永恒之藍勒索病毒兇猛 周一上班請用正確姿勢打開電腦

  一、概述

這個周末,對於網路安全圈來說可以用「血雨腥風」來形容。北京時間5月12日開始,全球範圍內爆發了基於Windows網路共享協議進行攻擊傳播的「永恒之藍」勒索病毒。截止發稿時為止,包括美國、俄羅斯以及整個歐洲在內的100多個國家,及國內眾多大型企事業單位內網和政府機構專網中招,電腦磁盤上的文件被加密,用戶被勒索支付高額贖金才能解密恢復文件。由於病毒使用的是高強度的RSA和AES加密算法,目前還無法破解。換句話說,用戶一旦中招,基本無解。

鑒於病毒還在全面傳播,如暫時無法進行系統處置,內網用戶應盡量先斷網關機,等候使用離線工具處理。根據實際情況配置指南的版本會動態持續更新。

經分析,判定該勒索軟體是一個名稱為「wannacry」的新家族。該勒索軟體迅速感染全球大量主機的原因是利用了基於445端口傳播擴散的SMB漏洞MS17-010,微軟在今年3月份發布了該漏洞的補丁。2017年4月14日黑客組織Shadow Brokers(影子經紀人)公布的Equation Group(方程式組織)使用的「網路軍火」中包含了該漏洞的利用程序,而該勒索軟體的攻擊者或攻擊組織在借鑒了該「網路軍火」後進行了這次全球性的大規模攻擊事件。

二、開機防護操作指南

關於尚未感染的用戶群體的詳細防護步驟如下:

1)關閉網路,開啟系統防火牆;

2)利用系統防火牆高級設置阻止向445端口進行連接(該操作會影響使用445端口的服務)及網路共享;

3)打開網路,開啟系統自動更新,並檢測更新進行安裝;

2.1 Win7、Win8、Win10操作指南:

1)關閉網路:拔下網線,關閉無線路由器,已開機PC可關閉本機無線網卡,或禁用網路連接。

永恒之藍勒索病毒兇猛 周一上班請用正確姿勢打開電腦

2)打開控制面板-系統與安全-Windows防火牆,點擊左側啟動或關閉Windows防火牆

永恒之藍勒索病毒兇猛 周一上班請用正確姿勢打開電腦

3)選擇啟動防火牆,並點擊確定

永恒之藍勒索病毒兇猛 周一上班請用正確姿勢打開電腦

4)點擊高級設置

永恒之藍勒索病毒兇猛 周一上班請用正確姿勢打開電腦

5)點擊入站規則,新建規則,以445端口為例

永恒之藍勒索病毒兇猛 周一上班請用正確姿勢打開電腦

6)選擇端口、下一步

永恒之藍勒索病毒兇猛 周一上班請用正確姿勢打開電腦

7)選擇特定本地端口,輸入445,下一步

永恒之藍勒索病毒兇猛 周一上班請用正確姿勢打開電腦

8)選擇阻止連接,下一步

永恒之藍勒索病毒兇猛 周一上班請用正確姿勢打開電腦

9)配置文件,全選,下一步

永恒之藍勒索病毒兇猛 周一上班請用正確姿勢打開電腦

10) 名稱,可以任意輸入,完成即可。

永恒之藍勒索病毒兇猛 周一上班請用正確姿勢打開電腦

11) 插入網線,啟用網卡,恢復網路。

永恒之藍勒索病毒兇猛 周一上班請用正確姿勢打開電腦

12) 開啟系統自動更新,並檢測更新進行安裝

永恒之藍勒索病毒兇猛 周一上班請用正確姿勢打開電腦

註:在系統更新完成後,如果業務需要使用SMB服務,將上面設置的防火牆入站規則刪除即可。

永恒之藍勒索病毒兇猛 周一上班請用正確姿勢打開電腦

2.2XP系統操作流程

1、依次打開控制面板,安全中心,Windows防火牆,選擇啟用

永恒之藍勒索病毒兇猛 周一上班請用正確姿勢打開電腦

2、通過註冊表關閉445端口,單擊「開始」——「運行」,輸入「regedit」,單擊「確定」按鈕,打開註冊表。

永恒之藍勒索病毒兇猛 周一上班請用正確姿勢打開電腦

3、找到HKEY_LOCAL_MACHINE\System\Controlset\Services\NetBT\Parameters,選擇「Parameters」項,右鍵單擊,選擇「新建」——「DWORD值」。

永恒之藍勒索病毒兇猛 周一上班請用正確姿勢打開電腦

4、將DWORD值命名為「SMBDeviceEnabled」,值修改為0。

永恒之藍勒索病毒兇猛 周一上班請用正確姿勢打開電腦

5、重啟機器,查看445端口連接已經沒有了。

永恒之藍勒索病毒兇猛 周一上班請用正確姿勢打開電腦

6、鑒於本次Wannacry蠕蟲事件的影響巨大,微軟總部決定對已停服的XP和部分服務器版本發布特別補丁,微軟公告詳情 https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/。

被感染的用戶補救方案

1)首先拔掉網線,與內網其他機器隔離;

2)參考「二、開機防護操作指南」操作免疫;

3)使用蠕蟲勒索軟體專殺工具(WannaCry)清除病毒;

4)使用PE盤進入操作系統,將可用文件進行備份,並對備份數據進行離線處理;

5)如果重裝系統,重裝後重復2)、3)步驟,並參考做好防護工作。