LXTX
龙笑天龙笑天  2017-05-25 21:49 来源:龙笑天下 隐藏边栏 |   14 条评论  399 
文章评分 48 次,平均分 5.0

近期国内多所院校出现 ONION(WannaCry及变种)勒索软件感染情况,磁盘文件会被病毒加密为.onion 后缀,该勒索软件运用了高强度的加密算法难以破解,被攻击者除了支付高额赎金外,往往没有其他办法解密文件,只有支付高额赎金才能解密恢复文件,对学习资料和个人数据造成严重损失。

ONION(WannaCry 及变种)勒索软件病毒界面(一)

ONION(WannaCry 及变种)勒索软件病毒界面(一)

ONION(WannaCry 及变种)勒索软件病毒界面(二)

ONION(WannaCry 及变种)勒索软件病毒界面(二)

根据网络安全机构通报,这是不法分子利用 NSA 黑客武器库泄漏的“永恒之蓝”(“EternalBlue”)发起的全球性病毒攻击事件,该事件导致很多国家的机场、医院、ATM 机等系统大面积瘫痪,影响极其恶劣。

从被感染机器的情况来看,主要由几下几个原因导致的:

  • 一是操作系统、Office 软件等没有采用正版软件,且漏洞、补丁更新不及时;
  • 二是不常用端口没有封闭;
  • 三是个人网络安全意识淡漠,没有定期备份文档的习惯。

防范方法

当然,各位也不要过分惊慌,以下是龙笑天下整理的一些预防之法,请趁早使用,因到目前为止,该病毒造成的结果是不可逆的。5 月 25 号,阿里云已研发出了杀毒及文件恢复工具,详见下文“文件数据恢复方法”!

  1. 目前微软已发布补丁 MS17-010 修复了“永恒之蓝”攻击的系统漏洞,请尽快为电脑安装此补丁,网址为:https://technet.microsoft.com/zh-cn/library/security/MS17-010;(PS:貌似全球用户都在下载这个补丁,可能会导致此链接不可用~)
    a. 如果系统为 WINDOWS 7 或者 WINDOWS 2008 系统可下载下面的补丁离线安装包直接安装(其它系统请参见下面的资料四与资料五):
    win7/2008r2(32):http://dlied6.qq.com/invc/QQPatch/windows6.1-kb4012212-x86.msu
    win7/2008r2(64):http://dlied6.qq.com/invc/QQPatch/windows6.1-kb4012212-x64.msu
    b. 对于 XP、2003 等微软已不再提供安全更新的机器,由于本次全球范围内 WannaCrypt 蠕虫事件的巨大影响,微软总部刚才决定公开发布已停服的 XP 和部分服务器版 WindowsServer 2003 特别安全补丁:https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/
    c. 当然也可以使用 360“NSA 武器库免疫工具”检测系统是否存在漏洞,并关闭受到漏洞影响的端口,可以避免遭到勒索软件等病毒的侵害。免疫工具下载地址:http://dl.360safe.com/nsa/nsatool.exe 或者 直接下载 360 安全卫士离线救灾版:http://down.360safe.com/setup_jiuzai.exe
  2. 安装正版操作系统、Office 软件等;
  3. 关闭 445、137、138、139 端口,关闭网络共享;
  4. 强化网络安全意识,“网络安全就在身边,要时刻提防”:不明链接不要点击,不明文件不要下载……
  5. 尽快(今后定期)备份自己电脑中的重要文件资料到移动硬盘/U 盘/网盘上。

端口关闭方法

对于上面提到的第三点,可以通过以下 2 种方式来实现,任选其一即可:

方法一:一键关闭及恢复端口

通过这个软件来一键关闭及恢复端口:http://pan.baidu.com/s/1jIoPWii(提取码:d9rp),软件界面如下:

一键关闭和恢复端口软件界面

一键关闭和恢复端口软件界面

对于 ONION 勒索软件,只需封堵 445 端口即可,其它端口也可自行看着办;如需恢复,请点击一键恢复按钮。

使用成功后,会在 windows 防火墙(控制面板->高级设置)中显示出一条 forbid 445 的规则:

Windows 防火墙中新增的端口关闭规则 by 软件

Windows 防火墙中新增的端口关闭规则 by 软件

方法二:批处理 bat 方式关闭端口

通过批处理禁用该漏洞可能利用到的端口,全版本通用,自编写,将下面的代码复制到记事本里保存为.bat格式,右键管理员启动即可。

懒人请点击这里下载:http://www.blovb.com/wp-content/uploads/2017/05/venus.zip

使用此批处理后,会在 windows 防火墙中产生如图所示的端口关闭规则:

Windows 防火墙中新增的端口关闭规则 by bat 批处理

Windows 防火墙中新增的端口关闭规则 by bat 批处理

友情提示:关闭以上端口后,可能会造成打印机等网络共享设备无法使用;请在使用这些设备时,在以上产生的防火墙规则处暂时右键“禁用”即可。

文件数据恢复方法

2017.05.25 阿里云盾发布了一个“WannaCry 勒索病毒”解密修复工具,中招的盆友赶紧去下载使用吧,你的数据有救了!

1.工作原理:本次发布的修复工具基于 wannakiwi 项目的研究成果:既通过搜索内存中的数据,获取解密的关键素数来进行数据解密。阿里云安全团队在研究基础上,进行调试和封装,让工具简单易用。

2. 适用范围:该工具适用于云上、云下 Windows 服务器操作系统用户。操作系统版本包括:Windows Server 2003、Windows Server 2008。

3.注意事项:

  • 加密的文件可以被成功恢复,但也出现内存数据被二次写入覆盖原有加密状态时的数据,导致数据恢复不成功的案例。
  • 阿里云安全团队强烈建议,在勒索病毒“中招后”,不要马上关闭、重启操作系统,也不要去手工查杀病毒,建议使用该修复工具尝试恢复数据。
  • 该工具目前只针对 WannaCry 加密软件研发,Windows 系统均可使用,如果运行和解密数据失败不会对系统造成任何影响。此外,用户也可以选择使用磁盘数据恢复软件来尝试恢复数据。

具体操作步骤:

完成以下三个步骤即可杀掉病毒、恢复文件了。

1.下载&运行:免费下载该工具到被加密的服务器或 PC 机器上,并双击运行,如下图所示:

双击运行工具

双击运行工具

2.清除蠕虫:首先点击『清除蠕虫』按钮,清理掉蠕虫病毒程序及服务,如下图所示:

清除蠕虫

清除蠕虫

3.执行恢复:完成清理后点击恢复文件按钮,执行文件恢复功能,期间执行时间会较长,请耐心等待,如下图所示:

恢复文件

恢复文件

参考资料

【转】关于防范 ONION 勒索软件病毒攻击的紧急通知 - 吾爱破解
NSA 漏洞封堵工具 - 吾爱破解
关于大规模勒索软件在教育网横行的解决方案与具体细节 - 黑鸟安全网
Windows 勒索病毒'Wannacry'修复补丁下载,救命必看 - kisbos 的博客 - CSDN
永恒之蓝漏洞所有版本的独立安全更新包下载|蓝点网
企业预防勒索解决方案-云盾

本文为原创文章,版权归所有,欢迎分享本文,转载请保留出处!

龙笑天
龙笑天 关注:24    粉丝:12 最后编辑于:2017-05-26
互助分享,互联网本该如此!
×

感谢您对龙笑天的支持,么么哒~

支付宝打赏 龙笑天
请扫码随意打赏

打开支付宝扫一扫,即可进行扫码打赏哦

龙笑天下 - 分享悲伤;共享快乐

发表评论

表情 贴图 链接 私密 格式 签到

最赞评论
  1. BanYuner
    BanYuner 评论达人 LV.2 来自天朝的朋友 谷歌浏览器 Windows 10 湖北省武汉市 电信

    对于我来说的话,没有什么实际意义,因为我每周全盘备份,是全盘备份,哈哈

  2. 玉满斋
    玉满斋 来自天朝的朋友 谷歌浏览器 Windows 10 河南省南阳市 电信

    我感觉只要保持良好的网络浏览习惯,一般很难中毒的!

  3. boke112导航
    boke112导航 评论达人 LV.3 来自天朝的朋友 火狐浏览器 Windows XP 广西南宁市 电信

    这个病毒确实够狠,据说有些给了钱也没办法

  1. 我赚啦
    我赚啦 来自天朝的朋友 搜狗浏览器 Windows 7 山东省 联通

    古人日三省其身,我从博客里吸收养分!

    6楼 2017-05-20 10:31
    0 0 回复
  2. 彩票自助机
    彩票自助机 评论达人 LV.1 来自天朝的朋友 谷歌浏览器 Windows 7 北京市 联通

    这个病毒页面,还是很丑的,平时要把共享关掉

    5楼 2017-05-17 16:13
    0 0 回复
  3. BanYuner
    BanYuner 评论达人 LV.2 来自天朝的朋友 谷歌浏览器 Windows 10 湖北省武汉市 电信

    对于我来说的话,没有什么实际意义,因为我每周全盘备份,是全盘备份,哈哈

    4楼 2017-05-16 22:56
    3 0 回复
  4. 玉满斋
    玉满斋 来自天朝的朋友 谷歌浏览器 Windows 10 河南省南阳市 电信

    我感觉只要保持良好的网络浏览习惯,一般很难中毒的!

    地板 2017-05-16 10:21
    2 0 回复
  5. boke112导航
    boke112导航 评论达人 LV.3 来自天朝的朋友 火狐浏览器 Windows XP 广西南宁市 电信

    这个病毒确实够狠,据说有些给了钱也没办法

    板凳 2017-05-15 14:15
    1 0 回复
  6. 彩票自助机
    彩票自助机 评论达人 LV.1 来自天朝的朋友 谷歌浏览器 Windows 7 北京市朝阳区 联通

    据听说是给中国设计的 还能还价 真是可恶

    沙发 2017-05-15 13:43
    0 0 回复
切换注册

登录

忘记密码 ?

您也可以使用第三方帐号快捷登录

切换登录

注册

您也可以使用第三方帐号一键快捷注册

扫一扫二维码分享