您現在的位置:网站首頁 > 公司動態 > Wannacry 勒索蠕虫病毒用户修复指引

Wannacry 勒索蠕虫病毒用户修复指引

一、Wannacry 勒索蠕虫病毒事件背景

北京時間2017年5月12日晚,勒索软件"WannaCry"感染事件爆发,全球范围内150个国家遭到大规模网络攻击,被攻击者电脑中的文件被加密,被要求支付比特币以解密文件;众多行业受到影响,比如英国的NHS服务,导致至少40家医疗机构内网被攻陷,电脑被加密勒索;而我国众多行业的也是如此,其中又以教育网最为显著,导致部分教学系统无法正常运行,相关学子毕业论文被加密等。截止到北京時間5月15日09点,目前事件趋势已经蔓延到更多行业,包含金融、能源、医疗、交通等行业均受到影响。

今年4月14日黑客组织Shadow Brokers(影子经纪人)公布了Equation Group(方程式组织)使用的"网络军火",其中包含了一些Windows漏洞(微软编号为MS17-010)和利用工具,这些漏洞利用中以Eternalblue(永恒之蓝)最为方便利用,并且网上出现的相关攻击脚本和利用教程也以该漏洞为主,而在4月14日后我们监控捕获的多起Windows主机入侵事件均是以利用Eternalblue进行入侵;Eternalblue可以远程攻击Windows的445端口,该端口主要用于基于SMB协议的文件共享和打印机共享服务。在以往捕获的利用Eternalblue进行入侵攻击的事件,黑客主要进行挖矿、DDoS等行为,而本次事件则是利用该漏洞进行勒索病毒的植入和传播。

本次事件影響範圍廣泛,本指引意在指導雲上用戶在遭受攻擊前後進行相關處理,個人用戶也可參考部分章節。 ?

二、雲用戶主機應急修複及安全防範指引

2.1 确认机器是否已感染 WannaCry 蠕虫病毒

檢查主機是否存在如下類似紅色贖金支付界面:

        

2.2 已感染主机应急修复指引

如存在以上類似紅色勒索界面,則說明主機已經感染蠕蟲病毒,您可以采取如下措施進行修複:

步驟 1: 及時止損並離線備份重要數據

雲用戶可以以去掉綁定的外網 IP 等方式隔离已遭受攻击电脑,避免感染其他机器,同时可以在云内网通过 ftp 方式拷贝还未被加密的文件到内网其他安全服务器。

部分電腦帶有系統還原功能,可以在未遭受攻擊之前設置系統還原點,這樣即使遭受攻擊之後可以還原系統,找回被加密的原文件,不過還原點時間到遭受攻擊期間的文件和設置將會丟失。

與此同時,大部分安全軟件已經具有該勒索軟件的防護能力或者其他免疫能力等,可以安裝這些安全軟件,開啓實時防護,避免遭受攻擊。

    步驟 2: 開展病毒清理

     安裝安全軟件,利用殺軟的殺毒功能可直接查殺勒索軟件,同時進行掃描清理(已隔離的機器可以通過U 盘等方式下载离线包安装)。

步驟 3: 尝试解密方案

嘗試方案 1:嘗試通過已解密的交易記錄進行解密
     打開勒索軟件界面,點擊 copy(複制黑客的比特幣地址)

copy 粘贴到 btc.com (区块链查询器);

在區塊鏈查詢器中找到黑客收款地址的交易記錄,然後隨意選擇一個 txid(交易哈希值);

把 txid 复制粘贴给 勒索软件界面按钮 connect us;

等黑客看到后,再點擊勒索软件上的 check payment;

再點擊 decrypt 解密文件即可;

嘗試方案 2:尝试开源的脚本(需 python3 环境)来运行尝试恢复

下載鏈接:

https://github.com/QuantumLiu/antiBTCHack

嘗試方案 3:嘗試使用勒索軟件自帶恢複功能恢複已被蠕蟲病毒刪除的文件

勒索軟件帶有恢複部分加密文件的功能,可以直接通過勒索軟件恢複部分文件,不過該恢複有限;直接點擊勒索軟件界面上的"Decrypt"可彈出恢複窗口,顯示可免費恢複的文件列表,然後點擊"Start"即可恢複列表中文。

        

       

嘗試方案 4:嘗試使用第三方數據恢複工具恢複已被蠕蟲病毒刪除的文件。
     根據對勒索病毒分析,勒索軟件在加密文件後會刪除源文件,所以通過數據恢複軟件有一定概率恢複已被加密的部分文件,可以使用第三方數據恢複工具嘗試數據恢複,如 easyrecovery 等工具可帮助用户恢复部分已经删除的数据,但可能无法恢复加密数据。

如以上方式均無效,建議您重新安裝系統

2.3 未感染主机安全防范指引

如暫未出現類似被勒索紅色彈框,建議及時進行自查和加固,避免被感染,您可以采取如下措施進行:

方式 1:利用 Windows Update 进行系统更新

利用系統自帶的 Windows Update 进行系统更新,更新到最新。對于離線用戶,亦可以通過如下補丁下載地址進行安裝:

http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

下載後,點擊“下一步” 进行安装。

方式 2:關閉受影響 SMBv1 服务

3.1 對于运行 Windows 8.1 或 Windows Server 2012 R2 及更高版本的客户

對于 Windows 8.1 客户端操作系统:
     1> 打开“控制面板”,单击“程序”,然后单击“打开或关闭 Windows 功能”。

2> 在“Windows 功能”窗口中,清除“SMB 1.0/CIFS 文件共享支持”复选框,然后单击“确定”以关闭此窗口。

        

3>  重啓系統,使配置生效。

對于 Windows Server 2012 及以上服务器操作系统:
     a>  打開“服務器管理器”,單擊“管理”菜單,然後選擇“刪除角色和功能”。


b> 在“功能”窗口中,清除“SMB 1.0/CIFS 文件共享支持”复选框,然后单击“确定”以关闭此窗口。

c>  重啓系統。

3.2 對于运行 Windows 7、 Windows Server 2008 R2、 Windows Vista 和Windows Server 2008 的用户:
     1> 在命令行界面打开并修改注冊表

2>  打开注冊表路径︰
     HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters

3> 新建项︰ SMB1,值 0(DWORD)

4> 重新启动计算机

方式 4:安裝病毒免疫工具

可采用一些免疫工具進行自動化的補丁安裝和端口屏蔽

方式 5:建立滅活域名免疫機制

根據網絡安全團隊對已有樣本分析,勒索軟件存在觸發機制,如果可以成功訪問

www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com和www.ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.com(目前已监控到的wannacry变种木马开关域名),则电脑在中了勒索病毒后不会进行文件加密而直接退出。目前该域名已被安全人员注冊,可以正常访问。

企業用戶可以通過在內網搭建 Web Server,然后通过内网 DNS 的方式将域名解析到 Web Server IP 的方式来实现免疫;通过该域名的访问情况也可以监控内网病毒感染的情况。

三、普通用戶電腦應急修複及安全防範指引

3.1 已感染主机应急修复指引

如存在上述類似紅色勒索界面,則說明主機已經感染蠕蟲病毒,您可以采取如下措施進行修複:

步驟 1: 及時止損並離線備份重要數據

a> 普通用户可以以拔掉网线等方式隔离已遭受攻击电脑,避免感染其他机器,对相关重要文件采用离线备份(即使用 U 盘等方式)等方式进行备份。

b> 部分電腦帶有系統還原功能,可以在未遭受攻擊之前設置系統還原點,這樣即使遭受攻擊之後可以還原系統,找回被加密的原文件,不過還原點時間到遭受攻擊期間的文件和設置將會丟失。

c> 同時,大部分安全軟件已經具有該勒索軟件的防護能力或者其他免疫能力等,可以安裝這些安全軟件,開啓實時防護,避免遭受攻擊。

d> 對于个人用户,可以采用一些文件防护工具,进行文件的备份、防护。

步驟 2: 开展病毒清理

安裝安全軟件,利用殺軟的殺毒功能可直接查殺勒索軟件,同時進行掃描清理(已隔離的機器可以通過 U 盘等方式下载离线包安装)。

步驟 3: 尝试解密方案

嘗試方案1:打开勒索软件界面,點擊 copy(複制黑客的比特幣地址)
     1>  把 copy 粘贴到 btc.com (区块链查询器);
  2> 在區塊鏈查詢器中找到黑客收款地址的交易記錄,然後隨意選擇一個 txid(交易哈希值);
     3> 把 txid 复制粘贴给 勒索软件界面按钮 connect us;
     4> 等黑客看到后,再點擊勒索软件上的 check payment;
     5> 再點擊 decrypt 解密文件即可;

嘗試方案 2:尝试开源的脚本(需 python3 环境)来运行尝试恢复

下載鏈接:

https://github.com/QuantumLiu/antiBTCHack

嘗試方案 3:嘗試使用第三方數據恢複工具恢複已被蠕蟲病毒刪除的文件
     如 easyrecovery 等工具可帮助用户恢复部分已经删除的数据,但可能无法恢复加密数据。

如以上方式均無效,建議您重新安裝系統。

3.2 未感染主机安全防范指引

如暫未出現類似被勒索紅色彈框,建議及時進行自查和加固,避免被感染,
        您可以采取如下措施進行:

方式 1:利用 Windows 防火墙添加规则屏蔽端口

點擊開始菜單-打开控制面板-选择 Windows 防火墙

        

如果防火牆沒有開啓,點擊"启动或关闭 Windows 防火墙"启用防火墙后點擊" 确定

點擊"高級設置",然后左侧點擊"入站规则",再點擊右侧" 新建规则"

        


"特定本地端口"处填入 445 并點擊"下一步",选择"阻止连接",然后一直下一步,并给规则随意命名后點擊完成即可。

注:不同系統可能有些差異,不過操作類似

方式 2:利用 Windows Update 进行系统更新

利用 Windows 系统自带的 Windows Update 进行系统更新,更新到最新即可。

如確認已安裝 5 月份 KB4012264 补丁,则说明系统默认不受此次蠕虫病毒影响,确认方法可参考:
     Windows 7 : KB4012215 或 KB4015549 或 KB4019264;
     Windows 8.1:KB4012216 或 KB4015550 或 KB4019215;
     Windows 10  Windows 更新即可;
     Windows 8 暂无更新补丁,需升级至 Windows 8.1
     Windows 8.1 64 补丁链接:

http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows8.1-kb4019215-x64_d06fa047afc97c445c69181599e3a66568964b23.msu
     Windows 8.1 32 补丁链接:
     http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows8.1-kb4019215-x86_fe1cafb988ae5db6046d6e389345faf7bac587d7.msu
     Windows 7 64 补丁链接:
     http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows6.1-kb4019264-x64_c2d1cef74d6cb2278e3b2234c124b207d0d0540f.msu
     Windows 7 32 补丁链接:
     http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/

普通用戶在可以聯網狀態下,保證對該網址的可訪問,則可以避免在遭受攻擊後避免被加密(僅限于已知勒索病毒)。


免费拨打  400-100-2938
免费拨打  400-100-2938 免费拨打 400-100-2938
在线客服
在线客服 24小時售後技術支持
返回頂部
返回頂部 返回頂部