最近笔者所在的公司的安全部门向全员发了一封应对WannaCry病毒的邮件,邮件大致是预防过程和比较实用的安装包。这个病毒目前来看还没有破解方法。但是可以从根本上预防。先粘出来,供大家参考。如果需要安装包的话,下方回复接受安装包的邮箱或者关注头条号私信笔者,笔者会在第一时间传给大家的(因为笔者公司封掉了百度云,所以暂时无法上传到百度云,不好意思哈)。
一、病毒影响范围
MS17-010漏洞主要影响以下操作系统:Windows 2000,Windows 2003,Windows2008,Windows2012,Windows XP,Windows Vista,Windows7,Windows8,Windows10。
二、应急解决方案
对于未开机或未被感染的计算机:
第一步:断开网络(拔掉网线);
第二步:使用U盘或光盘自带的PE系统启动电脑,将计算机中所有重要文件(尤其文档、图片、照片、压缩包、音频、视频等)备份到移动存储设备上。
第三步:开启系统防火墙,并利用系统防火墙高级设置阻止向445端口进行连接。
第四步:对系统进行ms17010、ms10061、ms14068、ms08067、ms09050补丁更新。
安全补丁网址为 https://technet.microsoft.com/zh-cn/library/security/MS17-010。对于 windows XP、Windows 2003 等更加久远的系统,微软则不再提供安全补丁,请通过关闭端口的方式进行防护。
已感染病毒机器请立即断网,避免进一步传播感染。
三、启动防火墙及阻止135、137、138、139、445端口处理流程
3.1 关闭端口方法
1、运行 输入“dcomcnfg”;
2、在“计算机”选项右边,右键单击“我的电脑”,选择“属性”;
3、在出现的“我的电脑属性”对话框“默认属性”选项卡中,去掉“在此计算机上启用分布式 COM”前的勾;
4、选择“默认协议”选项卡,选中“面向连接的TCP/IP”,单击“删除”按钮。
3.2 关闭 135、137、138 端口
在网络邻居上点右键选属性,在新建好的连接上点右键选属性再选择网络选项卡,去掉 Microsoft 网络的文件和打印机共享,以及 Microsoft 网络客户端的复选框。这样就关闭了共享端 135 、137、138端口。
3.3 关闭 139 端口
139 端口是 NetBIOSSession 端口,用来文件和打印共 享。关闭 139 的方法是:在“网络和拨号连接”中的“本地连接”中,选取“Internet协议 (TCP/IP)”属性,进入“高级 TCP/IP 设置”“WINS设置”里面,有一项“禁用TCP/IP的 NETBIOS ”,打勾就可关闭 139 端口。
3.4 关闭 445 端口
开始-运行输入 regedit. 确定后定位到 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters,新建名为“SMBDeviceEnabled”的DWORD值,并将其设置为 0,则可关闭 445 端口。
也可运行附件的批处理文件,运行即可关闭137、138、139、445等端口。
四、手工查杀方法
检查步骤:
1、 首先,使用任务管理器查找如下检查,并结束进程,进程可能包括:
l taskhsvc.exe
l @WanaDecryptor@.exe
l taskdl.exe
l taskse.exe
l tasksche.exe
2、删除自动注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中恶意项,其值是 tasksche.exe
3、 通过文件搜索查找所有命名为@WanaDecryptor@.exe的文件,接着删除系统所有的 @WanaDecryptor@.exe。
4、 删除所有以.wnry命名的文件
5、 另外,其它不会对系统有影响的的文件如:
@Please_Read_Me@.txt和@WanaDecryptor@.bmp等也可疑删除。
6、 重启电脑。如果还有问题,请重复1到5 这个过程。
备注:所有被加密的文件命名为“*.WNCRY”
五、如何分辨是否中毒:
当系统被该勒索软件入侵后,会弹出勒索对话框:
或在桌面及各个文件夹内出现以下文件:
该病毒目前没有专杀工具,加密文件无法暴力破解。如不幸感染病毒,系统中有重要文件的请等待解密工具,没有重要文件的可以选择格式化全盘并重做系统。
该勒索软件采用包括英语、简体中文、繁体中文等28种语言进行“本地化”。会将自身复制到每个文件夹下,并重命名为“@WanaDecryptor@.exe”。同时衍生大量语言配置等文件,该勒索软件AES和RSA加密算法,加密的文件以“WANACRY!”开头,加密如下后缀名的文件:
鉴于本次勒索者蠕虫病毒WannaCry 主要针对Windows系统,对个人电脑危害极大,目前爆发在周末,但是周一上班将是个人电脑病毒爆发的高峰,建议组织形式的公司的话,各运维团队在互联网出口防火墙关闭对内、对外的135、137、139、445等端口的访问,等组织形式的公司自查完毕,补丁升级或端口确认关闭后,再逐步开放如上端口的访问。
自查工具链接:
安天蠕虫病毒WannaCry免疫工具和扫描工具下载地址为:http://www.antiy.com/tools.html