北京时间2017年05月12日,黑客利用NSA黑客武器库泄漏的“永恒之蓝”工具发起的全球网络攻击事件,公司几台win08主机也惨遭毒手被安装勒索软件,磁盘文件被病毒加密为.WNCRY后缀(网上说还有被加密onion后缀的),而且赎金必须要比特币进行支付(发现这两天比特币大涨)。
今天5月14日凌晨2点18分,360在微博发布了一个360勒索蠕虫病毒文件恢复工具(下载地址http://dl.360safe.com/recovery/RansomRecovery.exe),在微博中,作者强烈建议用户选择把恢复的文件保存在干净的移动硬盘或U盘上。同时作者还表示并不能百分之百恢复文件,但是有可能恢复一定比例文件,成功概率会受到文件数量等多重因素影响,根据此前安全研究者的说法,勒索软件采用的是RSA + AES加密算法,属于几乎无法在有限时间内破解的加密算法,据360反病毒工程师说,该工具是针对 Wannacrypt(俗称:想哭)勒索软件制作的恢复工具,并不是直接破解了加密算法,而是通过分析了该勒索软件的工作原理之后,利用一个特殊的手法实现的文件恢复,他们发现,Wannacrypt勒索软件的大致工作流程是这样的“将原文件读取到内存中完成加密,生成一个加密文件,删除原文件”因此电脑中的原始文件其实并没有直接被加密,而是被黑客删除了,被加密的只是副本。
此次“永恒之蓝”MS17-010漏洞主要影响以下操作系统:
MS17-010 漏洞主要影响以下操作系统:
桌面版本操作系统:
- Windows 2000
- Windows XP
- Windows Vista
- Windows7
- Windows8
- Windows8.1
- Windows10
服务器版本操作系统:
- Windows Server 2000
- Windows Server 2003
- Windows Server 2008
- Windows Server 2012
- Windows Server 2016
由于“永恒之蓝”的利用代码主要针对Windows XP、Windows7、Windows Server 2008等,这些版本的操作系统占桌面、服务器操作系统的大部分,因此此次事件对于Windows的影响非常严重。
对于未感染的系统防护措施:
1、受影响的Windows操作系统版本只要打开了445端口、且没有安装MS17-010补丁,则确认会受到影响。
可以通过nmap或Softperfect Network Scanner https://www.softperfect.com进行局域网端口扫描。
如果局域网有linux系统可以直接nmap命令扫描:nmap -sS -p 445 -vv 192.168.0.1/24
关闭445关口方法:
将以下文件保存到文本文档,保存后重命名.bat,右键以管理员身份运行即可
|
1 2 3 |
netsh firewall set opmode enable netsh advfirewall firewall add rule name="deny445" dir=in protocol=tcp localport=445 action=block pause |
2、打开系统自动更新,并检测系统补丁进行安装,如果是内网环境可以采用离线补丁方式更新
离线补丁下载地址:
Security Update for Windows XP SP3 (KB4012598)
https://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-chs_dca9b5adddad778cfd4b7349ff54b51677f36775.exe
Security Update for Windows Server 2003 (KB4012598)
https://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x86-custom-chs_b45d2d8c83583053d37b20edf5f041ecede54b80.exe
Security Update for Windows Server 2003 for x64 Systems(KB4012598)
https://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-chs_68a2895db36e911af59c2ee133baee8de11316b9.exe
Security Update for Windows 7 (KB4012212)
https://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x86_6bb04d3971bb58ae4bac44219e7169812914df3f.msu
Security Update for Windows 7 x64 (KB4012212)
https://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu
Security Update for Windows Server 2008 R2 x64 (KB4012212)
https://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu
Security Update for Windows10 (KB4012606)
https://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4012606-x86_8c19e23de2ff92919d3fac069619e4a8e8d3492e.msu
Security Update for Windows10 x64 (KB4012606)
https://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4012606-x64_e805b81ee08c3bb0a8ab2c5ce6be5b35127f8773.msu
3、安装360并升级病毒库修复漏洞。
4、安装360NSA武器库免疫工具。
下载地址:http://dl.360safe.com/nsa/nsatool.exe
5、网络层隔离
边界交换机、路由器、防火墙等设备禁止双向 135/137/139/445 端口的TCP 连接
内网核心主干交换路由设备禁止双向 135/137/139/445 端口的 TCP 连接
更新入侵防御、入侵检测、APT 等安全设备漏洞库,开启防御策略
对于已感染的系统:
1、已经感染终端,根据终端数据重要性决定处置方式,如果重新安装系统则建议完全格式化硬盘、使用全新操作系统、完善操作系统补丁、安装防病毒软件并通过检查确认无相关漏洞后再恢复网络连接。
2、通过360“勒索病毒文件恢复工具”恢复被加密的文件。
下载地址:http://dl.360safe.com/recovery/RansomRecovery.exe
选择加密文件所在驱动器,扫描后,选择要恢复的文件,建议您选择把恢复的文件保存在干净的移动硬盘或U盘上
文件恢复成功率会受到文件数量、时间、磁盘操作情况等因素影响。一般来说,中毒后越早恢复,成功的几率越高。
3、通过del命令清除被加密的文件(下面是del格式示例),并通过360进行木马扫描
del /s c:\*.WNCRY
del /s c:\@Please_Read_Me@.txt
del /s c:\@WanaDecryptor@.exe.lnk
del /s c:\*.onion
原文链接:关于"永恒之蓝"勒索软件防护及恢复方案,转载请注明来源!
