[分享]NSA永恒之蓝WannaCry勒索病毒防范指南及应对大全
2017-05-14 19:04:07 -0700

csngmap语:其实勒索软件早就不是什么新鲜事物了,但这次因为利用了所有操作系统都存在的Windows SMB共享服务漏洞,只要电脑联网就可能中招,所幸微软4月份已经发布了安全更新封堵了漏洞(仅限win7以上),但肯定很多人用的盗版或者没有习惯随时更新,造成这次病毒肆虐...

黑客利用了美国国家安全局开发的名为“永恒之蓝(Eternal Blue)”网络间谍工具(代码),一旦进入目标网络,可在无人为干预下就悄悄感染其他计算机。感染的计算机中照片、图片、文档、压缩包、音频、视频等多种类型的文件,都被恶意加密且后缀名统一修改为 “.WNCRY”或“.onion”。

国安局在网络安全方面比中情局牛多了,NSA是全世界单独雇佣数学博士、计算机博士和语言学家最多的机构,也是美国最神秘的情报机构,由于过于神秘,甚至完全不为美国政府的其他部门所了解,所以它的缩写NSA经常被戏称为“No Such Agency(没有这个局)”。可以说只要人家NSA想黑你,你几乎毫无还手之力,人家手捏众多不为人知的系统漏洞,我们只能祈祷人家不会主动作恶…

友情提示:
对于已经中毒的电脑请立即拔线断网!
自5.12开始中国多所高校遭受了极其严重的勒索软件威胁,同时在国外同样的攻击手法也在疯狂传播中。

本次攻击使用的是位于Windows SMB共享服务中的漏洞,用户在联网后即可发生感染且全程无需用户操作。

也正是如此全国多个高校通过内网疯狂传播这款勒索软件,只要感染后病毒将立刻开始对本地文件进行加密。

遗憾的是目前勒索软件采用的都是2048甚至4096位高强度加密算法, 因此使用暴力破解的方法基本无望的。

微软已经在四月份时发布了安全更新封堵了漏洞,因此请各位网友们立即安装最新的安全更新确保安全。

但是如 Windows XP、Windows Server 2003、Windows Vista、Windows 8 已经停止支持因此没有修复。

由于Windows 10默认开启了自动安装更新因此在本次事件中未受影响,建议你免费升级到Windows 10版。

目前诸如 ATM 取款机和火车站的显示屏等使用 Windows XP 系统的设备很多都已经糟糕了勒索软件的感染。

眼看事态越来越严重微软公司紧急为Windows XP和Windows Server 2003推出了安全更新封堵了永恒之蓝。

补丁代号为KB4012598

马上立刻下载永恒之蓝安全更新:

由于访问量太大微软网站目前打开速度极度的缓慢,请各位自行前往下列页面下载与你系统版本对应的补丁。

点击下载微软安全补丁

由于很多高校的校园网并未屏蔽掉445端口,这让勒索软件传播如鱼得水从内网迅速感染了规模庞大的设备。

感染后将对文件进行加密并向受害者索要高昂的赎金,并且通过虚拟货币比特币进行支付避免自己被追查到。

由于时间特殊目前很多高校的同学正在熬夜忙着改论文,因此如果被勒索软件感染那么大量的心血将会浪费。
好消息是:
发现WannaCry勒索病毒内置了停止开关
英国安全研究人员在逆向WannaCry勒索病毒时意外发现病毒会尝试对一个 iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com 的域名执行HTTP GET操作,如果DNS解析失败,它会继续进行感染操作,然而,如果解析成功(意味着某个人注册了该域名,按下了战争停止按钮),该程序将会结束。

如果该域名存在并能够返回信息那么攻击自动停止,如果该域名不存在或者是不能返回信息那么则继续攻击。

这个奇怪的开关看起来像是病毒制作者为了控制局势而添加的,利用域名返回信息可以轻易的控制传播局势。

目前安全研究人员已经将这个域名注册并可以返回信息,这样已经中毒的设备将不会再继续向其他设备渗透。

需要注意的是由于研究人员注册该域名后将解析的服务器位于美国,国内由于网络原因可能无法正常连接

因此,我们可以修改系统hosts文件重定向

找到hosts文件添加:

45.76.211.28 www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com

经过此修改之后倘若不幸感染WannaCry勒索病毒,病毒在访问域名后不会再进行文件加密和继续传播了。

修改完成后点击这里:http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com 显示中文则正常。

针对此病毒,360也推出了防范工具,大家也可以下载

点击下载360NSA武器库免疫补丁

热心网友也行动起来,纷纷推出各种一键批处理方便快捷关闭相关危险系统端口

随意分享几个吧,都是吾爱网友热心分享的
NSAImmunityTool.zip (9.11 KiB) | Decompress | Meta
关闭不常用端口.exe (103.5 KiB) | Meta
自动关闭危险端口-吾爱(win7以上).bat (2.96 KiB) | Read | Meta | +

Word Count: 2,829

NSA_Tool_v1.0.exe (151.5 KiB) | Meta
其实这次也是个教训,养成良好的安全使用习惯才是正道
最后,针对企业用户
下载亚信科技的几款小工具吧
相当实用

下载亚信安全MS17-010局域网扫描工具,扫描局域网哪些机器没有打MS17-010漏洞对应的补丁程序,便于管理员有针对性的处理没有打补丁机器。

亚信科技局域网MS17-010漏洞扫描工具.zip (5.2 MiB) | Decompress | Meta
下载亚信安全端口扫描工具,扫描局域网中哪些机器开放了445端口,便于管理员有针对性的处理打开445端口的机器。
亚信科技端口扫描工具.zip (0.91 MiB) | Decompress | Meta
下载WannaCry/Wcry勒索病毒免疫工具,该工具可以关闭勒索病毒利用漏洞服务及445端口,还可以下载MS17-010对应的补丁程序,下载清除工具
亚信科技wannacry免疫工具.zip (2.35 MiB) | Decompress | Meta

就目前来说,确解加密几乎不可能,只能通过恢复文件的方式拯救部分文件

桌面文件无法恢复。

系统盘文件可部分恢复,但恢复难度较大。

其他盘符内的文件容易被恢复,

且被恢复的可能性较大。

建议受到WannaCry感染的客户,请优先恢复D,E等其他盘符内的文件,对系统盘内的文件用户请选择性恢复

本文来源: csngmap资源分享大本营版权所有 (开玩笑啦……),磨友转载时请以链接形式注明作者和原始出处…csngmap分享、发表资源也不容易,大家且转且珍惜,至少留个言也好,谢谢合作!
«Newer      Older»

----Comments(1)----
csngmap (@csngmap) | @ at 2017-05-15 00:34:
@chen撰文模板里面{wo.categ ory.url} - 当前分类的链接,显示效果为实际可点击的全链接才对吧
比如我这里显示/cat/120017
这样显示有何用?难看还不实用
Comment:
Name:
Back to home 电脑软件 /cat/120017