- 1、本文档共4页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
勒索病毒WannaCry防范处置手册
校园网用户:
2017年5月12日20时左右,全球爆发大规模基于Windows平台的勒索软件感染事件。该勒索病毒WannaCry(又名WannaCrypt0r或WCry)同时具备加密勒索和内网蠕虫传播能力,危害极大。病毒利用Windows系统默认开放的445端口在内网进行传播,不需要用户进行任何操作即可进行感染。感染后设备上的所有文件都将会被加密,一旦被加密即使支付也不一定能够获得解密密码。病毒攻击原理涉及到微软Windows操作系统SMB服务漏洞。虽然微软在2017年3月就已经推送了该漏洞相关补丁,该Windows操作系统SMB服务漏洞早在2017年4月发布预警,然而当时的预警仍然未引起很多的重视,依然有很多系统尚未安全更新补丁。这次病毒的爆发事件再次提醒大家重视安全,及时进行补丁升级。
学校于5月12日晚监测到病毒攻击有漫延扩大的趋势,已及时向用户发出了勒索软件病毒攻击的紧急通知,并开始对数据中心区域服务器进行安全排查,升级安全软件病毒库以及更新系统补丁,并下载最新的检测工具进行检测,13日凌晨完成对全校各区域路由器相应端口的网段隔离,封锁135/137/138/139/445端口双向流量,最大限度降低校园网内的传播风险。
为帮助用户共同防范病毒,网络中心收集整理了该勒索病毒的防范处置方法,广大师生用户可按照以下方法对个人电脑、笔记本进行处置。为避免用户防范处置时获取补丁和工具遇到问题,已将相关补丁和工具保存至校内服务器,供用户快速下载。
图1 整理的补丁和工具列表(链接见防范处置方法)
一、影响分析
此次利用的SMB漏洞影响以下未自动更新的操作系统: Windows XP/Windows 2000/Windows 2003 /Windows Vista/Windows Server 2008/Windows Server 2008 R2 /Windows 7/Windows 8/Windows 10 Windows Server 2012/Windows Server 2012 R2/Windows Server 2016
当系统被该勒索软件入侵后,弹出勒索对话框:
图 2 勒索界面
加密系统中的照片、图片、文档、压缩包、音频、视频、可执行程序等几乎所有类型的文件,被加密的文件后缀名被统一修改为“.WNCRY”。
图 3 加密后的文件名
二、漏洞检测
通过以下工具可以检测目标系统是否存在漏洞。
长亭科技漏洞检测工具:/cn/ms17010-checker.zip
漏洞检测工具校内下载1::8000/d/5337788652/ 访问密码 ms17-010??????? 漏洞检测工具校内下载2:ftp://ftpfile@3/? 访问密码 ms17-010
三、已经感染解决方案
1、断开网络连接,阻止进一步扩散。
2、已经感染终端,根据终端数据类型决定处置方式,如果重新安装系统则建议完全格式化硬盘、使用新操作系统、完善操作系统补丁、通过检查确认无相关漏洞后再恢复网络连接。
3、在处置同时尽快向网络中心报告情况,请拨打用户服务电话
360公式勒索蠕虫病毒恢复工具 /recovery/RansomRecovery.exe (说明:该工具可以尝试恢复部分被加密数据)
360公司专杀工具下载链接:/other/onionwormkiller
安天蠕虫勒索软件专杀工具(WannaCry)/response/wannacry/ATScanner.zip (说明:Wannacry勒索者软件清除工具可以对已经感染的主机进行勒索软件的清除,但无法恢复已经被加密的文件。)
校内快速下载地址1::8000/d/5337788652/ 访问密码 ms17-010????????校内快速下载地址2:ftp://ftpfile@3/? 访问密码 ms17-010
防范处置方案
对于目前尚未感染的用户来说:1断网/2开机/3封堵445端口(或免疫工具)/4打补丁,这个顺序至关重要,也最稳妥。
1、临时解决方案一:防火墙阻断445端口
对于以上Windows系统版本,建议在开机前先断网,在离线状态下开机,启用并打开“Windows防火墙”,进入“?级设置”,在?站规则?禁?“文件和打印机共享”相关规则,或者在入站规则中新增规则阻断445端口,此方案为临时缓解措施,只是临时关闭了SMB服务。操作详细步骤见参考资料6《360针对“永恒之蓝”攻击紧急处置手册》。
临时解决方案二:使用蠕虫快速免疫工具
360免疫工具的下载地址:/tools/OnionWormImmune.exe
安天免疫工具的下载地址:/response/wannacry/Vaccine_for_wannacry.zip
文档评论(0)