热门:华为支持参数分辨率解决方法控制属性启动升级错误平台推荐步骤模式查询运行空间文件夹鼠标图标重启激活联想检查状态应用程序

勒索者蠕虫病毒WannaCry应急处理方案-文件夹病毒专杀

2023-01-14 14:02:29

最近笔者所在的公司的安全部门向全员发了一封应对WannaCry病毒的邮件,邮件大致是预防过程和比较实用的安装包。这个病毒目前来看还没有破解方法。但是可以从根本上预防。先粘出来,供大家参考。如果需要安装包的话,下方回复接受安装包的邮箱或者关注头条号私信笔者,笔者会在第一时间传给大家的(因为笔者公司封掉了百度云,所以暂时无法上传到百度云,不好意思哈)。

一、病毒影响范围

MS17-010漏洞主要影响以下操作系统:Windows 2000,Windows 2003,Windows2008,Windows2012,Windows XP,Windows Vista,Windows7,Windows8,Windows10。

二、应急解决方案

对于未开机或未被感染的计算机:

第一步:断开网络(拔掉网线);

第二步:使用U盘或光盘自带的PE系统启动电脑,将计算机中所有重要文件(尤其文档、图片、照片、压缩包、音频、视频等)备份到移动存储设备上。

第三步:开启系统防火墙,并利用系统防火墙高级设置阻止向445端口进行连接。

第四步:对系统进行ms17010、ms10061、ms14068、ms08067、ms09050补丁更新。

安全补丁网址为 https://technet.microsoft.com/zh-cn/library/security/MS17-010。对于 windows XP、Windows 2003 等更加久远的系统,微软则不再提供安全补丁,请通过关闭端口的方式进行防护。

已感染病毒机器请立即断网,避免进一步传播感染。

三、启动防火墙及阻止135、137、138、139、445端口处理流程

3.1 关闭端口方法

1、运行 输入“dcomcnfg”;

2、在“计算机”选项右边,右键单击“我的电脑”,选择“属性”;

3、在出现的“我的电脑属性”对话框“默认属性”选项卡中,去掉“在此计算机上启用分布式 COM”前的勾;

4、选择“默认协议”选项卡,选中“面向连接的TCP/IP”,单击“删除”按钮。

3.2 关闭 135、137、138 端口

在网络邻居上点右键选属性,在新建好的连接上点右键选属性再选择网络选项卡,去掉 Microsoft 网络的文件和打印机共享,以及 Microsoft 网络客户端的复选框。这样就关闭了共享端 135 、137、138端口。

3.3 关闭 139 端口

139 端口是 NetBIOSSession 端口,用来文件和打印共 享。关闭 139 的方法是:在“网络和拨号连接”中的“本地连接”中,选取“Internet协议 (TCP/IP)”属性,进入“高级 TCP/IP 设置”“WINS设置”里面,有一项“禁用TCP/IP的 NETBIOS ”,打勾就可关闭 139 端口。

3.4 关闭 445 端口

开始-运行输入 regedit. 确定后定位到 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters,新建名为“SMBDeviceEnabled”的DWORD值,并将其设置为 0,则可关闭 445 端口。

也可运行附件的批处理文件,运行即可关闭137、138、139、445等端口。

四、手工查杀方法

检查步骤:

1、 首先,使用任务管理器查找如下检查,并结束进程,进程可能包括:

l taskhsvc.exe

l @WanaDecryptor@.exe

l taskdl.exe

l taskse.exe

l tasksche.exe

2、删除自动注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中恶意项,其值是 tasksche.exe

3、 通过文件搜索查找所有命名为@WanaDecryptor@.exe的文件,接着删除系统所有的 @WanaDecryptor@.exe。

4、 删除所有以.wnry命名的文件

5、 另外,其它不会对系统有影响的的文件如:

@Please_Read_Me@.txt和@WanaDecryptor@.bmp等也可疑删除。

6、 重启电脑。如果还有问题,请重复1到5 这个过程。

备注:所有被加密的文件命名为“*.WNCRY”

五、如何分辨是否中毒:

当系统被该勒索软件入侵后,会弹出勒索对话框:

勒索者蠕虫病毒WannaCry应急处理方案

或在桌面及各个文件夹内出现以下文件:

勒索者蠕虫病毒WannaCry应急处理方案

勒索者蠕虫病毒WannaCry应急处理方案

该病毒目前没有专杀工具,加密文件无法暴力破解。如不幸感染病毒,系统中有重要文件的请等待解密工具,没有重要文件的可以选择格式化全盘并重做系统。

该勒索软件采用包括英语、简体中文、繁体中文等28种语言进行“本地化”。会将自身复制到每个文件夹下,并重命名为“@WanaDecryptor@.exe”。同时衍生大量语言配置等文件,该勒索软件AES和RSA加密算法,加密的文件以“WANACRY!”开头,加密如下后缀名的文件:

勒索者蠕虫病毒WannaCry应急处理方案

鉴于本次勒索者蠕虫病毒WannaCry 主要针对Windows系统,对个人电脑危害极大,目前爆发在周末,但是周一上班将是个人电脑病毒爆发的高峰,建议组织形式的公司的话,各运维团队在互联网出口防火墙关闭对内、对外的135、137、139、445等端口的访问,等组织形式的公司自查完毕,补丁升级或端口确认关闭后,再逐步开放如上端口的访问。

自查工具链接:

安天蠕虫病毒WannaCry免疫工具和扫描工具下载地址为:http://www.antiy.com/tools.html

端口选项卡防火墙专杀文件夹病毒

推荐阅读