勒索病毒的防范与处理
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
勒索病毒解决方案
一、勒索病毒简介
最近,一种电脑勒索病毒席卷了全球几十个国家。美国、俄罗斯、中国,欧洲国家的Windows电脑受创最重。
和之前一些大面积爆发的病毒比如熊猫烧香等等不同,黑客开发这种病毒并不是为了炫技(单纯地攻击电脑的软硬件)而是为了索财。当电脑受到病毒入侵之后,电脑当中的文件会被加密,导致无法打开。
黑客会要求你提供300美元(2000元人民币)的比特币,才会给你提供解锁的密码。
支付的赎金一定要是比特币的原因是,这种电子货币的账户不易被追踪,更容易隐藏黑客的真实身份。
病毒的设计者特意把勒索的说明信息翻译成了20多个国家和地区的语言版本,好让全世界每一个中了病毒的人都能看懂付款信息,可见野心之大。
而且如果中了病毒的计算机属于高性能的服务器,病毒还会在这台电脑当中植入“挖矿”
程序,让这台计算机成为生产比特币的工具,攻击者可谓无所不用其极,最大程度地榨取受害电脑的经济价值。
电脑中了这种病毒之后,硬盘当中的文件会被AES+RSA4096位的算法加密。
遇到这种加密级别,目前所有家用电脑如果要暴力破解可能需要几十万年。所以一旦被这种病毒感染,加密了自己电脑上的文件,自己是无论如何没办法把文件解密的。
如果是政府或者公共机构的重要文件被加密,那只能恢复备份文件。
值得注意的是,这次的病毒袭击还针对了特定的人群,类似“精准投放”。大企业的公共邮箱、高级餐厅的官网等等都是攻击的重点对象。起初病毒会伪装成一封标题非常吸引人的电子邮件,或者伪装成PDF、DOC这样的普通文档,如果存在漏洞的电脑打开了这些链接或者文件,就有可能中招。
如果中招的电脑处于一个局域网当中,那么只要一台电脑感染病毒,其他电脑只要开机上网,马上也会被感染。
病毒会通过像445端口这样的文件共享和网络打印机共享端口的漏洞展开攻击。
二、服务器紧急防范措施
1.立即组织内网检测,查找所有开放445 SMB服务端口的终端和服务器,
一旦发现中毒机器,立即断网处置,目前看来对硬盘格式化可清除病毒。目前微
软已发布补丁MS17-010修复了“永恒之蓝”攻击的系统漏洞,请尽快为电脑装此
补丁,网址为https:///zh-cn/library/security/MS17-010;对
于XP、2003等微软已不再提供安全更新的机器,建议升级操作系统版本,或使
用360“NSA武器库免疫工具”检测系统是否存在漏洞,并关闭受到漏洞影响的端
口,可以避免遭到勒索软件等病毒的侵害。免疫工具下载地址
/nsa/nsatool.exe。
2.一旦发现电脑中毒,立即断网。
3.启用并打开“Windows防火墙”,进入“高级设置”,在入站规则里禁
用“文件和打印机共享”相关规则。关闭UDP135、445、137、138、139端口,
关闭网络文件共享。
4.严格禁止使用U盘、移动硬盘等可执行摆渡攻击的设备。
5.尽快备份电脑中的重要文件资料。
6.及时更新操作系统和应用程序到最新的版本。
7.一般情况下数据库服务器升级MS17-010补丁不会对1433端口关闭,
Sqlserver默认使用的是1433端口,有个别情况可能会关闭1433端口,情况不明,请参考第六条
三、工作站防范措施
目前已知的是,Windows 10操作系统只要打开了自动更新,就不会有中毒的风险。而目前国内大量使用的Windows7甚至Windows XP电脑相对比较高危。微软目前已经为所有的Windows系统紧急发布了系统补丁。
另外,像445这样的高危端口,一般的家用电脑也最好关闭掉。
微软的这个紧急补丁的下载地址在这里(或者点击阅读原文):
https:///zh-cn/library/security/MS17-010.aspx
如何关闭445端口的详细图文教程在这里:
1. 打开控制面板点击防火墙
2. 点击“高级设置”
3. 先点击“入站规则”,再点击“新建规则”
4. 勾中“端口”,点击“协议与端口”
5. 勾选“特定本地端口”,填写445,点击下一步
6. 点击“阻止链接”,一直下一步,并给规则命名后,就可以了
还是那句话,再好的杀毒软件也不如一个好的安全意识,在这个信息化时代,系统漏洞一个补丁就能瞬间搞定,但人们安全意识缺失这个漏洞,不知道什么时候才能被堵上。
通过分析病毒,可以看到,以下后缀名的文件会被加密:
docx.docb.docm.dot.dotm.dotx.xls.xlsx.xlsm.xlsb.xlw.xlt.xlm.xlc.xltx.xltm.ppt.pptx.pptm.p ot.pps.ppsm.ppsx.ppam.potx.potm.pst.ost.msg.eml.edb.vsd.vsdx.txt.csv.rtf.123.wks.wk1.
pdf.dwg.onetoc2.snt.hwp.602.sxi.sti.sldx.sldm.sldm.vdi.vmdk.vmx.gpg.aes.ARC.PAQ.bz2.
tbk.bak.tar.tgz.gz.7z.rar.zip.backup.iso.vcd.jpeg.jpg.bmp.png.gif.raw.cgm.tif.tiff.nef.psd.a
i.svg.djvu.m4u.m3u.mid.wma.flv.3g2.mkv.3gp.mp4.mov.avi.asf.mpeg.vob.mpg.wmv.fla.s
wf.wav.mp3.sh.class.jar.java.rb.asp.php.jsp.brd.sch.dch.dip.pl.vb.vbs.ps1.bat.cmd.js.asm.h.p as.cpp.c.cs.suo.sln.ldf.mdf.ibd.myi.myd.frm.odb.dbf.db.mdb.accdb.sql.sqlitedb.sqlite3.as
y.mml.sxm.otg.odg.uop.st
d.sxd.otp.odp.wb2.slk.dif.stc.sxc.ots.ods.3dm.max.3ds.
uot.stw.sxw.ott.odt.pem.p12.csr.crt.key.pfx.der。
四、360杀毒方案
“勒索病毒”全球爆发,通过蠕虫式传播在企业、校园内网大面积感染,一台中招,一片遭殃!本次“勒索病毒”是在周五晚上爆发,星期一(5月15日)上班的企业将面临重大风险!
360安全卫士能够全面免疫和防御“勒索病毒”,安装360安全卫士的用户,这次基本