干货:勒索病毒防范措施与解决方案

电子说

1.3w人已加入

描述

勒索病毒解决方案

勒索病毒简介

而且如果中了病毒的计算机属于高性能的服务器,病毒还会在这台电脑当中植入“挖矿”程序, 如果中招的电脑处于一个局域网当中,那么只要一台电脑感染病毒,其他电脑只要开机上网,马上也会被感染。病毒会通过像445端口这样的文件共享和网络打印机共享端口的漏洞展开攻击,中毒严重的服务器,工作站建议重新安装操作系统。

服务器紧急防范措施

立即组织内网检测,查找所有开放445 SMB服务端口的终端和服务器,一旦发现中毒机器,立即断网处置,目前看来对硬盘格式化可清除病毒。目前微软已发布补丁MS17-010修复了“永恒之蓝”攻击的系统漏洞,请尽快为电脑装此补丁,网址为;对于XP、2003等微软已不再提供安全更新的机器,建议升级操作系统版本,或使用360“NSA武器库免疫工具”检测系统是否存在漏洞,并关闭受到漏洞影响的端口,可以避免遭到勒索软件等病毒的侵害。免疫工具下载地址,运行netstat -ano|findstr “445” 查看是不是中了病毒

一旦发现电脑中毒,立即断网。严格禁止使用U盘、移动硬盘等可执行摆渡攻击的设备。

尽快备份电脑中的重要文件资料。

及时更新操作系统和应用程序到最新的版本。

一般情况下数据库服务器升级MS17-010补丁不会对1433端口关闭,Sqlserver默认使用的是1433端口,有个别情况可能会关闭1433端口,情况不明,请参考第六条

7.迁移有些服务到linux服务器上

工作站防范措施

目前已知的是,Windows 10操作系统只要打开了自动更新,就不会有中毒的风险。而目前国内大量使用的Windows7甚至Windows XP电脑相对比较高危。微软目前已经为所有的Windows系统紧急发布了系统补丁。

另外,像445这样的高危端口,一般的家用电脑也最好关闭掉。

微软的这个紧急补丁的下载地址在这里

https://technet.microsoft.com/zh-cn/library/security/MS17-010.aspx

如何关闭445端口的详细图文教程在这里:

1. 打开控制面板点击防火墙

2. 点击“高级设置”

3. 先点击“入站规则”,再点击“新建规则”

4. 勾中“端口”,点击“协议与端口”

5. 勾选“特定本地端口”,填写445,点击下一步

6. 点击“阻止链接”,一直下一步,并给规则命名后,就可以了

还是那句话,再好的杀毒软件也不如一个好的安全意识,在这个信息化时代,系统漏洞一个补丁就能瞬间搞定,但人们安全意识缺失这个漏洞,不知道什么时候才能被堵上。

通过分析病毒,可以看到,以下后缀名的文件会被加密:docx.docb.docm.dot.dotm.dotx.xls.xlsx.xlsm.xlsb.xlw.xlt.xlm.xlc.xltx.xltm.ppt.pptx.pptm.pot.pps.ppsm.ppsx.ppam.potx.potm.pst.ost.msg.eml.edb.vsd.vsdx.txt.csv.rtf.123.wks.wk1.pdf.dwg.onetoc2.snt.hwp.602.sxi.sti.sldx.sldm.sldm.vdi.vmdk

.vmx.gpg.aes.ARC.PAQ.bz2.tbk.bak.tar.tgz.gz.7z.rar.zip.backup.iso.vcd.jpeg.jpg.bmp.png.gif.raw.cgm.tif.tiff.nef.psd.ai.svg.djvu.m4u.m3u.mid.wma.flv.3g2.mkv.3gp.mp4.mov.avi.asf.mpeg.vob.mpg.wmv.fla.swf.wav.mp3.sh.class.jar.java.rb.asp.php.jsp.brd.sch.dch.dip.pl.vb.vbs.ps1.bat.cmd.js.asm.h.pas.cpp.c.cs.suo.sln.ldf

.mdf.ibd.myi.myd.frm.odb.dbf.db.mdb.accdb.sql.sqlitedb.sqlite3.asc.lay6.lay.mml.sxm.otg.odg.uop.std.sxd.otp.odp.wb2.slk.dif.stc.sxc.ots.ods.3dm.max.3ds.uot.stw.sxw.ott.odt.pem.p12.csr.crt.key.pfx.der。

360杀毒方案

在服务器或者是工作站运行运行netstat -ano|findstr “445”,如果发现很多的445连接,基本上确定了是中毒了,重启后按F8,选择网络安全模式,

一、准备一个U盘或移动硬盘,下载360安全卫士【离线救灾版】 下载地址http://dl.360safe.com/setup_jiuzai.exe,

工具内网地址下载\\192.168.1.30\share 用户名:share 密码:sh@2008

三、使用准备好的U盘或移动硬盘插入办公电脑,安装360安全卫士【离线救灾版】

四、360安全卫士【离线救灾版】的NSA武器库免疫工具会自动运行,并检测您的电脑是否存在漏洞。如您当前系统没有安装漏洞补丁,请您点击【立即修复】

提示:本次的【永恒之蓝】漏洞是利用Windows 系统局域网共享漏洞。如果您的系统本身存在问题(例如是GHOST精简版)可能无法正常安装补丁。出于安全考虑,工具会直接为您【关闭共享所需的网络端口 和 系统服务】

五、修复漏洞过程中,请您耐心等候,一般需要 3~5 分钟。

六、修复成功后,会弹窗提示您。请您【重启电脑】,以便修复操作彻底生效

七、重启电脑后,您可以通过桌面的【勒索病毒救灾】快捷方式再次运行 NSA 防御工具,确保您的系统已经修复完成。

补充说明:针对部分特殊系统(例如GHOST精简系统),由于系统本身被人为的修改导致无法正常安装本次的漏洞修复程序,出于安全考虑,工具会直接为您【关闭共享所需的网络端口 和 系统服务】

返向操作

在已安装好补丁并确认安全,且又必须要打开的端口的情况下,可以进行返向操作,步骤如下:

3. 先点击“入站规则”,然后选择你新建那条规则。

4. 再点击右则的“禁用规则”。

5. 此时这条规则前面的绿色打沟图形消失。

操作完成后,已关闭的端口就被从新打开。

打开APP阅读更多精彩内容
声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉

全部0条评论

快来发表一下你的评论吧 !

×
20
完善资料,
赚取积分