龙笑天龙笑天  4周前 (05-25) 来源:龙笑天下 隐藏边栏 |   14 条评论  371 
文章评分 48 次,平均分 5.0

近期国内多所院校出现ONION(WannaCry及变种)勒索软件感染情况,磁盘文件会被病毒加密为.onion后缀,该勒索软件运用了高强度的加密算法难以破解,被攻击者除了支付高额赎金外,往往没有其他办法解密文件,只有支付高额赎金才能解密恢复文件,对学习资料和个人数据造成严重损失。

ONION(WannaCry及变种)勒索软件病毒界面(一)

ONION(WannaCry及变种)勒索软件病毒界面(一)

ONION(WannaCry及变种)勒索软件病毒界面(二)

ONION(WannaCry及变种)勒索软件病毒界面(二)

根据网络安全机构通报,这是不法分子利用NSA黑客武器库泄漏的“永恒之蓝”(“EternalBlue”)发起的全球性病毒攻击事件,该事件导致很多国家的机场、医院、ATM机等系统大面积瘫痪,影响极其恶劣。

从被感染机器的情况来看,主要由几下几个原因导致的:

  • 一是操作系统、Office软件等没有采用正版软件,且漏洞、补丁更新不及时;
  • 二是不常用端口没有封闭;
  • 三是个人网络安全意识淡漠,没有定期备份文档的习惯。

防范方法

当然,各位也不要过分惊慌,以下是龙笑天下整理的一些预防之法,请趁早使用,因到目前为止,该病毒造成的结果是不可逆的。5月25号,阿里云已研发出了杀毒及文件恢复工具,详见下文“文件数据恢复方法”!

  1. 目前微软已发布补丁MS17-010修复了“永恒之蓝”攻击的系统漏洞,请尽快为电脑安装此补丁,网址为:https://technet.microsoft.com/zh-cn/library/security/MS17-010;(PS:貌似全球用户都在下载这个补丁,可能会导致此链接不可用~)
    a. 如果系统为WINDOWS 7或者WINDOWS 2008系统可下载下面的补丁离线安装包直接安装(其它系统请参见下面的资料四与资料五):
    win7/2008r2(32):http://dlied6.qq.com/invc/QQPatch/windows6.1-kb4012212-x86.msu
    win7/2008r2(64):http://dlied6.qq.com/invc/QQPatch/windows6.1-kb4012212-x64.msu
    b. 对于XP、2003等微软已不再提供安全更新的机器,由于本次全球范围内WannaCrypt蠕虫事件的巨大影响,微软总部刚才决定公开发布已停服的XP和部分服务器版WindowsServer 2003特别安全补丁:https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/
    c. 当然也可以使用360“NSA武器库免疫工具”检测系统是否存在漏洞,并关闭受到漏洞影响的端口,可以避免遭到勒索软件等病毒的侵害。免疫工具下载地址:http://dl.360safe.com/nsa/nsatool.exe 或者 直接下载360安全卫士离线救灾版:http://down.360safe.com/setup_jiuzai.exe
  2. 安装正版操作系统、Office软件等;
  3. 关闭445、137、138、139端口,关闭网络共享;
  4. 强化网络安全意识,“网络安全就在身边,要时刻提防”:不明链接不要点击,不明文件不要下载……
  5. 尽快(今后定期)备份自己电脑中的重要文件资料到移动硬盘/U盘/网盘上。

端口关闭方法

对于上面提到的第三点,可以通过以下2种方式来实现,任选其一即可:

方法一:一键关闭及恢复端口

通过这个软件来一键关闭及恢复端口:http://pan.baidu.com/s/1jIoPWii(提取码:d9rp),软件界面如下:

一键关闭和恢复端口软件界面

一键关闭和恢复端口软件界面

对于ONION勒索软件,只需封堵445端口即可,其它端口也可自行看着办;如需恢复,请点击一键恢复按钮。

使用成功后,会在windows防火墙(控制面板->高级设置)中显示出一条forbid 445的规则:

Windows防火墙中新增的端口关闭规则 by 软件

Windows防火墙中新增的端口关闭规则 by 软件

方法二:批处理bat方式关闭端口

通过批处理禁用该漏洞可能利用到的端口,全版本通用,自编写,将下面的代码复制到记事本里保存为.bat格式,右键管理员启动即可。

懒人请点击这里下载:http://www.blovb.com/wp-content/uploads/2017/05/venus.zip

使用此批处理后,会在windows防火墙中产生如图所示的端口关闭规则:

Windows防火墙中新增的端口关闭规则 by bat批处理

Windows防火墙中新增的端口关闭规则 by bat批处理

友情提示:关闭以上端口后,可能会造成打印机等网络共享设备无法使用;请在使用这些设备时,在以上产生的防火墙规则处暂时右键“禁用”即可。

文件数据恢复方法

2017.05.25 阿里云盾发布了一个“WannaCry勒索病毒”解密修复工具,中招的盆友赶紧去下载使用吧,你的数据有救了!

1.工作原理:本次发布的修复工具基于wannakiwi项目的研究成果:既通过搜索内存中的数据,获取解密的关键素数来进行数据解密。阿里云安全团队在研究基础上,进行调试和封装,让工具简单易用。

2. 适用范围:该工具适用于云上、云下Windows服务器操作系统用户。操作系统版本包括:Windows Server 2003、Windows Server 2008。

3.注意事项:

  • 加密的文件可以被成功恢复,但也出现内存数据被二次写入覆盖原有加密状态时的数据,导致数据恢复不成功的案例。
  • 阿里云安全团队强烈建议,在勒索病毒“中招后”,不要马上关闭、重启操作系统,也不要去手工查杀病毒,建议使用该修复工具尝试恢复数据。
  • 该工具目前只针对WannaCry加密软件研发,Windows系统均可使用,如果运行和解密数据失败不会对系统造成任何影响。此外,用户也可以选择使用磁盘数据恢复软件来尝试恢复数据。

具体操作步骤:

完成以下三个步骤即可杀掉病毒、恢复文件了。

1.下载&运行:免费下载该工具到被加密的服务器或 PC 机器上,并双击运行,如下图所示:

双击运行工具

双击运行工具

2.清除蠕虫:首先点击『清除蠕虫』按钮,清理掉蠕虫病毒程序及服务,如下图所示:

清除蠕虫

清除蠕虫

3.执行恢复:完成清理后点击恢复文件按钮,执行文件恢复功能,期间执行时间会较长,请耐心等待,如下图所示:

恢复文件

恢复文件

参考资料

【转】关于防范ONION勒索软件病毒攻击的紧急通知 - 吾爱破解
NSA漏洞封堵工具 - 吾爱破解
关于大规模勒索软件在教育网横行的解决方案与具体细节 - 黑鸟安全网
Windows勒索病毒'Wannacry'修复补丁下载,救命必看 - kisbos的博客 - CSDN
永恒之蓝漏洞所有版本的独立安全更新包下载|蓝点网
企业预防勒索解决方案-云盾

 

除特别注明外,本站所有文章均为龙笑天下原创,转载请注明出处来自:http://www.ilxtx.com/nsa-toolbox-onion-wannacry-ransomware-virus.html

龙笑天
龙笑天 最后编辑于:2017-05-26
互助分享,互联网本该如此!
×

感谢您对龙笑天的支持,么么哒~

支付宝打赏 龙笑天
请扫码随意打赏

打开支付宝扫一扫,即可进行扫码打赏哦

龙笑天下 - 分享悲伤;共享快乐

发表评论

表情 链接 贴图 私信 格式 签到

最赞评论
  1. BanYuner
    BanYuner 评论达人 LV.2 来自天朝的朋友 谷歌浏览器 Windows 10 湖北省武汉市 电信

    对于我来说的话,没有什么实际意义,因为我每周全盘备份,是全盘备份,哈哈

  2. 玉满斋
    玉满斋 来自天朝的朋友 谷歌浏览器 Windows 10 河南省南阳市 电信

    我感觉只要保持良好的网络浏览习惯,一般很难中毒的!

  3. boke112导航
    boke112导航 评论达人 LV.2 来自天朝的朋友 火狐浏览器 Windows XP 广西南宁市 电信

    这个病毒确实够狠,据说有些给了钱也没办法

  1. 我赚啦
    我赚啦 来自天朝的朋友 搜狗浏览器 Windows 7 山东省 联通

    古人日三省其身,我从博客里吸收养分!

    6楼 2017-05-20 10:31
    0 0 回复
  2. 彩票自助机
    彩票自助机 评论达人 LV.1 来自天朝的朋友 谷歌浏览器 Windows 7 北京市 联通

    这个病毒页面,还是很丑的,平时要把共享关掉

    5楼 2017-05-17 16:13
    0 0 回复
  3. BanYuner
    BanYuner 评论达人 LV.2 来自天朝的朋友 谷歌浏览器 Windows 10 湖北省武汉市 电信

    对于我来说的话,没有什么实际意义,因为我每周全盘备份,是全盘备份,哈哈

    4楼 2017-05-16 22:56
    3 0 回复
  4. 玉满斋
    玉满斋 来自天朝的朋友 谷歌浏览器 Windows 10 河南省南阳市 电信

    我感觉只要保持良好的网络浏览习惯,一般很难中毒的!

    地板 2017-05-16 10:21
    2 0 回复
  5. boke112导航
    boke112导航 评论达人 LV.2 来自天朝的朋友 火狐浏览器 Windows XP 广西南宁市 电信

    这个病毒确实够狠,据说有些给了钱也没办法

    板凳 2017-05-15 14:15
    1 0 回复
  6. 彩票自助机
    彩票自助机 评论达人 LV.1 来自天朝的朋友 谷歌浏览器 Windows 7 北京市朝阳区 联通

    据听说是给中国设计的 还能还价 真是可恶

    沙发 2017-05-15 13:43
    0 0 回复
切换注册

登录

忘记密码 ?

您也可以使用第三方帐号快捷登录。
使用QQ或微博快捷登录后,请完善个人资料中的电子邮件地址,便于及时收到回复提醒邮件和用于登录!

切换登录

注册

扫一扫二维码分享