WannaCry 勒索病毒用户处置指南

一、前言

北京时间2017年5月12日晚,勒索软件"WannaCry"感染事件爆发,全球范围内99个国家遭到大规模网络攻击,被攻击者电脑中的文件被加密,被要求支付比特币以解密文件;众多行业受到影响,比如英国的NHS服务,导致至少40家医疗机构内网被攻陷,电脑被加密勒索;而我国众多行业的也是如此,其中又以教育网最为显著,导致部分教学系统无法正常运行,相关学子毕业论文被加密等。截止到北京时间5月15日09点,目前事件趋势已经蔓延到更多行业,包含金融、能源、医疗、交通等行业均受到影响。

今年4月14日黑客组织Shadow Brokers(影子经纪人)公布了Equation Group(方程式组织)使用的"网络军火",其中包含了一些Windows漏洞(微软编号为MS17-010)和利用工具,这些漏洞利用中以Eternalblue(永恒之蓝)最为方便利用,并且网上出现的相关攻击脚本和利用教程也以该漏洞为主,而在4月14日后我们监控捕获的多起Windows主机入侵事件均是以利用Eternalblue进行入侵;Eternalblue可以远程攻击Windows的445端口,该端口主要用于基于SMB协议的文件共享和打印机共享服务。在以往捕获的利用Eternalblue进行入侵攻击的事件,黑客主要进行挖矿、DDoS等行为,而本次事件则是利用该漏洞进行勒索病毒的植入和传播。

本次事件影响范围广泛,腾讯安全云鼎实验室发布本处理指南意在指导云上用户在遭受攻击前后进行相关处理,个人用户也可参考部分章节。  

二、事前预防

1. 关闭漏洞端口,安装系统补丁

  • 可以采用一些免疫工具进行自动化的补丁安装和端口屏蔽,比如电脑管家勒索病毒免疫工具(下载地址:VulDetector.exe
  • 手动关闭端口,下载安装补丁,为确保补丁安装,请一定要手工安装补丁。 补丁下载地址: http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598、 https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx
    1. 利用防火墙添加规则屏蔽端口
      • 开始菜单-打开控制面板-选择Windows防火墙
      • 如果防火墙没有开启,点击"启动或关闭 Windows防火墙"启用防火墙后点击" 确定"
      • 点击" 高级设置",然后左侧点击"入站规则",再点击右侧" 新建规则"
      • 在打开窗口选择选择要创建的规则类型为"端口",并点击下一步
    2. 在"特定本地端口"处填入445并点击"下一步",选择"阻止连接",然后一直下一步,并给规则随意命名后点击完成即可。

    注:不同系统可能有些差异,不过操作类似

  • 腾讯云机器也可以通过配置安全组规则屏蔽445端口
    • 选择需要操作机器所属的安全组,点击"编辑规则"
    • 直接点击快捷配置按钮"封堵安全漏洞"就可以自动添加规则
    • 该快捷按钮将会添加"137、139、445"三个端口的屏蔽规则,如果只想添加本次所影响的445端口,可以在保存前进行调整(如非业务需要,不建议调整)

2. 备份数据,安装安全软件,开启防护

  • 对相关重要文件采用离线备份(即使用U盘等方式)等方式进行备份
  • 部分电脑带有系统还原功能,可以在未遭受攻击之前设置系统还原点,这样即使遭受攻击之后可以还原系统,找回被加密的原文件,不过还原点时间到遭受攻击期间的文件和设置将会丢失
  • 目前,大部分安全软件已经具有该勒索软件的防护能力或者其他免疫能力等,可以安装这些安全软件,如腾讯电脑管家,开启实时防护,避免遭受攻击
  • 对于个人用户,可以采用一些文件防护工具,进行文件的备份、防护,如电脑管家的文档守护者(电脑管家工具箱内可下载使用)

3. 建立灭活域名实现免疫

根据对已有样本分析,勒索软件存在触发机制,如果可以成功访问iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com,则电脑在中了勒索病毒后不会进行文件加密而直接退出。目前该域名已被安全人员注册,可以正常访问。

  • 普通用户在可以联网状态下,保证对该网址的可访问,则可以避免在遭受攻击后避免被加密(仅限于已知勒索病毒)
  • 企业用户可以通过在内网搭建Web Server,然后通过内网DNS的方式将域名解析到Web Server IP的方式来实现免疫;通过该域名的访问情况也可以监控内网病毒感染的情况

三、事后病毒清理

1 . 首先可以拔掉网线等方式隔离已遭受攻击电脑,避免感染其他机器

2 . 病毒清理

相关安全软件(如电脑管家)的杀毒功能能直接查杀勒索软件,可以直接进行扫描清理(已隔离的机器可以通过U盘等方式下载离线包安装)

3 . 也可以在备份了相关数据后直接进行系统重装,并在重装后参考"事前预防"进行预防操作

四、事后文件恢复

基于目前已知的情况,当前没有完美的文件恢复方案,可以通过以下的方式恢复部分文件:

1 . 勒索软件带有恢复部分加密文件的功能,可以直接通过勒索软件恢复部分文件,不过该恢复有限;直接点击勒索软件界面上的"Decrypt"可弹出恢复窗口,显示可免费恢复的文件列表,然后点击"Start"即可恢复列表中文件

2 . 根据对勒索病毒分析,勒索软件在加密文件后会删除源文件,所以通过数据恢复软件可以有一定概率恢复已被加密的部分文件,可以使用第三方数据恢复工具尝试数据恢复,云上用户请直接联系我们协助处理。  

五、参考链接

[1] 微软MS17-010漏洞公告及补丁下载 [2] 微软Windows XP/2003补丁下载 [3] 腾讯云事件预警 [4] 勒索病毒”爆发 腾讯云安全专家教你来防范 [5] 电脑管家下载及事件专题页面 [6] 腾讯电脑管家对于WannaCry蠕虫的详细分析 [7] 腾讯云针对方程式工具包预警及修复建议 [8] 腾讯安全反病毒实验室解读“Wannacry”勒索软件

原创声明,本文系作者授权云+社区发表,未经许可,不得转载。

如有侵权,请联系 yunjia_community@tencent.com 删除。

编辑于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏FreeBuf

2015年,基于宏的恶意软件数量再次飙升

今年年初以来,微软观察到使用宏的恶意软件数量迅速增加。宏病毒在多年前曾经非常流行,之后便销声匿迹。如今这种“古老”的攻击方式结合钓鱼邮件、社会工程学进行传播,大...

17910
来自专栏CIT极客

【极客周刊】震惊!勒索了全世界的“永恒之蓝”病毒!

3459
来自专栏开源项目

最全“勒索病毒”的应对方案

5月12日,“勒索病毒”在全球爆发了。截止到目前为止,包括英国、中国、美国、俄罗斯和意大利等在内的全球多个国家均受到此次病毒的攻击。 “勒索病毒”有什么危害? ...

4739
来自专栏FreeBuf

【突发新闻】“血雨腥风”将至?方程式组织黑客工具包再曝光,大量针对Windows系统严重0day泄露

上周末,Shadow Brokers公布了一批美国国家安全局所使用的黑客工具,而这周我们又迎来了Shadow Brokers的“每周武器推送”,新公布的文件能够...

1856
来自专栏Python中文社区

突发 |“永恒之蓝”漏洞紧急应对方案

專 欄 ❈ 七夜,Python中文社区专栏作者,信息安全研究人员,比较擅长网络安全、逆向工程、Python爬虫开发、Python Web开发。 Github:h...

1977
来自专栏大数据文摘

国内影响已扩散,Wannacry蠕虫勒索软件及修复方案

1452
来自专栏菜鸟程序员

多家反病毒软件存在AVGater问题,恶意软件反可利用隔离区提权

1854
来自专栏肖洒的博客

【转】【一键关闭445端口】关于防范勒索软件病毒攻击的紧急通知

病毒袭来,转自信息化建设处。一键关闭445端口,并提供Windows各版本补丁下载。

915
来自专栏企鹅号快讯

黑客通过Facebook Messenger传播加密货币挖掘恶意软件

在目前加密货币价格越来越高情况下,越来越多的网站偷偷摸摸地使用访问者的CPU来挖掘加密货币。但是一个新发现的挖掘恶意软件更加恶意,并且正在通过Facebook ...

1835
来自专栏FreeBuf

无线安全工具SySS Radio Hack Box – 寻找无线输入设备中的安全漏洞

SySS Radio Hack Box是一款针对无线键盘的PoC工具,它可以帮助研究人员利用无线键盘(采用了AES加密的键盘)中的键击注入漏洞来实施攻击。接下来...

1676

扫码关注云+社区