2017最恐怖的勒索病毒来袭!文件暂无法恢复 来看下正确的预防姿势

2017年5月12日,一款Windows敲诈勒索病毒大规模爆发,在全国乃至全世界大范围蔓延,感染用户主要集中在企业、高校等内网环境。

该勒索软件是一个名称为“wannacry”的新家族,目前无法解密该勒索软件加密的文件。该勒索软件迅速感染全球大量主机的原因是利用了基于445端口传播扩散的SMB漏洞MS17-010,攻击者扫描全网开放的445端口,再利用自动化攻击脚本生成恶意文件感染主机。

如果互联网用户已经感染了该网络勒索病毒,目前尚无完美的处理方法。也就是被感染的文件暂时没有办法恢复!

勒索病毒采用了高强度加密算法,如果没有病毒制作者的私钥,普通电脑暴力破解至少需要数十万年。如果已经中毒,这时应该全盘扫描杀毒,并尽快打好补丁,不要被“电脑打补丁会变慢”的谣言误导。

此次病毒爆发就是使用“永恒之蓝”攻击有漏洞的Windows设备。由于教育网没有封禁445端口,存在大量暴露漏洞的机器,成为勒索病毒重灾区。另外,一些没有及时打补丁的企业和交通、能源等行业基础设施内网也遭到感染。

预防解决方案:

对于Win7及以上版本的操作系统,目前微软已发布补丁MS17-010修复了“永恒之蓝”攻击的系统漏洞,请立即电脑安装此补丁。出于基于权限最小化的安全实践,建议用户关闭并非必需使用的Server服务。

对于Windows XP、2003等微软已不再提供安全更新的机器,推荐使用360“NSA武器库免疫工具”检测系统是否存在漏洞,并关闭受到漏洞影响的端口,以避免遭到勒索蠕虫病毒的侵害。免疫工具下载地址:http://dl.360safe.com/nsa/nsatool.exe。这些老操作系统的机器建议加入淘汰替换队列,尽快进行升级。

久久博客根据实际测试,建议大家还是采用关闭端口的方式解决该问题,具体方案如下:

Windows7及以上系统,以管理员模式运行cmd或powershell,并依次执行以下两条命令:
netsh advfirewall set allprofile state on

netsh advfirewall firewall add rule name=deny445 dir=in action=block protocol=TCP localport=445

WindowsXP直接在cmd窗口中运行:
netsh firewall set opmode enable

netsh firewall set portopening protocol=TCP port=445 mode=disable name=deny445 net stop rdr net stop srv net stop netbt

第一条命令为开启防火墙(无论防火墙是否开启都可以执行)
第二条命令为添加一条inbound记录,名字为band445,内容为拒绝445端口的tcp连接,同时建议把不常用的其他端口,比如139,135等,把第二条命令的445改为对应的端口数字即可.

执行完毕后,端口已经封禁,测试内网也无法访问了.

1 thought on “2017最恐怖的勒索病毒来袭!文件暂无法恢复 来看下正确的预防姿势”

发表评论

电子邮件地址不会被公开。 必填项已用*标注