刚需 |Wannacry 勒索蠕虫病毒用户修复指引

目录

一、Wannacry 勒索蠕虫病毒

事件背景

北京时间2017年5月12日晚,勒索软件"WannaCry"感染事件爆发,全球范围内150个国家遭到大规模网络攻击,被攻击者电脑中的文件被加密,被要求支付比特币以解密文件;众多行业受到影响,比如英国的NHS服务,导致至少40家医疗机构内网被攻陷,电脑被加密勒索;而我国众多行业的也是如此,其中又以教育网最为显著,导致部分教学系统无法正常运行,相关学子毕业论文被加密等。截止到北京时间5月15日09点,目前事件趋势已经蔓延到更多行业,包含金融、能源、医疗、交通等行业均受到影响。

今年4月14日黑客组织Shadow Brokers(影子经纪人)公布了Equation Group(方程式组织)使用的"网络军火",其中包含了一些Windows漏洞(微软编号为MS17-010)和利用工具,这些漏洞利用中以Eternalblue(永恒之蓝)最为方便利用,并且网上出现的相关攻击脚本和利用教程也以该漏洞为主,而在4月14日后我们监控捕获的多起Windows主机入侵事件均是以利用Eternalblue进行入侵;Eternalblue可以远程攻击Windows的445端口,该端口主要用于基于SMB协议的文件共享和打印机共享服务。在以往捕获的利用Eternalblue进行入侵攻击的事件,黑客主要进行挖矿、DDoS等行为,而本次事件则是利用该漏洞进行勒索病毒的植入和传播。

本次事件影响范围广泛,腾讯云安全团队发布本指引意在指导云上用户在遭受攻击前后进行相关处理,个人用户也可参考部分章节。  

二、 腾讯云用户主机应急修复

及安全防范指引

2.1 确认机器是否已感染 WannaCry 蠕虫病毒

检查主机是否存在如下类似红色赎金支付界面:

2.2 已感染主机应急修复指引

如存在以上类似红色勒索界面,则说明主机已经感染蠕虫病毒,您可以采取如下措施进行修复:

步骤 1: 及时止损并离线备份重要数据

云用户可以以去掉绑定的外网 IP 等方式隔离已遭受攻击电脑,避免感染其他机器,同时可以在云内网通过 ftp 方式拷贝还未被加密的文件到内网其他安全服务器。

部分电脑带有系统还原功能,可以在未遭受攻击之前设置系统还原点,这样即使遭受攻击之后可以还原系统,找回被加密的原文件,不过还原点时间到遭受攻击期间的文件和设置将会丢失。

与此同时,大部分安全软件已经具有该勒索软件的防护能力或者其他免疫能力等,可以安装这些安全软件,如腾讯电脑管家,开启实时防护,避免遭受攻击。

步骤 2: 开展病毒清理

安装安全软件(如电脑管家),利用杀软的杀毒功能可直接查杀勒索软件,同时进行扫描清理(已隔离的机器可以通过 U 盘等方式下载离线包安装)。

步骤 3: 尝试解密方案

尝试方案 1:尝试通过已解密的交易记录进行解密 1> 打开勒索软件界面,点击 copy(复制黑客的比特币地址) 2> 把 copy 粘贴到 btc.com (区块链查询器); 3> 在区块链查询器中找到黑客收款地址的交易记录,然后随意选择一个 txid(交易哈希值); 4> 把 txid 复制粘贴给 勒索软件界面按钮 connect us; 5>  等黑客看到后,再点击勒索软件上的 check payment; 6> 再点击 decrypt 解密文件即可;

尝试方案 2:尝试开源的脚本(需 python3 环境)来运行尝试恢复 下载链接:

https://github.com/QuantumLiu/antiBTCHack

尝试方案 3:尝试使用勒索软件自带恢复功能恢复已被蠕虫病毒删除的文件 勒索软件带有恢复部分加密文件的功能,可以直接通过勒索软件恢复部分文件,不过该恢复有限;直接点击勒索软件界面上的"Decrypt"可弹出恢复窗口,显示可免费恢复的文件列表,然后点击"Start"即可恢复列表中文。

尝试方案 4:尝试使用第三方数据恢复工具恢复已被蠕虫病毒删除的文件。 根据对勒索病毒分析,勒索软件在加密文件后会删除源文件,所以通过数据恢复软件有一定概率恢复已被加密的部分文件,可以使用第三方数据恢复工具尝试数据恢复,如 easyrecovery 等工具可帮助用户恢复部分已经删除的数据,但可能无法恢复加密数据。

如以上方式均无效,建议您重新安装系统(腾讯云官网镜像已在 4 月 20 日修复蠕虫利用漏洞,默认无法被利用)。

2.3 未感染主机安全防范指引

如暂未出现类似被勒索红色弹框,建议及时进行自查和加固,避免被感染,您可以采取如下措施进行:

方式 1:通过安全组防火墙进行屏蔽蠕虫传播端口

1> 登录官网【CVM 控制台】 -【安全组】 -【编辑规则】:

2> 使用官网工具“封堵安全漏洞” 一键屏蔽 137、 139、 445 端口

3> 至此,已自动完成封堵蠕虫传播端口的防火墙配置

具体操作方法可参考:

http://bbs.qcloud.com/thread-28531-1-1.html

方式 2:利用 Windows Update 进行系统更新

利用系统自带的 Windows Update 进行系统更新,更新到最新即可。

对于离线用户,亦可以通过如下补丁下载地址进行安装:

http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

下载后,点击“下一步” 进行安装。

方式 3:关闭受影响 SMBv1 服务

3.1 对于运行 Windows 8.1 或 Windows Server 2012 R2 及更高版本的客户

对于 Windows 8.1 客户端操作系统: 1> 打开“控制面板”,单击“程序”,然后单击“打开或关闭 Windows 功能”。

2> 在“Windows 功能”窗口中,清除“SMB 1.0/CIFS 文件共享支持”复选框,然后单击“确定”以关闭此窗口。

3>  重启系统,使配置生效。

对于 Windows Server 2012 及以上服务器操作系统: a>  打开“服务器管理器”,单击“管理”菜单,然后选择“删除角色和功能”。

b> 在“功能”窗口中,清除“SMB 1.0/CIFS 文件共享支持”复选框,然后单击“确定”以关闭此窗口。

c>  重启系统。

3.2 对于运行 Windows 7、 Windows Server 2008 R2、 Windows Vista 和Windows Server 2008 的用户: 1> 在命令行界面打开并修改注册表

2>  打开注册表路径︰ HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\LanmanServer\\Parameters

3> 新建项︰ SMB1,值 0(DWORD)

4> 重新启动计算机

方式 4:安装腾讯电脑管家病毒免疫工具

可采用一些免疫工具进行自动化的补丁安装和端口屏蔽,如腾讯电脑管家勒索病毒免疫工具,下载地址:

http://guanjia.qq.com/wannacry/

方式 5:建立灭活域名免疫机制

根据腾讯云安全团队对已有样本分析,勒索软件存在触发机制,如果可以成功访问

iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com,则电脑在中了勒索病毒后不会进行文件加密而直接退出。目前该域名已被安全人员注册,可以正常访问。

企业用户可以通过在内网搭建 Web Server,然后通过内网 DNS 的方式将域名解析到 Web Server IP 的方式来实现免疫;通过该域名的访问情况也可以监控内网病毒感染的情况。

三、普通用户电脑应急修复

及安全防范指引

3.1 已感染主机应急修复指引

如存在上述类似红色勒索界面,则说明主机已经感染蠕虫病毒,您可以采取如下措施进行修复:

步骤 1: 及时止损并离线备份重要数据

a> 普通用户可以以拔掉网线等方式隔离已遭受攻击电脑,避免感染其他机器,对相关重要文件采用离线备份(即使用 U 盘等方式)等方式进行备份。

b> 部分电脑带有系统还原功能,可以在未遭受攻击之前设置系统还原点,这样即使遭受攻击之后可以还原系统,找回被加密的原文件,不过还原点时间到遭受攻击期间的文件和设置将会丢失。

c> 同时,大部分安全软件已经具有该勒索软件的防护能力或者其他免疫能力等,可以安装这些安全软件,如腾讯电脑管家,开启实时防护,避免遭受攻击。

d> 对于个人用户,可以采用一些文件防护工具,进行文件的备份、防护,如电脑管家的文档守护者(电脑管家工具箱内可下载使用)。

步骤 2: 开展病毒清理

安装安全软件(如电脑管家),利用杀软的杀毒功能可直接查杀勒索软件,同时进行扫描清理(已隔离的机器可以通过 U 盘等方式下载离线包安装)。

步骤 3: 尝试解密方案

尝试方案1:打开勒索软件界面,点击 copy(复制黑客的比特币地址) 1>  把 copy 粘贴到 btc.com (区块链查询器); 2> 在区块链查询器中找到黑客收款地址的交易记录,然后随意选择一个 txid(交易哈希值); 3> 把 txid 复制粘贴给 勒索软件界面按钮 connect us; 4> 等黑客看到后,再点击勒索软件上的 check payment; 5> 再点击 decrypt 解密文件即可;

尝试方案 2:尝试开源的脚本(需 python3 环境)来运行尝试恢复 下载链接:

https://github.com/QuantumLiu/antiBTCHack

尝试方案 3:尝试使用第三方数据恢复工具恢复已被蠕虫病毒删除的文件 如 easyrecovery 等工具可帮助用户恢复部分已经删除的数据,但可能无法恢复加密数据。

如以上方式均无效,建议您重新安装系统。

3.2 未感染主机安全防范指引

如暂未出现类似被勒索红色弹框,建议及时进行自查和加固,避免被感染, 您可以采取如下措施进行:

方式 1:利用 Windows 防火墙添加规则屏蔽端口

点击开始菜单-打开控制面板-选择 Windows 防火墙

如果防火墙没有开启,点击"启动或关闭 Windows 防火墙"启用防火墙后点击" 确定

点击"高级设置",然后左侧点击"入站规则",再点击右侧" 新建规则"

在"特定本地端口"处填入 445 并点击"下一步",选择"阻止连接",然后一直下一步,并给规则随意命名后点击完成即可。

注:不同系统可能有些差异,不过操作类似

方式 2:利用 Windows Update 进行系统更新

利用 Windows 系统自带的 Windows Update 进行系统更新,更新到最新即可。

如确认已安装 5 月份 KB4012264 补丁,则说明系统默认不受此次蠕虫病毒影响,确认方法可参考: Windows 7 : KB4012215 或 KB4015549 或 KB4019264; Windows 8.1:KB4012216 或 KB4015550 或 KB4019215; Windows 10 去 Windows 更新即可; Windows 8 暂无更新补丁,需升级至 Windows 8.1 Windows 8.1 64 补丁链接:

http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows8.1-kb4019215-x64_d06fa047afc97c445c69181599e3a66568964b23.msu Windows 8.1 32 补丁链接: http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows8.1-kb4019215-x86_fe1cafb988ae5db6046d6e389345faf7bac587d7.msu Windows 7 64 补丁链接: http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows6.1-kb4019264-x64_c2d1cef74d6cb2278e3b2234c124b207d0d0540f.msu Windows 7 32 补丁链接: http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/

方式 3:安装腾讯电脑管家病毒免疫工具

腾讯电脑管家在蠕虫爆发当晚已支持对蠕虫病毒的检测和查杀,目前已发布加固免疫工具,官方下载地址:

http://guanjia.qq.com/wannacry/

方式 4:建立灭活域名免疫机制

根据腾讯云安全团队对已有样本分析,勒索软件存在触发机制,如果可以成功访问 iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com,则电脑在中了勒索病毒后不会进行文件加密而直接退出。目前该域名已被安全人员注册,可以正常访问。

普通用户在可以联网状态下,保证对该网址的可访问,则可以避免在遭受攻击后避免被加密(仅限于已知勒索病毒)。


参考链接:

[1] 微软 MS17-010 漏洞公告及补丁下载

https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx

[2] 微软 Windows XP/2003 补丁下载

http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

[3] 腾讯云事件预警

http://bbs.qcloud.com/thread-29948-1-1.html

[4]勒索病毒” 爆发 腾讯云安全专家教你来防范

http://v.qq.com/live/p/topic/29893/review.html

[5] 电脑管家下载及事件专题页面

https://guanjia.qq.com/wannacry/index2.html

[6] 腾讯电脑管家对于 WannaCry 蠕虫的详细分析

http://slab.qq.com/news/tech/1575.html

[7] 腾讯云针对方程式工具包预警及修复建议

http://bbs.qcloud.com/thread-28531-1-1.html

[8] 腾讯安全反病毒实验室解读“Wannacry” 勒索软件

https://www.qcloud.com/community/article/634316

温馨提醒

温馨提醒:此次勒索蠕虫病毒在互联网上的传播范围极广,影响范围巨大,建议针对您的重要业务数据或个人数据进行数据备份,同时针对云用户,可针对 Windows 制作系统镜像,以做好灾难应急恢复工作。

腾讯云安全 2017 年 5 月 14 日

原文发布于微信公众号 - 腾讯云安全(TencentCloudSecurity)

原文发表时间:2017-05-14

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏云鼎实验室的专栏

WannaCry 勒索病毒用户处置指南

2017年5月12日晚,勒索软件 WannaCry 感染事件爆发,全球范围99个国家遭到大规模网络攻击,被攻击者电脑的文件被加密,被要求支付比特币以解密文件。腾...

7.2K0
来自专栏北京马哥教育

SSL/TLS原理详解

本文大部分整理自网络,相关文章请见文后参考。 SSL/TLS作为一种互联网安全加密技术,原理较为复杂,枯燥而无味,我也是试图理解之后重新整理,尽量做到层次清晰。...

47412
来自专栏网络

通过CURL请求示例详解HTTPS协议

基于HTTPS通信是当前互联网最通用便捷的通信方式,简单理解来看可以视为HTTP协议 + SSL/TLS协议,通过一个curl的示例阐述一下HTTPS协议。 特...

21710
来自专栏java思维导图

【思维导图】深入理解HTTPS原理、过程

我们经常会遇到页面被运营商插入小广告这种事情(数据被篡改),可想而知,HTTP是有多么不安全。 如何做到的? 答:只需要设定相应的DNS,做一个中间人攻击,再...

2955
来自专栏网络

从https的演进到burpsuite抓包的漫谈

开始先抛出一下三个问题: 网站登录用户名密码明文传输,改用https协议是否能解决这个问题? 那为什么我采用https了通过burp还是可以看到明文密码? 如果...

2508
来自专栏服务端思维

HTTPS 降级攻击的场景剖析与解决之道

HTTP 协议,本身是明文传输的,没有经过任何安全处理。那么这个时候就很容易在传输过程中被中间者窃听、篡改、冒充等风险。这里提到的中间者主要指一些网络节点,是用...

831
来自专栏北京马哥教育

SSL/TLS 原理详解

SSL/TLS作为一种互联网安全加密技术,原理较为复杂,枯燥而无味,我也是试图理解之后重新整理,尽量做到层次清晰。正文开始。 1. SSL/TLS概览 1.1...

3335
来自专栏安恒信息

干货 | 最新“永恒之石”病毒处置方案

近日,克罗地亚研究人员MiroslavStampar披露:继WannaCry蠕虫攻击后,另一种利用NSA泄露漏洞代码的蠕虫病毒EternalRocks(中文译名...

27811
来自专栏北京马哥教育

浅谈Openssl与私有CA搭建

随着网络技术的发展、internet的全球化,信息共享程度被进一步提高,各种基于互联网的应用如电子政务、电子商务日益增多并愈加被人们工作和生活依赖。但是,由于...

2788
来自专栏机器学习算法与Python学习

诈勒索病毒席卷全球99个国家,做到这些让你免遭勒索!(最新策略)

5月12日,全球范围内99个国家遭到大规模网络攻击,被攻击者被要求支付比特币解锁。其中英国的 NHS 服务受到了大规模的网络攻击,至少 40 家医疗机构内网被黑...

2685

扫码关注云+社区