事件解讀
2017年4月14日黑客組織 Shadow Brokers(影子經紀人)公佈Equation Group(方程式組織)的文件中首次出現MS17-010漏洞,該漏洞是利用Windows的445端口的SMB服務進行攻擊,該漏洞級別屬於高危(遠程溢出漏洞)。
2017年5月12日,全球爆發一種名爲Ransom.CryptXXX ( WannaCry)的新型比特幣勒索病毒家族的攻擊。該勒索軟件由爆發至今已在全球廣泛傳播,並影響大量企業用戶,中國國內不少高校也遭到攻擊。
該勒索軟件截圖如下:
勒索病毒被漏洞遠程執行後,會從資源文件夾下釋放一個壓縮包,此壓縮包會在內存中通過密碼:Ncry@2ol7 解密並釋放文件。該勒索軟件會將系統內所有軟件進行加密,需要用戶繳納不低於300美元的比特幣才能解密。
這些文件包含了後續彈出勒索框的exe,桌面背景圖片的bmp,包含各國語言的勒索字體,還有輔助攻擊的兩個exe文件。這些文件會釋放到了本地目錄,並設置爲隱藏。勒索軟件會將系統中的所有照片、圖片、文檔、壓縮包、音頻、視頻、可執行程序等幾乎所有類型的文件進行加密,且被加密的文件後綴名被統一修改爲“.WNCRY”。
在不確認自己電腦是否已經安裝最新windows補丁時的臨時方案
- 檢測與修復之前有必要做全面斷網處理;如對外主機不確定是否已經感染,內網主機應做脫離工作。
- 斷網的情況下做好重要數據的備份工作。
- 在其他安全的電腦下下載補丁等(見下文)
針對win7、win8、win10操作步驟
- 打開控制面板-系統與安全-Windows防火牆,點擊左側啓動或關閉Windows防火牆。
- 選擇入站規則
- 選擇右邊的新建規則
- 選擇端口
- 選擇TCP協議,本地特定端口輸入445
- 選擇阻止連接
- 選擇所有規則
- 名稱隨便填寫,然後選擇啓用
針對XP系統
首先打開防火牆
再點擊開始-運行-輸入cmd,然後依次輸入以下幾條命令
net stop rdr
net stop srv
net stop netbt
通用解決方案
微軟官方補丁地址:https://support.microsoft.com/zh-cn/help/4012598/title(優先在線更新,如暫停支持請與支持列表中手動下載更新)
注意:在線更新需確認已經實施445端口過濾,手動更新請與安全網絡環境下下載更新包,主機斷網後執行更新補丁)
以上就是現有的幾種常見預防措施了,大家還需在日常的工作學習中注意及時更新發布的補丁,並養成及時備份重要資料的好習慣,纔不會讓此類勒索病毒爲所欲爲。
如果你還有什麼更好的方法,歡迎在評論區分享哦~