下载本文档
版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
-.z.最新讹诈软件WannaCrypt病毒感染前后应对措施针对WannaCrypt讹诈病毒的讨论和技术文章是铺天盖地,大量的技术流派,平安厂家等纷纷献计献策,有平安厂家开发各种平安工具,对平安生态来说是一个好事,但对个人未必就是好事,我们国家很多用户是普通用户是平安小白,如果遭遇WannaCrypt讹诈软件,我们该怎么办"simeon来源:51CTO.|2017-05-1423:03收藏分享技术沙龙|6月30日与多位专家探讨技术高速开展下如何应对运维新挑战!【51CTO.原创稿件】针对WannaCrypt讹诈病毒的讨论和技术文章是铺天盖地,大量的技术流派,平安厂家等纷纷献计献策,有平安厂家开发各种平安工具,对平安生态来说是一个好事,但对个人未必就是好事,我们国家很多用户是普通用户是平安小白,如果遭遇WannaCrypt讹诈软件,我们该怎么办"是主动积极应对,还是被动等待被病毒感染,这完全取决于您个人选择,笔者战斗在病毒对抗的第一线,将一些经历跟大家分享,希望能对您有所帮助!本文收集了windows*p-windows2012所有的补丁程序以及360等平安公司的平安工具程序供大家下载,下载地址:pan.baidu./s/1boBiHN*一.病毒危害1.1病毒感染的条件到互联网上乃至技术专家都认为WannaCrypt攻击源头来自于MS17-010漏洞,在现实中很多被感染网络是网,mssecsvc.e*e病毒文件大小只有3M多,其后续加密生成有多个文件,这些文件是从哪里来,网是跟外网隔离的!笔者整理认为病毒感染是有条件的:1.Windows7以上操作系统感染几率较高2.在感染的网络上,如果系统开放了445端口,将被快速感染计算机。3.网补丁更新不及时1.2病毒感染的后果WannaCrypt讹诈病毒被定义为蠕虫病毒,其传播速度非常快,一旦被感染,只有两种途径来解决,一种是支付赎金,另外一种就是重装系统,所有资料全部归零。通过笔者分析,如果是在病毒WannaCrypt发作前,能够成功去除病毒,将可以救回系统,减少损失!360也提供了一款讹诈蠕虫病毒文件恢复工具RansomRecovery,其下载地址:dl.360safe./recovery/RansomRecovery.e*e主要针对讹诈病毒成功感染后的恢复,越早恢复,文件被恢复的几率越高二、WannaCrypt讹诈病毒原理分析WannaCrypt讹诈病毒原理分析笔者再次就不赘述了,详细情况请参阅WanaCrypt0r讹诈蠕虫完全分析报告(bobao.360./learning/detail/3853.html)。笔者要想说的是病毒感染的三个时间段:1.病毒感染初阶段,病毒从未知渠道进入网络,病毒开场攻击网*台主机,对计算机存在漏洞计算机进展攻击,成功后释放mssecsvc.e*e文件,并连接固定url(54.153.0.145):.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.;a)如果连接成功,则退出程序b)连接失败则继续攻击2.病毒感染中阶段接下来蠕虫开场判断参数个数,小于2时,进入安装流程;大于等于2时,进入效劳流程3.病毒感染后阶段,对磁盘文件进展加密处理,出现讹诈软件界面。三、讹诈病毒处理的黄金时间笔者在实际病毒对抗过程中发现,加固是针对未感染的计算机有用,感染后的计算机加固也是无用的!!!!在前面病毒运行阶段有两个小时的黄金时间,我想明天大家上班了,如果个人人走关机,则意味做网络是关闭的,计算机是平安的,这时候第一时间是拔掉网线,然后再开启计算机!!如果网络中已经存在病毒了,则应该以最快的速度来完毕病毒,可以参考文章后面的完毕病毒进程,然后是备份文件,最后加固!如果有条件可以利用linu*启动盘启动系统,先备份文件,然后再做其他事情!整理了一下具体流程:1.开机前拔掉网线,不使用网络。2.假设熟悉linu*,可以刻盘启动计算机,使用U盘对文件进展备份。3.使用本文提及的方法清理病毒。4.使用平安优盘进展系统文件备份,如果没有优盘,则可以将需要备份的文件先行压缩为rar文件,然后再修改为.e*e文件。四、平安处理建议1.病毒感染前处理(1)采用后续局部135、139、445等端口加固方法加固。(2)也可使用360的NSA武器免疫工具检测计算机是否存在漏洞,如图1所示,在windows2003SP1虚拟机中进展检测显示无漏洞。图1使用360的nsa武器库免疫工具(3)使用安天免疫工具进展检测和设置,如图2所示,按照运行结果进展设置即可。图2使用安天免疫工具进展设置(4)根据系统实际情况安装补丁,我已经收集目前可用的平安工具以及相对应当漏洞补丁程序。2.病毒正在感染,通过netstat-an命令查看,如果系统出现大量的445连接,说明肯定存在病毒,可以使用以下方法进展杀毒,同时拔掉网线!(另外一种方法就是通过kali等linu*启动盘去去除病毒也可以,然后通过U盘直接备份资料)(1)设置查看文件选项由于病毒设置了隐藏属性,正常情况下无法查看该文件,需要对文件查看进展设置,即在资源管理器中单击“工具〞-“文件夹选项〞,如图3所示。图3翻开文件夹选项设置去掉“隐藏受保护的操作系统文件(推荐)〞、选择“显示隐藏的文件、文件夹和驱动器〞、去掉“隐藏文件类型的扩展名〞,如图4所示,即可查看在windows目录下的病毒隐藏文件。图4文件夹查看选项设置(2)完毕进程通过任务管理器,在任务栏上右键单击选择“启动任务管理器〞,如图5所示,从进程中去查找mssecsvc.e*e和tasksche.e*e文件,选中mssecsvc.e*e和tasksche.e*e,右键单击选择“完毕进程树〞将病毒程序完毕,又可能会反复启动,完毕动作要快。以上三个文件一般位于c:\windows目录。图5完毕进程(3)删除程序到windows目录将三个文件按照时间排序,一般会显示今天或者比拟新的时期,将其删除,如果进程完毕后,又启动可来回删除和完毕。直到将这三个文件删除为止,有可能到写本文章的时候,已经有病毒变体,但方法一样,删除新生成的文件。(4)再次查看网络使用netstat–an命令再次查看网络连接情况,无对外连接情况,一切恢复正常。可以使用平安计算机下载平安工具Autoruns以及ProcessE*plorer,通过光盘刻录软件,到感染病毒计算机中进展去除病毒!软件下载地址:s://download.sysinternals./files/Autoruns.zips://download.sysinternals./files/ProcessE*plorer.zip注意,本文所指去除病毒是指讹诈软件还未对系统软件进展加密!如果在桌面出现黄色小图标,桌面背景有红色英文字体显示(桌面有窗口弹出带锁图片,WanaDecryptor2.0),这说明系统已经被感染了。3.病毒已经感染如果系统已经被病毒感染,则下载RansomRecovery(dl.360safe./recovery/RansomRecovery.e*e)进展恢复。五、病毒原始文件分析1.文件名称及大小本次捕获到病毒样本文件三个,mssecsvc.e*e、qeriuwjhrf、tasksche.e*e,如图6所示,根据其md5校验值,tasksche.e*e和qeriuwjhrf文件大小为3432KB,mssecsvc.e*e大小为3636KB。2.md5校验值使用md5计算工具对以上三个文件进展md5值计算,其md5校验值分别如下:tasksche.e*e8b2d830d0cf3ad16a547d5b23eca2c6emssecsvc.e*e854455f59776dc27d4934d8979fa7e86qeriuwjhrf:8b2d830d0cf3ad16a547d5b23eca2c6e图6讹诈软件病毒根本情况3.查看病毒文件(1)系统目录查看文件一般位于系统盘下的windows目录,例如c:\windows\,通过命令提示符进入:cdc:\windows\dir/od/a*.e*e(2)全盘查找dir/od/s/atasksche.e*edir/od/s/amssecsvc.e*e4.病毒现象(1)通过netstat–an命令查看网络连接,会发现网络不停的对外发送SYN_SENT包,如图7所示。图7对外不断的发送445连接包(2)病毒效劳通过Autoruns平安分析工具,可以看到在效劳中存在“fmssecsvc2.0〞效劳名称,该文件的时间戳为2010年11月20日17:03分,如图8所示。图8病毒启动的效劳六、平安加固1.关闭445端口(1)手工关闭在命令提示符下输入“regedit〞,依次翻开“HKEY_LOCAL_MACHINE〞-“System〞-“Controlset〞“Services〞-“NetBT〞-“Parameters〞,在其中选择“新建〞——“DWORD值〞,将DWORD值命名为“SMBDeviceEnabled〞,并通过修改其值设置为“0〞,如图9所示,需要特别注意一定不要将SMBDeviceEnabled写错了!否则没有效果!图9注册表关闭445端口查看本地连接属性,将去掉“Microsoft网络的文件和打印机共享〞前面的勾选,如图10所示。图10取消网络文件以及打印机共享(2)使用锦佰安提供的脚本进展关闭,在线下载脚本地址:.secboot./445.zip,脚本代码如下:echo"欢送使用锦佰安敲诈者防御脚本"echo"如果pc版本大于*p效劳器版本大于windows2003,请右键本文件,以管理员权限运行。"netshfirewallsetopmodeenablenetshadvfirewallfirewalladdrulename="deny445"dir=inprotocol=tcplocalport=445action=blocknetshfirewallsetportopeningprotocol=TCPport=445mode=disablename=deny4452.关闭135端口在运行中输入“dfg〞,然后翻开“组建效劳〞-“计算机〞-“属性〞-“我的电脑属性〞-“默认属性〞-“在此计算机上启用分布式〞去掉选择的勾。然后再单击“默认协议〞选项卡,选中“面向连接的TCP/IP〞,单击“删除〞或者“移除〞按钮,如图11所示。图11关闭135端口3.关闭139端口139端口是为“NetBIOSSessionService〞提供的,主要用于提供Windows文件和打印机共享以及Uni*中的Samba效劳。单击“网络〞-“本地属性〞,在出现的“本地连接属性〞对话框中,选择“Internet协议版本4(TCP/IPv4)〞-“属性〞,双击翻开“高级TCP/IP设置〞-“WINS〞,在“NetBIOS设置〞中选择“禁用TCP/IP上的NetBIOS〞,如图12所示。图12关闭139端口4.查看端口是否开放以后以下命令查看135、139、445已经关闭。netstat-an|find"445"netstat-an|find"139"netstat-an|find"135"5.开启防火墙启用系统自带的防火墙。6.更新系统补丁通过360平安卫士更新系统补丁,或者使用系统自带的系统更新程序更新系统补丁。七、平安启示这波讹诈病毒使用的是今年3月爆发的NSA暴露的那些漏洞利用工具,当时出来以后,如果及时对系统更新了漏洞补丁和加固后,系统根本不会被感染。1.来历不明的文件一定不要翻开2.慎重使用优盘,在优盘中可以建立antorun.inf文件夹防止优盘病毒自动传播3.安装杀毒软件,目前升级过病毒库的杀毒软件都可以识别传播的病毒。4.翻开防火墙5.ATScanner(WannaCry).antiy./response/wannacry/ATScanner.zip6.蠕虫讹诈软件免疫工具(WannaCry).antiy./response/wannacry/Vaccine_for_wannacry.zip八、关于最新讹诈病毒的防情况方法懂linu*的请:1.拔掉网线。2.懂linu*的朋友,以用kalilinu*、bt5、cdlinu*等启动系统。3.先备份系统重要文件。4.清理病毒5.重新开机启动到windows系统6.进展加固如果不懂linu*:1.拔掉网线2.在开机前就用没有感染的计算机下载好带最新病毒库的杀毒软件。3.开机后立即安装杀毒软件进展杀毒。4.使用netstat-an查看有无445连接多个地址发包5.记得设置文件夹选项,后清理wi
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- GB/T 44693.2-2024危险化学品企业工艺平稳性第2部分:控制回路性能评估与优化技术规范
- 向父母认错万能检讨书(14篇)
- 汽车装调工、维修工理论2023版练习试题及答案
- 高考数学复习解答题提高第一轮专题复习专题03平面与平面所成角(二面角)(含探索性问题)(典型题型归类训练)(学生版+解析)
- 专题十视频营销 (课件)职教高考电子商务专业《网络营销实务》
- 《学前儿童卫生保健》 教案 2 运动系统、呼吸系统的卫生保健
- 第1章 数据库基础知识课件
- 七下语文21课教学课件教学课件教学
- 2024届上海市部分重点中学高三一诊模拟考试(一)数学试题
- 4.1.1 线段、射线、直线 北师版数学七年级上册课件
- Unit 2 We're Family教学设计2024年秋人教版新教材七年级英语上册
- 2023沈阳法院书记员真题
- 苏教版五年级上册劳动技术课程教案
- 开封事业单位笔试真题2024
- OGSM战略规划框架:实现企业目标的系统化方法论双份材料
- 压力性损伤与皮肤护理操作流程
- 人民警察使用警械和武器条例考试题库
- 2023-2024学年深圳市初三中考适应性考试语文试题(含答案)
- 2024年4月自考00318公共政策试题及答案含评分参考
- 筋膜刀在康复治疗中的新应用
- 大学生心理健康2078147-知到答案、智慧树答案
评论
0/150
提交评论