勒索病毒解決方案
勒索病毒簡介
而且如果中了病毒的計算機屬于高性能的服務(wù)器,病毒還會在這臺電腦當(dāng)中植入“挖礦”程序, 如果中招的電腦處于一個局域網(wǎng)當(dāng)中,那么只要一臺電腦感染病毒,其他電腦只要開機上網(wǎng),馬上也會被感染。病毒會通過像445端口這樣的文件共享和網(wǎng)絡(luò)打印機共享端口的漏洞展開攻擊,中毒嚴重的服務(wù)器,工作站建議重新安裝操作系統(tǒng)。
服務(wù)器緊急防范措施
立即組織內(nèi)網(wǎng)檢測,查找所有開放445 SMB服務(wù)端口的終端和服務(wù)器,一旦發(fā)現(xiàn)中毒機器,立即斷網(wǎng)處置,目前看來對硬盤格式化可清除病毒。目前微軟已發(fā)布補丁MS17-010修復(fù)了“永恒之藍”攻擊的系統(tǒng)漏洞,請盡快為電腦裝此補丁,網(wǎng)址為;對于XP、2003等微軟已不再提供安全更新的機器,建議升級操作系統(tǒng)版本,或使用360“NSA武器庫免疫工具”檢測系統(tǒng)是否存在漏洞,并關(guān)閉受到漏洞影響的端口,可以避免遭到勒索軟件等病毒的侵害。免疫工具下載地址,運行netstat -ano|findstr “445” 查看是不是中了病毒
一旦發(fā)現(xiàn)電腦中毒,立即斷網(wǎng)。嚴格禁止使用U盤、移動硬盤等可執(zhí)行擺渡攻擊的設(shè)備。
盡快備份電腦中的重要文件資料。
及時更新操作系統(tǒng)和應(yīng)用程序到最新的版本。
一般情況下數(shù)據(jù)庫服務(wù)器升級MS17-010補丁不會對1433端口關(guān)閉,Sqlserver默認使用的是1433端口,有個別情況可能會關(guān)閉1433端口,情況不明,請參考第六條
7.遷移有些服務(wù)到linux服務(wù)器上
工作站防范措施
目前已知的是,Windows 10操作系統(tǒng)只要打開了自動更新,就不會有中毒的風(fēng)險。而目前國內(nèi)大量使用的Windows7甚至Windows XP電腦相對比較高危。微軟目前已經(jīng)為所有的Windows系統(tǒng)緊急發(fā)布了系統(tǒng)補丁。
另外,像445這樣的高危端口,一般的家用電腦也最好關(guān)閉掉。
微軟的這個緊急補丁的下載地址在這里
https://technet.microsoft.com/zh-cn/library/security/MS17-010.aspx
如何關(guān)閉445端口的詳細圖文教程在這里:
1. 打開控制面板點擊防火墻
2. 點擊“高級設(shè)置”
3. 先點擊“入站規(guī)則”,再點擊“新建規(guī)則”
4. 勾中“端口”,點擊“協(xié)議與端口”
5. 勾選“特定本地端口”,填寫445,點擊下一步
6. 點擊“阻止鏈接”,一直下一步,并給規(guī)則命名后,就可以了
還是那句話,再好的殺毒軟件也不如一個好的安全意識,在這個信息化時代,系統(tǒng)漏洞一個補丁就能瞬間搞定,但人們安全意識缺失這個漏洞,不知道什么時候才能被堵上。
通過分析病毒,可以看到,以下后綴名的文件會被加密:docx.docb.docm.dot.dotm.dotx.xls.xlsx.xlsm.xlsb.xlw.xlt.xlm.xlc.xltx.xltm.ppt.pptx.pptm.pot.pps.ppsm.ppsx.ppam.potx.potm.pst.ost.msg.eml.edb.vsd.vsdx.txt.csv.rtf.123.wks.wk1.pdf.dwg.onetoc2.snt.hwp.602.sxi.sti.sldx.sldm.sldm.vdi.vmdk
.vmx.gpg.aes.ARC.PAQ.bz2.tbk.bak.tar.tgz.gz.7z.rar.zip.backup.iso.vcd.jpeg.jpg.bmp.png.gif.raw.cgm.tif.tiff.nef.psd.ai.svg.djvu.m4u.m3u.mid.wma.flv.3g2.mkv.3gp.mp4.mov.avi.asf.mpeg.vob.mpg.wmv.fla.swf.wav.mp3.sh.class.jar.java.rb.asp.php.jsp.brd.sch.dch.dip.pl.vb.vbs.ps1.bat.cmd.js.asm.h.pas.cpp.c.cs.suo.sln.ldf
.mdf.ibd.myi.myd.frm.odb.dbf.db.mdb.accdb.sql.sqlitedb.sqlite3.asc.lay6.lay.mml.sxm.otg.odg.uop.std.sxd.otp.odp.wb2.slk.dif.stc.sxc.ots.ods.3dm.max.3ds.uot.stw.sxw.ott.odt.pem.p12.csr.crt.key.pfx.der。
360殺毒方案
在服務(wù)器或者是工作站運行運行netstat -ano|findstr “445”,如果發(fā)現(xiàn)很多的445連接,基本上確定了是中毒了,重啟后按F8,選擇網(wǎng)絡(luò)安全模式,
一、準(zhǔn)備一個U盤或移動硬盤,下載360安全衛(wèi)士【離線救災(zāi)版】 下載地址http://dl.360safe.com/setup_jiuzai.exe,
工具內(nèi)網(wǎng)地址下載\\192.168.1.30\share 用戶名:share 密碼:sh@2008
三、使用準(zhǔn)備好的U盤或移動硬盤插入辦公電腦,安裝360安全衛(wèi)士【離線救災(zāi)版】
四、360安全衛(wèi)士【離線救災(zāi)版】的NSA武器庫免疫工具會自動運行,并檢測您的電腦是否存在漏洞。如您當(dāng)前系統(tǒng)沒有安裝漏洞補丁,請您點擊【立即修復(fù)】
提示:本次的【永恒之藍】漏洞是利用Windows 系統(tǒng)局域網(wǎng)共享漏洞。如果您的系統(tǒng)本身存在問題(例如是GHOST精簡版)可能無法正常安裝補丁。出于安全考慮,工具會直接為您【關(guān)閉共享所需的網(wǎng)絡(luò)端口 和 系統(tǒng)服務(wù)】
五、修復(fù)漏洞過程中,請您耐心等候,一般需要 3~5 分鐘。
六、修復(fù)成功后,會彈窗提示您。請您【重啟電腦】,以便修復(fù)操作徹底生效
七、重啟電腦后,您可以通過桌面的【勒索病毒救災(zāi)】快捷方式再次運行 NSA 防御工具,確保您的系統(tǒng)已經(jīng)修復(fù)完成。
補充說明:針對部分特殊系統(tǒng)(例如GHOST精簡系統(tǒng)),由于系統(tǒng)本身被人為的修改導(dǎo)致無法正常安裝本次的漏洞修復(fù)程序,出于安全考慮,工具會直接為您【關(guān)閉共享所需的網(wǎng)絡(luò)端口 和 系統(tǒng)服務(wù)】
返向操作
在已安裝好補丁并確認安全,且又必須要打開的端口的情況下,可以進行返向操作,步驟如下:
3. 先點擊“入站規(guī)則”,然后選擇你新建那條規(guī)則。
4. 再點擊右則的“禁用規(guī)則”。
5. 此時這條規(guī)則前面的綠色打溝圖形消失。
操作完成后,已關(guān)閉的端口就被從新打開。
-
服務(wù)器
+關(guān)注
關(guān)注
12文章
8701瀏覽量
84543 -
病毒
+關(guān)注
關(guān)注
0文章
100瀏覽量
23651 -
勒索病毒
+關(guān)注
關(guān)注
1文章
69瀏覽量
9430
發(fā)布評論請先 登錄
相關(guān)推薦
評論