电子说
勒索病毒解决方案
勒索病毒简介
而且如果中了病毒的计算机属于高性能的服务器,病毒还会在这台电脑当中植入“挖矿”程序, 如果中招的电脑处于一个局域网当中,那么只要一台电脑感染病毒,其他电脑只要开机上网,马上也会被感染。病毒会通过像445端口这样的文件共享和网络打印机共享端口的漏洞展开攻击,中毒严重的服务器,工作站建议重新安装操作系统。
服务器紧急防范措施
立即组织内网检测,查找所有开放445 SMB服务端口的终端和服务器,一旦发现中毒机器,立即断网处置,目前看来对硬盘格式化可清除病毒。目前微软已发布补丁MS17-010修复了“永恒之蓝”攻击的系统漏洞,请尽快为电脑装此补丁,网址为;对于XP、2003等微软已不再提供安全更新的机器,建议升级操作系统版本,或使用360“NSA武器库免疫工具”检测系统是否存在漏洞,并关闭受到漏洞影响的端口,可以避免遭到勒索软件等病毒的侵害。免疫工具下载地址,运行netstat -ano|findstr “445” 查看是不是中了病毒
一旦发现电脑中毒,立即断网。严格禁止使用U盘、移动硬盘等可执行摆渡攻击的设备。
尽快备份电脑中的重要文件资料。
及时更新操作系统和应用程序到最新的版本。
一般情况下数据库服务器升级MS17-010补丁不会对1433端口关闭,Sqlserver默认使用的是1433端口,有个别情况可能会关闭1433端口,情况不明,请参考第六条
7.迁移有些服务到linux服务器上
工作站防范措施
目前已知的是,Windows 10操作系统只要打开了自动更新,就不会有中毒的风险。而目前国内大量使用的Windows7甚至Windows XP电脑相对比较高危。微软目前已经为所有的Windows系统紧急发布了系统补丁。
另外,像445这样的高危端口,一般的家用电脑也最好关闭掉。
微软的这个紧急补丁的下载地址在这里
https://technet.microsoft.com/zh-cn/library/security/MS17-010.aspx
如何关闭445端口的详细图文教程在这里:
1. 打开控制面板点击防火墙
2. 点击“高级设置”
3. 先点击“入站规则”,再点击“新建规则”
4. 勾中“端口”,点击“协议与端口”
5. 勾选“特定本地端口”,填写445,点击下一步
6. 点击“阻止链接”,一直下一步,并给规则命名后,就可以了
还是那句话,再好的杀毒软件也不如一个好的安全意识,在这个信息化时代,系统漏洞一个补丁就能瞬间搞定,但人们安全意识缺失这个漏洞,不知道什么时候才能被堵上。
通过分析病毒,可以看到,以下后缀名的文件会被加密:docx.docb.docm.dot.dotm.dotx.xls.xlsx.xlsm.xlsb.xlw.xlt.xlm.xlc.xltx.xltm.ppt.pptx.pptm.pot.pps.ppsm.ppsx.ppam.potx.potm.pst.ost.msg.eml.edb.vsd.vsdx.txt.csv.rtf.123.wks.wk1.pdf.dwg.onetoc2.snt.hwp.602.sxi.sti.sldx.sldm.sldm.vdi.vmdk
.vmx.gpg.aes.ARC.PAQ.bz2.tbk.bak.tar.tgz.gz.7z.rar.zip.backup.iso.vcd.jpeg.jpg.bmp.png.gif.raw.cgm.tif.tiff.nef.psd.ai.svg.djvu.m4u.m3u.mid.wma.flv.3g2.mkv.3gp.mp4.mov.avi.asf.mpeg.vob.mpg.wmv.fla.swf.wav.mp3.sh.class.jar.java.rb.asp.php.jsp.brd.sch.dch.dip.pl.vb.vbs.ps1.bat.cmd.js.asm.h.pas.cpp.c.cs.suo.sln.ldf
.mdf.ibd.myi.myd.frm.odb.dbf.db.mdb.accdb.sql.sqlitedb.sqlite3.asc.lay6.lay.mml.sxm.otg.odg.uop.std.sxd.otp.odp.wb2.slk.dif.stc.sxc.ots.ods.3dm.max.3ds.uot.stw.sxw.ott.odt.pem.p12.csr.crt.key.pfx.der。
360杀毒方案
在服务器或者是工作站运行运行netstat -ano|findstr “445”,如果发现很多的445连接,基本上确定了是中毒了,重启后按F8,选择网络安全模式,
一、准备一个U盘或移动硬盘,下载360安全卫士【离线救灾版】 下载地址http://dl.360safe.com/setup_jiuzai.exe,
工具内网地址下载\\192.168.1.30\share 用户名:share 密码:sh@2008
三、使用准备好的U盘或移动硬盘插入办公电脑,安装360安全卫士【离线救灾版】
四、360安全卫士【离线救灾版】的NSA武器库免疫工具会自动运行,并检测您的电脑是否存在漏洞。如您当前系统没有安装漏洞补丁,请您点击【立即修复】
提示:本次的【永恒之蓝】漏洞是利用Windows 系统局域网共享漏洞。如果您的系统本身存在问题(例如是GHOST精简版)可能无法正常安装补丁。出于安全考虑,工具会直接为您【关闭共享所需的网络端口 和 系统服务】
五、修复漏洞过程中,请您耐心等候,一般需要 3~5 分钟。
六、修复成功后,会弹窗提示您。请您【重启电脑】,以便修复操作彻底生效
七、重启电脑后,您可以通过桌面的【勒索病毒救灾】快捷方式再次运行 NSA 防御工具,确保您的系统已经修复完成。
补充说明:针对部分特殊系统(例如GHOST精简系统),由于系统本身被人为的修改导致无法正常安装本次的漏洞修复程序,出于安全考虑,工具会直接为您【关闭共享所需的网络端口 和 系统服务】
返向操作
在已安装好补丁并确认安全,且又必须要打开的端口的情况下,可以进行返向操作,步骤如下:
3. 先点击“入站规则”,然后选择你新建那条规则。
4. 再点击右则的“禁用规则”。
5. 此时这条规则前面的绿色打沟图形消失。
操作完成后,已关闭的端口就被从新打开。
全部0条评论
快来发表一下你的评论吧 !