最新勒索软件WannaCrypt病毒感染前后应对措施

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

最新勒索软件WannaCrypt病毒感染前后应对措施

针对WannaCrypt勒索病毒的讨论和技术文章是铺天盖地,大量的技术流派,安全厂家等纷纷献计献策,有安全厂家开发各种安全工具,对安全生态来说是一个好事,但对个人未必就是好事,我们国家很多用户是普通用户是安全小白,如果遭遇WannaCrypt勒索软件,我们该怎么办?

作者:simeon来源:|2017-05-14 23:03

收藏

分享

技术沙龙| 6月30日与多位专家探讨技术高速发展下如何应对运维新挑战!

【原创稿件】针对WannaCrypt勒索病毒的讨论和技术文章是铺天盖地,大量的技术流派,安全厂家等纷纷献计献策,有安全厂家开发各种安全工具,对安全生态来说是一个好事,但对个人未必就是好事,我们国家很多用户是普通用户是安全小白,如果遭遇WannaCrypt勒索软件,我们该怎么办?是主动积极应对,还是被动等待被病毒感染,这完全取决于您个人选择,笔者战斗在病毒对抗的第一线,将一些经验跟大家分享,希望能对您有所帮助!本文收集了windowsxp-windows2012所有的补丁程序以及360等安全公司的安全工具程序供大家下载,下载地址:/s/1boBiHNx

一.病毒危害

1.1病毒感染的条件

到互联网上乃至技术专家都认为WannaCrypt攻击源头来自于MS17-010漏洞,在现实中很多被感染网络是内网,mssecsvc.exe病毒文件大小只有3M多,其后续加密生成有多个文件,这些文件是从哪里来,内网是跟外网隔离的!笔者整理认为病毒感染是有条件的:

1.Windows7以上操作系统感染几率较高

2.在感染的网络上,如果系统开放了445端口,将被快速感染计算机。

3.内网补丁更新不及时

1.2病毒感染的后果

WannaCrypt勒索病毒被定义为蠕虫病毒,其传播速度非常快,一旦被感染,只有两种途径来解决,一种是支付赎金,另外一种就是重装系统,所有资料全部归零。通过笔者分析,如果是在病毒WannaCrypt发作前,能够成功清除病毒,将可以救回系统,减少损失!360也提供了一款勒索蠕虫病毒文件恢复工具RansomRecovery ,其下载地址:/recovery/RansomRecovery.exe主要针对勒索病毒成功感染后的恢复,越早恢复,文件被恢复的几率越高

二、WannaCrypt勒索病毒原理分析

WannaCrypt勒索病毒原理分析笔者再次就不赘述了,详细情况请参阅WanaCrypt0r勒索蠕虫完全分析报告(/learning/detail/3853.html)。

笔者要想说的是病毒感染的三个时间段:

1.病毒感染初阶段,病毒从未知渠道进入网络,病毒开始攻击内网某台主机,对计算机存在漏洞计算机进行攻击,成功后释放mssecsvc.exe文件,并连接固定url(54.153.0.145): ;

a)如果连接成功,则退出程序

b)连接失败则继续攻击

2.病毒感染中阶段

接下来蠕虫开始判断参数个数,小于2时,进入安装流程;大于等于2时,进入服务流程

3.病毒感染后阶段,对磁盘文件进行加密处理,出现勒索软件界面。

三、勒索病毒处理的黄金时间

笔者在实际病毒对抗过程中发现,加固是针对未感染的计算机有用,感染后的计算机加固也是无用的!!!!

在前面病毒运行阶段有两个小时的黄金时间,我想明天大家上班了,如果个人人走关机,则意味做网络是关闭的,计算机是安全的,这时候第一时间是拔掉网线,然后再开启计算机!!如果网络中已经存在病毒了,那么应该以最快的速度来结束病毒,可以参考文章后面的结束病毒进程,然后是备份文件,最后加固!如果有条件可以利用linux启动盘启动系统,先备份文件,然后再做其他事情!整理了一下具体流程:

1.开机前拔掉网线,不使用网络。

2.若熟悉linux,可以刻盘启动计算机,使用U盘对文件进行备份。

3.使用本文提及的方法清理病毒。

4.使用安全优盘进行系统文件备份,如果没有优盘,则可以将需要备份的文件先行压缩为rar 文件,然后再修改为.exe文件。

四、安全处理建议

1.病毒感染前处理

(1)采用后续部分135、139、445等端口加固方法加固。

(2)也可使用360的NSA武器免疫工具检测计算机是否存在漏洞,如图1所示,在windows2003SP1虚拟机中进行检测显示无漏洞。

图1使用360的nsa武器库免疫工具

(3)使用安天免疫工具进行检测和设置,如图2所示,按照运行结果进行设置即可。

图2使用安天免疫工具进行设置

(4)根据系统实际情况安装补丁,我已经收集目前可用的安全工具以及相对应当漏洞补丁程序。

2.病毒正在感染,通过netstat -an命令查看,如果系统出现大量的445连接,说明肯定存在病毒,可以使用以下办法进行杀毒,同时拔掉网线!(另外一种方法就是通过kali等linux启动盘去清除病毒也可以,然后通过U盘直接备份资料)

(1)设置查看文件选项

由于病毒设置了隐藏属性,正常情况下无法查看该文件,需要对文件查看进行设置,即在资源管理器中单击“工具”-“文件夹选项”,如图3所示。

图3 打开文件夹选项设置

去掉“隐藏受保护的操作系统文件(推荐)”、选择“显示隐藏的文件、文件夹和驱动器”、去掉“隐藏已知文件类型的扩展名”,如图4所示,即可查看在windows目录下的病毒隐藏文件。

图4文件夹查看选项设置

(2)结束进程

通过任务管理器,在任务栏上右键单击选择“启动任务管理器”,如图5所示,从进程中去查找mssecsvc.exe和tasksche.exe文件,选中mssecsvc.exe和tasksche.exe,右键单击选择“结束进程树”将病毒程序结束,又可能会反复启动,结束动作要快。以上三个文件一般位于c:\windows目录。

图5结束进程

(3)删除程序

到windows目录将三个文件按照时间排序,一般会显示今天或者比较新的时期,将其删除,如果进程结束后,又启动可来回删除和结束。直到将这三个文件删除为止,有可能到写本文章的时候,已经有病毒变体,但方法相同,删除新生成的文件。

(4)再次查看网络

使用netstat –an命令再次查看网络连接情况,无对外连接情况,一切恢复正常。

可以使用安全计算机下载安全工具Autoruns以及ProcessExplorer,通过光盘刻录软件,到感染病毒计算机中进行清除病毒!软件下载地址:

https:///files/Autoruns.zip

https:///files/ProcessExplorer.zip

注意,本文所指清除病毒是指勒索软件还未对系统软件进行加密!如果在桌面出现黄色小图标,桌面背景有红色英文字体显示(桌面有窗口弹出带锁图片,Wana Decryptor2.0),这表明

相关文档
最新文档