返回

2017年5月12日晚间,国内多家媒体曝出,受“方程式工具包”影响,国内大量pc遭遇到勒索软件感染,由于教育网未对445端口进行屏蔽,导致其影响较为严重。据悉,相关的工具和自动配置生成勒索软件的平台已经在Tor网络,除了感染个人PC电脑,也发现不少服务器系统被感染的情况。

在梳理整件事情并给大家提供方法论之前,美美要特别提醒广大用户,电脑里的重要文件及资料一定要养成备份的好习惯!要备份要备份要备份!重要的事情说三遍,记住了吗?

如何免遭勒索软件敲诈,请接着往后看,附详细步骤,赶紧get起来吧!

事件背景

据报道,周五晚20点左右,国内部分高校学生反映电脑被病毒攻击,文档被加密。攻击者称需支付比特币解锁。病毒是全国性的,疑似通过校园网传播,十分迅速。据有关机构统计,目前国内平均每天有5000多台电脑遭到NSA“永恒之蓝”黑客武器的远程攻击,教育网已成重灾区。

另据BBC报道,英国多家医院同样受到勒索软件攻击,攻击者向每家医院索要300比特币(接近400万人民币)的赎金,否则将删除所有资料。

截至今晨,全球74个国家的7万多台电脑遭到感染。

事件复盘

该勒索软件是一个名为“wannacry”的新型勒索软件。目前无法解密受到该类型的勒索软件感然的文件。该勒索软件利用了基于445端口传播扩散的SMB漏洞MS17-010.攻击者扫描全网开放的445端口,再利用自动化攻击脚本生成恶意文件感染主机。

当系统遭受攻击后,会弹出索要赎金的对话框。

1494820257652887.jpg

同时系统中的图片,文档,压缩包,音频,视频,可执行称呼都被勒索软件以AES+RSA的加密算法加密。加密文件内容以“WANACRY!”开头,文件后缀名统一改成“.WNCRY”。

1494820383161430.jpg

3.jpg

修复方案

针对已经感染勒索蠕虫的机器建议隔离处置。

●开启系统防火墙

●关闭445、135、137、138、139端口

●打开系统自动更新,并检测更新进行安装

●手动安装安装补丁

一、 Win7、Win8、Win10的处理流程

1、打开控制面板-系统与安全-Windows防火墙,点击左侧启动或关闭Windows防火墙

1494820480985454.jpg

2、选择启动防火墙,并点击确定

1494820502580129.jpg

3、点击高级设置

1494820525996058.jpg

4、点击入站规则,新建规则

1494820547210442.jpg

5、选择端口,下一步

1494820574771327.jpg

6、特定本地端口,输入445,下一步

1494820636700669.jpg

7、选择阻止连接,下一步

1494820817517216.jpg

8、配置文件,全选,下一步

1494820989304024.jpg

9、名称,可以任意输入,完成即可

1494821023875501.jpg

其他端口的关闭也可以上面步骤进行操作。

二、XP系统的处理流程

1、依次打开控制面板,安全中心,Windows防火墙,选择启用

13.jpg

2、点击开始,运行,输入cmd,确定执行下面三条命令

net  stop rdr

net  stop srv

net  stop netbt

对于Windows XP、win server 2003等微软已不再提供安全更新的机器,建议用户尽快升级到高版本系统。

三、手动安装相应的补丁程序

全部官方版本补丁:https://technet.microsoft.com/zh-cn/library/security/MS17-010

 win XP和win server 2003超期服役的用户更新补丁:https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/?from=groupmessage&isappinstalled=0 

大家可以根据自己操作系统找到对应的补丁包及时更新。

此次勒索软件事件特别针对高校产生了极大影响,可能会在更广阔的终端消费者群体内爆发,后果很恶劣。

最后再提醒一遍,请大家尽快备份自己电脑中的重要文件资料到移动硬盘、U盘,备份完后脱机保存该磁盘。一旦受到感染,马上将受感染电脑从网络上及外置储存装置隔离。不要在清除恶意软件前开启任何档案!