统自动更新,并检测更新进行安装;


2.1 Win7、Win8、Win10操作指南:

1)关闭网络:拔下网线,关闭无线路由器,已开机PC可关闭本机无线网卡,或禁用网络连接。


"永恒之蓝"勒索病毒凶猛 周一上班请用正确姿势打开电脑-E安全


2)打开控制面板-系统与安全-Windows防火墙,点击左侧启动或关闭Windows防火墙


"永恒之蓝"勒索病毒凶猛 周一上班请用正确姿势打开电脑-E安全


3)选择启动防火墙,并点击确定


"永恒之蓝"勒索病毒凶猛 周一上班请用正确姿势打开电脑-E安全


4)点击高级设置


"永恒之蓝"勒索病毒凶猛 周一上班请用正确姿势打开电脑-E安全


5)点击入站规则,新建规则,以445端口为例


"永恒之蓝"勒索病毒凶猛 周一上班请用正确姿势打开电脑-E安全


6)选择端口、下一步


"永恒之蓝"勒索病毒凶猛 周一上班请用正确姿势打开电脑-E安全


7)选择特定本地端口,输入445,下一步


"永恒之蓝"勒索病毒凶猛 周一上班请用正确姿势打开电脑-E安全


8)选择阻止连接,下一步


"永恒之蓝"勒索病毒凶猛 周一上班请用正确姿势打开电脑-E安全


9)配置文件,全选,下一步

"永恒之蓝"勒索病毒凶猛 周一上班请用正确姿势打开电脑-E安全


10) 名称,可以任意输入,完成即可。

"永恒之蓝"勒索病毒凶猛 周一上班请用正确姿势打开电脑-E安全


11) 插入网线,启用网卡,恢复网络。


"永恒之蓝"勒索病毒凶猛 周一上班请用正确姿势打开电脑-E安全

12) 开启系统自动更新,并检测更新进行安装


"永恒之蓝"勒索病毒凶猛 周一上班请用正确姿势打开电脑-E安全


注:在系统更新完成后,如果业务需要使用SMB服务,将上面设置的防火墙入站规则删除即可。


"永恒之蓝"勒索病毒凶猛 周一上班请用正确姿势打开电脑-E安全


2.2XP系统操作流程

1、依次打开控制面板,安全中心,Windows防火墙,选择启用

"永恒之蓝"勒索病毒凶猛 周一上班请用正确姿势打开电脑-E安全


2、通过注册表关闭445端口,单击“开始”——“运行”,输入“regedit”,单击“确定”按钮,打开注册表。

"永恒之蓝"勒索病毒凶猛 周一上班请用正确姿势打开电脑-E安全


3、找到HKEY_LOCAL_MACHINE\System\Controlset\Services\NetBT\Parameters,选择“Parameters”项,右键单击,选择“新建”——“DWORD值”。

"永恒之蓝"勒索病毒凶猛 周一上班请用正确姿势打开电脑-E安全


4、将DWORD值命名为“SMBDeviceEnabled”,值修改为0。

"永恒之蓝"勒索病毒凶猛 周一上班请用正确姿势打开电脑-E安全


5、重启机器,查看445端口连接已经没有了。

"永恒之蓝"勒索病毒凶猛 周一上班请用正确姿势打开电脑-E安全


6、鉴于本次WannaCry蠕虫事件的影响巨大,微软总部决定对已停服的XP和部分服务器版本发布特别补丁,微软公告详情 https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/。

被感染的用户补救方案

1)首先拔掉网线,与内网其他机器隔离;

2)参考“二、开机防护操作指南”操作免疫;

3)使用蠕虫勒索软件专杀工具(WannaCry)清除病毒;

4)使用PE盘进入操作系统,将可用文件进行备份,并对备份数据进行离线处理;

5)如果重装系统,重装后重复2)、3)步骤,并参考做好防护工作。






本文来自合作伙伴“阿里聚安全”,发表于2017年05月15日 .

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
debian : root exec npm install throw err
npm cli 参数 npm unsfae-perm , npm install unsafe-perm 官方的说明就是若是以 root 用户来执行unsafe-perm默认为 false,反之开启。 而我们 Linux 上的用户更多的是用 sudo 来临时赋予管理员的权限,用户有时候走 nobody,有时候走自定义的用户。
17 0
三维引擎导入obj模型不可见总结
三维引擎导入obj模型不可见总结
36 0
Salesforce的7步企业架构(EA)方法
当我们说企业架构(EA)会引发大家的很多共鸣,从我们需要他,到我们试过,最后到它根本没用。CIO(Chief Information Officer,首席信息官),CTO(Chief Technology Officer,首席技术官),首席架构师和业务功能的Leader一般都会从过去的经验对EA有自己的判断——好的,坏的或不Care。
2908 0
支付宝接口错误:您使用的私钥格式错误,请检查RSA私钥配置,charset = utf-8
调试支付宝条码支付的时候碰到个错误:您使用的私钥格式错误,请检查RSA私钥配置,charset = utf-8, 原因是我代码里的那私钥是直接复制pem文件里的代码的,可支付宝底层的sdk中默认是以文件的方式来进行, 引用 查看一下DefaultAopClient.
3808 0
.NET平台开源项目速览(2)Compare .NET Objects对象比较组件
原文:.NET平台开源项目速览(2)Compare .NET Objects对象比较组件     .NET平台开源项目速览今天介绍一款小巧强大的对象比较组件。可以更详细的获取2个对象的差别,并记录具体差别,比较过程和要求可以灵活配置。
845 0
+关注
美人迟暮
Nothing for nothing.
1018
文章
212
问答
文章排行榜
最热
最新
相关电子书
更多
低代码开发师(初级)实战教程
立即下载
阿里巴巴DevOps 最佳实践手册
立即下载
冬季实战营第三期:MySQL数据库进阶实战
立即下载