2017年5月12日晚间,国内多家媒体曝出,受“方程式工具包”影响,国内大量pc遭遇到勒索软件感染,由于教育网未对445端口进行屏蔽,导致其影响较为严重。据悉,相关的工具和自动配置生成勒索软件的平台已经在Tor网络,除了感染个人PC电脑,也发现不少服务器系统被感染的情况。
在梳理整件事情并给大家提供方法论之前,美美要特别提醒广大用户,电脑里的重要文件及资料一定要养成备份的好习惯!要备份要备份要备份!重要的事情说三遍,记住了吗?
如何免遭勒索软件敲诈,请接着往后看,附详细步骤,赶紧get起来吧!
事件背景
据报道,周五晚20点左右,国内部分高校学生反映电脑被病毒攻击,文档被加密。攻击者称需支付比特币解锁。病毒是全国性的,疑似通过校园网传播,十分迅速。据有关机构统计,目前国内平均每天有5000多台电脑遭到NSA“永恒之蓝”黑客武器的远程攻击,教育网已成重灾区。
另据BBC报道,英国多家医院同样受到勒索软件攻击,攻击者向每家医院索要300比特币(接近400万人民币)的赎金,否则将删除所有资料。
截至今晨,全球74个国家的7万多台电脑遭到感染。
事件复盘
该勒索软件是一个名为“wannacry”的新型勒索软件。目前无法解密受到该类型的勒索软件感然的文件。该勒索软件利用了基于445端口传播扩散的SMB漏洞MS17-010.攻击者扫描全网开放的445端口,再利用自动化攻击脚本生成恶意文件感染主机。
当系统遭受攻击后,会弹出索要赎金的对话框。
同时系统中的图片,文档,压缩包,音频,视频,可执行称呼都被勒索软件以AES+RSA的加密算法加密。加密文件内容以“WANACRY!”开头,文件后缀名统一改成“.WNCRY”。
修复方案
针对已经感染勒索蠕虫的机器建议隔离处置。
●开启系统防火墙
●关闭445、135、137、138、139端口
●打开系统自动更新,并检测更新进行安装
●手动安装安装补丁
一、 Win7、Win8、Win10的处理流程
1、打开控制面板-系统与安全-Windows防火墙,点击左侧启动或关闭Windows防火墙
2、选择启动防火墙,并点击确定
3、点击高级设置
4、点击入站规则,新建规则
5、选择端口,下一步
6、特定本地端口,输入445,下一步
7、选择阻止连接,下一步
8、配置文件,全选,下一步
9、名称,可以任意输入,完成即可
其他端口的关闭也可以上面步骤进行操作。
二、XP系统的处理流程
1、依次打开控制面板,安全中心,Windows防火墙,选择启用
2、点击开始,运行,输入cmd,确定执行下面三条命令
net stop rdr
net stop srv
net stop netbt
对于Windows XP、win server 2003等微软已不再提供安全更新的机器,建议用户尽快升级到高版本系统。
三、手动安装相应的补丁程序
全部官方版本补丁:https://technet.microsoft.com/zh-cn/library/security/MS17-010
win XP和win server 2003超期服役的用户更新补丁:https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/?from=groupmessage&isappinstalled=0
大家可以根据自己操作系统找到对应的补丁包及时更新。
此次勒索软件事件特别针对高校产生了极大影响,可能会在更广阔的终端消费者群体内爆发,后果很恶劣。
最后再提醒一遍,请大家尽快备份自己电脑中的重要文件资料到移动硬盘、U盘,备份完后脱机保存该磁盘。一旦受到感染,马上将受感染电脑从网络上及外置储存装置隔离。不要在清除恶意软件前开启任何档案!