效劳热线:400-678-4567
您如今的位置: 群英网络首页> 服务中心> 群英通告> 注释

Wannacry 讹诈蠕虫病毒用户修复指引_永利高55091.com

  • 群英资助中央
  • 2017-05-16 10:55:18

一、Wannacry 讹诈蠕虫病毒事宜配景

北京时间2017年5月12日早,讹诈软件"WannaCry"熏染事宜发作,环球范围内150个国度遭到大规模网络进击,被攻击者电脑中的文件被加密,被要求领取比特币以解密文件;浩瀚行业遭到影响,好比英国的NHS效劳,致使最少40家医疗机构内网被攻下,电脑被加密讹诈;而我国浩瀚行业的也是云云,个中又以教育网最为明显,致使局部讲授体系没法一般运转,相干学子毕业论文被加密等。停止到北京时间5月15日09点,现在事宜趋向曾经舒展到更多行业,包罗金融、能源、医疗、交通等行业均遭到影响。

往年4月14日黑客构造Shadow Brokers(影子经纪人)宣布了Equation Group(方程式构造)运用的"网络军械",个中包罗了一些Windows破绽(微软编号为MS17-010)和应用东西,这些破绽应用中以Eternalblue(永久之蓝)最为轻易应用,而且网上泛起的相干进击剧本和应用教程也以该破绽为主,而正在4月14往后我们监控捕捉的多起Windows主机入侵事宜均是以应用Eternalblue停止入侵;Eternalblue能够近程进击Windows的445端口,该端口重要用于基于SMB和谈的文件同享和打印机同享效劳。正在以往捕捉的应用Eternalblue停止入侵进击的事宜,黑客重要停止挖矿、DDoS等行动,而本次事宜则是应用该破绽停止讹诈病毒的植入和流传。

本次事宜影响局限普遍,本指引意在指点云上用户正在蒙受进击前后停止相干处置惩罚,个人用户也可参考局部章节。

二、云用户主机应急修复及平安防备指引

2.1 确认机械是不是已熏染 WannaCry 蠕虫病毒

搜检主机是不是存在以下相似赤色赎金领取界面:

2.2 已熏染主机应急修复指引

如存在以上相似赤色讹诈界面,则阐明主机曾经熏染蠕虫病毒,您能够接纳以下步伐停止修复:

步调 1: 实时行益并离线备份主要数据

云用户能够以去掉绑定的中网 IP 等体式格局断绝已蒙受进击电脑,制止熏染其他机械,同时能够正在云内网通过 ftp 体式格局拷贝还未被加密的文件到内网其他平安服务器。

局部电脑带有系统还原功用,能够正在已蒙受进击之前设置系统还原点,如许纵然蒙受进击以后能够复原体系,找回被加密的原文件,不外复原点工夫到蒙受进击时期的文件和设置将会丧失。

与此同时,大部分平安软件曾经具有该讹诈软件的防护才能大概其他免疫才能等,能够安装这些平安软件,开启及时防护,制止蒙受进击。

步调 2: 展开病毒清算

安装平安软件,应用杀硬的杀毒功用可间接查杀讹诈软件,同时停止扫描清算(已断绝的机械能够经由过程U 盘等体式格局下载离线包安装)。

步调 3: 实验解密计划

实验计划 1:实验经由过程已解密的生意业务纪录停止解密
翻开讹诈软件界面,点击 copy(复制黑客的比特币地点)

copy 粘贴到 btc.com (区块链查询器);

正在区块链查询器中找到黑客收款地点的生意业务纪录,然后随便挑选一个 txid(生意业务哈希值);

把 txid 复制粘贴给 讹诈软件界面按钮 connect us;

等黑客看到后,再点击讹诈软件上的 check payment;

再点击 decrypt 解密文件便可;

实验计划 2:实验开源的剧本(需 python3 情况)去运转实验规复

下载链接:

https://github.com/QuantumLiu/antiBTCHack

实验计划 3:实验运用讹诈软件自带规复功用规复已被蠕虫病毒删除的文件

讹诈软件带有规复局部加密文件的功用,能够间接经由过程讹诈软件规复局部文件,不外该规复有限;间接点击讹诈软件界面上的"Decrypt"可弹出规复窗口,显现可免费规复的文件列表,然后点击"Start"便可规复列表中文。


yl.cm

实验计划 4:实验运用第三方数据规复东西规复已被蠕虫病毒删除的文件。
凭据对讹诈病毒剖析,讹诈软件正在加密文件后会删除源文件,以是经由过程数据规复软件有肯定概率规复已被加密的局部文件,能够运用第三方数据规复东西实验数据规复,如 easyrecovery 等东西可资助用户规复局部曾经删除的数据,但能够没法规复加密数据。

如以上体式格局均无效,发起您重新安装体系

2.3 已熏染主机平安防备指引

如暂未泛起相似被讹诈赤色弹框,发起实时停止自查和加固,制止被熏染,您能够接纳以下步伐停止:

体式格局 1:应用 Windows Update 停止体系更新

应用体系自带的 Windows Update 停止体系更新,更新到最新。关于离线用户,亦能够经由过程以下补钉下载地点停止安装:

http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

yl12311.com

下载后,点击“下一步” 停止安装。

体式格局 2:封闭受影响 SMBv1 效劳

3.1 关于运转 Windows 8.1 或 Windows Server 2012 R2 及更高版本的客户

关于 Windows 8.1 客户端操作系统:
1> 翻开“掌握面板”,单击“顺序”,然后单击“翻开或封闭 Windows 功用”。

2> 正在“Windows 功用”窗口中,消灭“SMB 1.0/CIFS 文件同享支撑”复选框,然后单击“肯定”以封闭此窗口。

3> 重启体系,使设置见效。

关于 Windows Server 2012 及以上服务器操作系统:
a> 翻开“服务器管理器”,单击“管理”菜单,然后挑选“删除脚色和功用”。


b> 正在“功用”窗口中,消灭“SMB 1.0/CIFS 文件同享支撑”复选框,然后单击“肯定”以封闭此窗口。

c> 重启体系。

3.2 关于运转 Windows 7、 Windows Server 2008 R2、 Windows Vista 和Windows Server 2008 的用户:
1> 正在命令行界面翻开并修正注册表

2> 翻开注册表途径︰
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters

永利高55091.com

3> 新建项︰ SMB1,值 0(DWORD)

4> 重新启动计算机

体式格局 4:安装病毒免疫东西

可采用一些免疫东西停止自动化的补钉安装和端口屏障

体式格局_yl.cm 5:竖立灭活域名免疫机制

凭据网络安全团队对已有样本剖析,讹诈软件存在触发机制,若是能够胜利接见

www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com和www.ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.com(现在已监控到的wannacry变种木马开关域名),则电脑正在中了讹诈病毒后不会停止文件加密而间接退出。现在该域名已被平安职员注册,能够一般接见。

企业用户能够经由过程在内网搭建 Web Server,然后经由过程内网 DNS 的体式格局将域名解析到 Web Server IP 的体式格局去实现免疫;经由过程该域名的接见状况也能够监控内网病毒感染的状况。

三、普通用户电脑应急修复及平安防备指引

3.1 已熏染主机应急修复指引

如存在上述相似赤色讹诈界面,则阐明主机曾经熏染蠕虫病毒,您能够接纳以下步伐停止修复:

步调 1: 实时行益并离线备份主要数据

a> 普通用户能够以拔掉网线等体式格局断绝已蒙受进击电脑,制止熏染其他机械,对相干重要文件接纳离线备份(即运用 U 盘等体式格局)等体式格局停止备份。

b> 局部电脑带有系统还原功用,能够正在已蒙受进击之前设置系统还原点,如许纵然蒙受进击以后能够复原体系,找回被加密的原文件,不外复原点工夫到蒙受进击时期的文件和设置将会丧失。

c> 同时,大部分平安软件曾经具有该讹诈软件的防护才能大概其他免疫才能等,能够安装这些平安软件,开启及时防护,制止蒙受进击。

d> 关于个人用户,能够接纳一些文件防护东西,停止文件的备份、防护。

步调_永利高55091.com 2: 展开病毒清算

安装平安软件,应用杀硬的杀毒功用可间接查杀讹诈软件,同时停止扫描清算(已断绝的机械能够经由过程 U 盘等体式格局下载离线包安装)。

步调 3: 实验解密计划

实验计划1:翻开讹诈软件界面,点击 copy(复制黑客的比特币地点)
1>  把 copy 粘贴到 btc.com (区块链查询器);
2> 正在区块链查询器中找到黑客收款地点的生意业务纪录,然后随便挑选一个 txid(生意业务哈希值);
3> 把 txid 复制粘贴给 讹诈软件界面按钮 connect us;
4> 等黑客看到后,再点击讹诈软件上的 check payment;
5> 再点击 decrypt 解密文件便可;

实验计划 2:实验开源的剧本(需 python3 情况)去运转实验规复

下载链接:

https://github.com/QuantumLiu/antiBTCHack

实验计划 3:实验运用第三方数据规复东西规复已被蠕虫病毒删除的文件
easyrecovery 等东西可资助用户规复局部曾经删除的数据,但能够没法规复加密数据。

如以上体式格局均无效,发起您重新安装体系。

3.2 已熏染主机平安防备指引

如暂未泛起相似被讹诈赤色弹框,发起实时停止自查和加固,制止被熏染,
您能够接纳以下步伐停止:

体式格局 1:应用 Windows 防火墙增加划定规矩屏障端口

点击开始菜单-翻开掌握面板-挑选 Windows 防火墙

若是防火墙没有开启,点击"启动或封闭 Windows 防火墙"启用防火墙后点击" 肯定

点击"初级设置",然后左边点击"入站划定规矩",再点击右边" 新建划定规矩"

正在"特定当地端口"处填入 445 并点击"下一步",挑选"阻挠衔接",然后一向下一步,并给划定规矩随便定名后点击完成便可。

注:差别体系能够有些差别,不外操纵相似

体式格局 2:应用 Windows Update 停止体系更新

应用 Windows 体系自带的 Windows Update 停止体系更新,更新到最新便可。

如确认已安装 5 月份 KB4012264 补钉,则阐明体系默许不受此次蠕虫病毒影响,确认要领可参考:
Windows 7 : KB4012215 或 KB4015549 或 KB4019264;
Windows 8.1:KB4012216 或 KB4015550 或 KB4019215;
Windows 10 去_永利高的网站 Windows 更新便可;
Windows 8 久无更新补钉,需晋级至 Windows 8.1
Windows 8.1 64 补钉链接:

http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows8.1-kb4019215-x64_d06fa047afc97c445c69181599e3a66568964b23.msu
Windows 8.1 32 补钉链接:
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows8.1-kb4019215-x86_fe1cafb988ae5db6046d6e389345faf7bac587d7.msu
Windows 7 64 补钉链接:
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows6.1-kb4019264-x64_c2d1cef74d6cb2278e3b2234c124b207d0d0540f.msu
Windows 7 32 补钉链接:
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/

普通用户正在能够联网状况下,包管对该网址的可接见,则能够制止正在蒙受进击后制止被加密(仅限于已知讹诈病毒)。


群英下防专家更用心、专注、专业!_yl12311.com

高防云防备的开创者

专业资深工程师驻守
7X24小时极速相应
一站式无忧技术支持
免费立案效劳

24小时售后QQ:8000 15230 24小时售后TEL:0668-2555666 卖前征询TEL:400-678-4567 赞扬发起TEL:0668-2555999 信息平安TEL:0668-2190146 公司总机:0668-2555555 公司传真:0668-2555000
免费拨打  400-678-4567
免费拨打  400-678-4567 免费拨打 400-678-4567
工具条
返回顶部
返回顶部 返回顶部
永利高的网站