空明苑 / 信息安全 / 比特币勒索病毒防御指南 | 如也 | 代码如诗

0 0

   

比特币勒索病毒防御指南 | 如也 | 代码如诗

2017-05-13  空明苑

近日在全球范围爆发了利用微软产品漏洞进行比特币勒索的网络病毒攻击。本次攻击利用 Windows SMBv1 协议漏洞,向被攻击设备直接发送病毒,该病毒会将被攻击设备的私人文件进行不可逆加密,并声称支付比特币后进行解密操作。

需要注意的是,该病毒目前没有解决方案。

中国境内运营商因未开启实施攻击的网络端口,公网目前还没有遭受大规模攻击的报告。本次攻击的实施对象是教育网和局域网用户。

本文将指导目标用户进行必要的安全防御。

版本检查

据报告,本次攻击的主要感染用户集中在 Windows 7 及以下版本操作系统。

据报告,本次攻击对使用正版 Windows 10 并开启默认更新机制的设备无效。

如果你使用的是非 Windows 10 操作系统,或使用盗版 Windows 10 操作系统,以及使用正版系统但通过技术手段规避系统自动更新的,请参考本文进行设置。同时建议你升级到 Windows 10 操作系统以防范未来的风险。

如何获知系统版本?
Windows + R 打开运行窗口,输入 winver.exe 并回车。

应急措施

选项一,校园网内 Windows 用户,可以断开校园网连接以防止被感染。

选项二,对于需要使用校园网的用户,请禁用设备 SMBv1 服务或关闭其端口。请根据你的系统版本参考以下内容。

适用 Windows 8.1/ 10

选项一,禁用 SMBv1 服务。

  1. 打开“控制面板”,单击“程序”,然后单击“打开或关闭 Windows 功能”。
  2. 在“Windows 功能”窗口中,清除“SMB 1.0/CIFS 文件共享支持”复选框,单击“确定”关闭此窗口。
  3. 重启系统。

如果你使用的是 Windows Server 2012 R2 或以上版本的服务器操作系统:

  1. 打开“服务器管理器”,单击“管理”菜单,然后选择“删除角色和功能”。
  2. 在“功能”窗口中,清除“SMB 1.0/CIFS 文件共享支持”复选框,然后单击“确定”以关闭此窗口。
  3. 重启系统。

选项二,关闭 SMB 服务端口

设置防火墙,需要管理员权限。

  1. 打开“控制面板”,单击“Windows 防火墙”,然后单击“高级配置”。
  2. 选择“入站规则”,右击,单击“新建规则”选项。
  3. “规则类型”选择“端口”,下一步。
  4. “协议和端口”选择“特定本地端口”,TCP,键入“135,139,445”,UDP,键入“137,138”,下一步。
  5. “操作”选择“阻止连接”,下一步。
  6. “配置文件”勾选所有复选框,下一步。
  7. 最后一步,自定义规则名称,单击“完成”。

适用 Windows Vista 及以上版本

禁用 SMBv1 服务,请在命令提示符中键入以下指令:

1
2
sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi
sc.exe config mrxsmb10 start= disabled

如何启动命令提示符?
Windows + R 打开运行窗口,输入 cmdPowershell 并回车。

配置防火墙,请参阅Windows 8.1/ 10用户设置。

漏洞封控

获取安全补丁

2017年3月14日,微软发布三月份安全公告,公布了本次攻击使用的 MS17-010 漏洞信息,并声明该漏洞级别为严重。于安全公告发布同时,微软公开了 KB4012215 系统安全补丁。

Windows 7 及以上用户可在 Windows Update 获取该补丁。

Windows 8.1 和 Windows Server 2012 R2 用户,可 在此 下载该补丁独立更新包。

Windows 7 和 Windows Server 2008 R2 用户,可 在此 下载该补丁独立更新包。

Windows Vista 用户,可 在此 下载该补丁独立更新包。

关于离线安装包和独立安装包的更多信息,参考 微软技术文档库-4013389

如何找到 Windows Update?

Windows 10 用户:开始菜单,设置面板,更新与安全子类。

非 Windows 10 用户:
Windows + R 打开运行窗口,输入 control 后回车,启动“控制面板”。更改查看方式为“大(小)图标”,单击“Windows Update” 或部分版本称为 “Windows 更新”。

更新安全软件

根据有关报告,Windows 8.1/ 10操作系统内置的 Windows Defender 可以有效拦阻该病毒。如你是Windows 8.1/ 10用户,请在 Windows Update 检查并安装近期安全补丁和病毒库文件。

Windows 8.1以下版本用户,请安装第三方杀毒软件或升级你的杀毒软件病毒库。

其他情况

Windows XP

Windows XP 超出微软产品生命周期,已停止维护。建议使用该操作系统的用户尽早升级。

已感染设备的处理

1.切断电源和网络连接,防止病毒进一步扩散。
2.请不要向对方支付比特币。根据区块链技术,比特币交易无法获知交易双方信息,即使你已支付,也不会得到任何帮助,因为对方同时不知道你的身份信息。
3.放弃所有已感染的文件,病毒使用的加密算法目前无法快速破解,恢复文件的可能极低。
4.对硬盘内容进行多次格式化操作,重新安装正版操作系统。

最后,本文将随着事件进展持续更新。

    本站是提供个人知识管理的网络存储空间,所有内容均由用户发布,不代表本站观点。如发现有害或侵权内容,请点击这里 或 拨打24小时举报电话:4000070609 与我们联系。

    猜你喜欢

    0条评论

    发表

    请遵守用户 评论公约

    类似文章 更多
    喜欢该文的人也喜欢 更多