勒索軟件WannaCrypt病毒感染前后應(yīng)對措施

-.z.最新訛詐軟件WannaCrypt病毒感染前后應(yīng)對措施針對WannaCrypt訛詐病毒的討論和技術(shù)文章是鋪天蓋地，大量的技術(shù)流派，平安廠家等紛紛獻計獻策，有平安廠家開發(fā)各種平安工具，對平安生態(tài)來說是一個好事，但對個人未必就是好事，我們國家很多用戶是普通用戶是平安小白，如果遭遇WannaCrypt訛詐軟件，我們該怎么辦"simeon來源：51CTO.|2017-05-1423:03收藏分享技術(shù)沙龍|6月30日與多位專家探討技術(shù)高速開展下如何應(yīng)對運維新挑戰(zhàn)！【51CTO.原創(chuàng)稿件】針對WannaCrypt訛詐病毒的討論和技術(shù)文章是鋪天蓋地，大量的技術(shù)流派，平安廠家等紛紛獻計獻策，有平安廠家開發(fā)各種平安工具，對平安生態(tài)來說是一個好事，但對個人未必就是好事，我們國家很多用戶是普通用戶是平安小白，如果遭遇WannaCrypt訛詐軟件，我們該怎么辦"是主動積極應(yīng)對，還是被動等待被病毒感染，這完全取決于您個人選擇，筆者戰(zhàn)斗在病毒對抗的第一線，將一些經(jīng)歷跟大家分享，希望能對您有所幫助!本文收集了windows*p-windows2012所有的補丁程序以及360等平安公司的平安工具程序供大家下載，下載地址：pan.baidu./s/1boBiHN*一.病毒危害1.1病毒感染的條件到互聯(lián)網(wǎng)上乃至技術(shù)專家都認(rèn)為WannaCrypt攻擊源頭來自于MS17-010漏洞，在現(xiàn)實中很多被感染網(wǎng)絡(luò)是網(wǎng)，mssecsvc.e*e病毒文件大小只有3M多，其后續(xù)加密生成有多個文件，這些文件是從哪里來，網(wǎng)是跟外網(wǎng)隔離的!筆者整理認(rèn)為病毒感染是有條件的：1.Windows7以上操作系統(tǒng)感染幾率較高2.在感染的網(wǎng)絡(luò)上，如果系統(tǒng)開放了445端口，將被快速感染計算機。3.網(wǎng)補丁更新不及時1.2病毒感染的后果WannaCrypt訛詐病毒被定義為蠕蟲病毒，其傳播速度非?？?，一旦被感染，只有兩種途徑來解決，一種是支付贖金，另外一種就是重裝系統(tǒng)，所有資料全部歸零。通過筆者分析，如果是在病毒W(wǎng)annaCrypt發(fā)作前，能夠成功去除病毒，將可以救回系統(tǒng)，減少損失!360也提供了一款訛詐蠕蟲病毒文件恢復(fù)工具RansomRecovery，其下載地址：dl.360safe./recovery/RansomRecovery.e*e主要針對訛詐病毒成功感染后的恢復(fù)，越早恢復(fù)，文件被恢復(fù)的幾率越高二、WannaCrypt訛詐病毒原理分析WannaCrypt訛詐病毒原理分析筆者再次就不贅述了，詳細(xì)情況請參閱WanaCrypt0r訛詐蠕蟲完全分析報告(bobao.360./learning/detail/3853.html)。筆者要想說的是病毒感染的三個時間段：1.病毒感染初階段，病毒從未知渠道進入網(wǎng)絡(luò)，病毒開場攻擊網(wǎng)*臺主機，對計算機存在漏洞計算機進展攻擊，成功后釋放mssecsvc.e*e文件，并連接固定url(54.153.0.145):.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.;a)如果連接成功,則退出程序b)連接失敗則繼續(xù)攻擊2.病毒感染中階段接下來蠕蟲開場判斷參數(shù)個數(shù),小于2時,進入安裝流程;大于等于2時,進入效勞流程3.病毒感染后階段，對磁盤文件進展加密處理，出現(xiàn)訛詐軟件界面。三、訛詐病毒處理的黃金時間筆者在實際病毒對抗過程中發(fā)現(xiàn)，加固是針對未感染的計算機有用，感染后的計算機加固也是無用的!!!!在前面病毒運行階段有兩個小時的黃金時間，我想明天大家上班了，如果個人人走關(guān)機，則意味做網(wǎng)絡(luò)是關(guān)閉的，計算機是平安的，這時候第一時間是拔掉網(wǎng)線，然后再開啟計算機!!如果網(wǎng)絡(luò)中已經(jīng)存在病毒了，則應(yīng)該以最快的速度來完畢病毒，可以參考文章后面的完畢病毒進程，然后是備份文件，最后加固!如果有條件可以利用linu*啟動盤啟動系統(tǒng)，先備份文件，然后再做其他事情!整理了一下具體流程：1.開機前拔掉網(wǎng)線，不使用網(wǎng)絡(luò)。2.假設(shè)熟悉linu*，可以刻盤啟動計算機，使用U盤對文件進展備份。3.使用本文提及的方法清理病毒。4.使用平安優(yōu)盤進展系統(tǒng)文件備份，如果沒有優(yōu)盤，則可以將需要備份的文件先行壓縮為rar文件，然后再修改為.e*e文件。四、平安處理建議1.病毒感染前處理(1)采用后續(xù)局部135、139、445等端口加固方法加固。(2)也可使用360的NSA武器免疫工具檢測計算機是否存在漏洞，如圖1所示，在windows2003SP1虛擬機中進展檢測顯示無漏洞。圖1使用360的nsa武器庫免疫工具(3)使用安天免疫工具進展檢測和設(shè)置，如圖2所示，按照運行結(jié)果進展設(shè)置即可。圖2使用安天免疫工具進展設(shè)置(4)根據(jù)系統(tǒng)實際情況安裝補丁，我已經(jīng)收集目前可用的平安工具以及相對應(yīng)當(dāng)漏洞補丁程序。2.病毒正在感染，通過netstat-an命令查看，如果系統(tǒng)出現(xiàn)大量的445連接，說明肯定存在病毒，可以使用以下方法進展殺毒，同時拔掉網(wǎng)線!(另外一種方法就是通過kali等linu*啟動盤去去除病毒也可以，然后通過U盤直接備份資料)(1)設(shè)置查看文件選項由于病毒設(shè)置了隱藏屬性，正常情況下無法查看該文件，需要對文件查看進展設(shè)置，即在資源管理器中單擊“工具〞-“文件夾選項〞，如圖3所示。圖3翻開文件夾選項設(shè)置去掉“隱藏受保護的操作系統(tǒng)文件(推薦)〞、選擇“顯示隱藏的文件、文件夾和驅(qū)動器〞、去掉“隱藏文件類型的擴展名〞，如圖4所示，即可查看在windows目錄下的病毒隱藏文件。圖4文件夾查看選項設(shè)置(2)完畢進程通過任務(wù)管理器，在任務(wù)欄上右鍵單擊選擇“啟動任務(wù)管理器〞，如圖5所示，從進程中去查找mssecsvc.e*e和tasksche.e*e文件，選中mssecsvc.e*e和tasksche.e*e，右鍵單擊選擇“完畢進程樹〞將病毒程序完畢，又可能會反復(fù)啟動，完畢動作要快。以上三個文件一般位于c:\windows目錄。圖5完畢進程(3)刪除程序到windows目錄將三個文件按照時間排序，一般會顯示今天或者比擬新的時期，將其刪除，如果進程完畢后，又啟動可來回刪除和完畢。直到將這三個文件刪除為止，有可能到寫本文章的時候，已經(jīng)有病毒變體，但方法一樣，刪除新生成的文件。(4)再次查看網(wǎng)絡(luò)使用netstat–an命令再次查看網(wǎng)絡(luò)連接情況，無對外連接情況，一切恢復(fù)正常?？梢允褂闷桨灿嬎銠C下載平安工具Autoruns以及ProcessE*plorer，通過光盤刻錄軟件，到感染病毒計算機中進展去除病毒!軟件下載地址：s://download.sysinternals./files/Autoruns.zips://download.sysinternals./files/ProcessE*plorer.zip注意，本文所指去除病毒是指訛詐軟件還未對系統(tǒng)軟件進展加密!如果在桌面出現(xiàn)黃色小圖標(biāo)，桌面背景有紅色英文字體顯示(桌面有窗口彈出帶鎖圖片，WanaDecryptor2.0)，這說明系統(tǒng)已經(jīng)被感染了。3.病毒已經(jīng)感染如果系統(tǒng)已經(jīng)被病毒感染，則下載RansomRecovery(dl.360safe./recovery/RansomRecovery.e*e)進展恢復(fù)。五、病毒原始文件分析1.文件名稱及大小本次捕獲到病毒樣本文件三個，mssecsvc.e*e、qeriuwjhrf、tasksche.e*e，如圖6所示，根據(jù)其md5校驗值，tasksche.e*e和qeriuwjhrf文件大小為3432KB，mssecsvc.e*e大小為3636KB。2.md5校驗值使用md5計算工具對以上三個文件進展md5值計算，其md5校驗值分別如下：tasksche.e*e8b2d830d0cf3ad16a547d5b23eca2c6emssecsvc.e*e854455f59776dc27d4934d8979fa7e86qeriuwjhrf:8b2d830d0cf3ad16a547d5b23eca2c6e圖6訛詐軟件病毒根本情況3.查看病毒文件(1)系統(tǒng)目錄查看文件一般位于系統(tǒng)盤下的windows目錄，例如c:\windows\，通過命令提示符進入:cdc:\windows\dir/od/a*.e*e(2)全盤查找dir/od/s/atasksche.e*edir/od/s/amssecsvc.e*e4.病毒現(xiàn)象(1)通過netstat–an命令查看網(wǎng)絡(luò)連接，會發(fā)現(xiàn)網(wǎng)絡(luò)不停的對外發(fā)送SYN_SENT包，如圖7所示。圖7對外不斷的發(fā)送445連接包(2)病毒效勞通過Autoruns平安分析工具，可以看到在效勞中存在“fmssecsvc2.0〞效勞名稱，該文件的時間戳為2010年11月20日17:03分，如圖8所示。圖8病毒啟動的效勞六、平安加固1.關(guān)閉445端口(1)手工關(guān)閉在命令提示符下輸入“regedit〞，依次翻開“HKEY_LOCAL_MACHINE〞-“System〞-“Controlset〞“Services〞-“NetBT〞-“Parameters〞，在其中選擇“新建〞——“DWORD值〞，將DWORD值命名為“SMBDeviceEnabled〞，并通過修改其值設(shè)置為“0〞，如圖9所示，需要特別注意一定不要將SMBDeviceEnabled寫錯了!否則沒有效果!圖9注冊表關(guān)閉445端口查看本地連接屬性，將去掉“Microsoft網(wǎng)絡(luò)的文件和打印機共享〞前面的勾選，如圖10所示。圖10取消網(wǎng)絡(luò)文件以及打印機共享(2)使用錦佰安提供的腳本進展關(guān)閉，在線下載腳本地址：.secboot./445.zip，腳本代碼如下：echo"歡送使用錦佰安敲詐者防御腳本"echo"如果pc版本大于*p效勞器版本大于windows2003，請右鍵本文件，以管理員權(quán)限運行。"netshfirewallsetopmodeenablenetshadvfirewallfirewalladdrulename="deny445"dir=inprotocol=tcplocalport=445action=blocknetshfirewallsetportopeningprotocol=TCPport=445mode=disablename=deny4452.關(guān)閉135端口在運行中輸入“dfg〞，然后翻開“組建效勞〞-“計算機〞-“屬性〞-“我的電腦屬性〞-“默認(rèn)屬性〞-“在此計算機上啟用分布式〞去掉選擇的勾。然后再單擊“默認(rèn)協(xié)議〞選項卡，選中“面向連接的TCP/IP〞，單擊“刪除〞或者“移除〞按鈕，如圖11所示。圖11關(guān)閉135端口3.關(guān)閉139端口139端口是為“NetBIOSSessionService〞提供的，主要用于提供Windows文件和打印機共享以及Uni*中的Samba效勞。單擊“網(wǎng)絡(luò)〞-“本地屬性〞，在出現(xiàn)的“本地連接屬性〞對話框中，選擇“Internet協(xié)議版本4(TCP/IPv4)〞-“屬性〞，雙擊翻開“高級TCP/IP設(shè)置〞-“WINS〞，在“NetBIOS設(shè)置〞中選擇“禁用TCP/IP上的NetBIOS〞，如圖12所示。圖12關(guān)閉139端口4.查看端口是否開放以后以下命令查看135、139、445已經(jīng)關(guān)閉。netstat-an|find"445"netstat-an|find"139"netstat-an|find"135"5.開啟防火墻啟用系統(tǒng)自帶的防火墻。6.更新系統(tǒng)補丁通過360平安衛(wèi)士更新系統(tǒng)補丁，或者使用系統(tǒng)自帶的系統(tǒng)更新程序更新系統(tǒng)補丁。七、平安啟示這波訛詐病毒使用的是今年3月爆發(fā)的NSA暴露的那些漏洞利用工具，當(dāng)時出來以后，如果及時對系統(tǒng)更新了漏洞補丁和加固后，系統(tǒng)根本不會被感染。1.來歷不明的文件一定不要翻開2.慎重使用優(yōu)盤，在優(yōu)盤中可以建立antorun.inf文件夾防止優(yōu)盤病毒自動傳播3.安裝殺毒軟件，目前升級過病毒庫的殺毒軟件都可以識別傳播的病毒。4.翻開防火墻5.ATScanner(WannaCry).antiy./response/wannacry/ATScanner.zip6.蠕蟲訛詐軟件免疫工具(WannaCry).antiy./response/wannacry/Vaccine_for_wannacry.zip八、關(guān)于最新訛詐病毒的防情況方法懂linu*的請：1.拔掉網(wǎng)線。2.懂linu*的朋友，以用kalilinu*、bt5、cdlinu*等啟動系統(tǒng)。3.先備份系統(tǒng)重要文件。4.清理病毒5.重新開機啟動到windows系統(tǒng)6.進展加固如果不懂linu*：1.拔掉網(wǎng)線2.在開機前就用沒有感染的計算機下載好帶最新病毒庫的殺毒軟件。3.開機后立即安裝殺毒軟件進展殺毒。4.使用netstat-an查看有無445連接多個地址發(fā)包5.記得設(shè)置文件夾選項，后清理wi