近期国内多所院校出现 ONION(WannaCry及变种)勒索软件感染情况,磁盘文件会被病毒加密为.onion 后缀,该勒索软件运用了高强度的加密算法难以破解,被攻击者除了支付高额赎金外,往往没有其他办法解密文件,只有支付高额赎金才能解密恢复文件,对学习资料和个人数据造成严重损失。
ONION(WannaCry 及变种)勒索软件病毒界面(一)
ONION(WannaCry 及变种)勒索软件病毒界面(二)
根据网络安全机构通报,这是不法分子利用 NSA 黑客武器库泄漏的“永恒之蓝”(“EternalBlue”)发起的全球性病毒攻击事件,该事件导致很多国家的机场、医院、ATM 机等系统大面积瘫痪,影响极其恶劣。
从被感染机器的情况来看,主要由几下几个原因导致的:
- 一是操作系统、Office 软件等没有采用正版软件,且漏洞、补丁更新不及时;
- 二是不常用端口没有封闭;
- 三是个人网络安全意识淡漠,没有定期备份文档的习惯。
防范方法
当然,各位也不要过分惊慌,以下是龙笑天下整理的一些预防之法,请趁早使用,因到目前为止,该病毒造成的结果是不可逆的。5 月 25 号,阿里云已研发出了杀毒及文件恢复工具,详见下文“文件数据恢复方法”!
- 目前微软已发布补丁 MS17-010 修复了“永恒之蓝”攻击的系统漏洞,请尽快为电脑安装此补丁,网址为:https://technet.microsoft.com/zh-cn/library/security/MS17-010;(PS:貌似全球用户都在下载这个补丁,可能会导致此链接不可用~)
a. 如果系统为 WINDOWS 7 或者 WINDOWS 2008 系统可下载下面的补丁离线安装包直接安装(其它系统请参见下面的资料四与资料五):
win7/2008r2(32):http://dlied6.qq.com/invc/QQPatch/windows6.1-kb4012212-x86.msu
win7/2008r2(64):http://dlied6.qq.com/invc/QQPatch/windows6.1-kb4012212-x64.msu
b. 对于 XP、2003 等微软已不再提供安全更新的机器,由于本次全球范围内 WannaCrypt 蠕虫事件的巨大影响,微软总部刚才决定公开发布已停服的 XP 和部分服务器版 WindowsServer 2003 特别安全补丁:https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/;
c. 当然也可以使用 360“NSA 武器库免疫工具”检测系统是否存在漏洞,并关闭受到漏洞影响的端口,可以避免遭到勒索软件等病毒的侵害。免疫工具下载地址:http://dl.360safe.com/nsa/nsatool.exe 或者 直接下载 360 安全卫士离线救灾版:http://down.360safe.com/setup_jiuzai.exe。- 安装正版操作系统、Office 软件等;
- 关闭 445、137、138、139 端口,关闭网络共享;
- 强化网络安全意识,“网络安全就在身边,要时刻提防”:不明链接不要点击,不明文件不要下载……
- 尽快(今后定期)备份自己电脑中的重要文件资料到移动硬盘/U 盘/网盘上。
端口关闭方法
对于上面提到的第三点,可以通过以下 2 种方式来实现,任选其一即可:
方法一:一键关闭及恢复端口
通过这个软件来一键关闭及恢复端口:http://pan.baidu.com/s/1jIoPWii(提取码:d9rp),软件界面如下:
一键关闭和恢复端口软件界面
对于 ONION 勒索软件,只需封堵 445 端口即可,其它端口也可自行看着办;如需恢复,请点击一键恢复按钮。
使用成功后,会在 windows 防火墙(控制面板->高级设置)中显示出一条 forbid 445 的规则:
Windows 防火墙中新增的端口关闭规则 by 软件
方法二:批处理 bat 方式关闭端口
通过批处理禁用该漏洞可能利用到的端口,全版本通用,自编写,将下面的代码复制到记事本里保存为.bat格式,右键管理员启动即可。
echo "启明星辰 Venuseye 金睛安全团队解决 SMB 文件共享传播的蠕虫病毒攻击方案"
echo "请右键以管理员身份运行"
echo "正在关闭并禁用 445 端口"
netsh firewall set opmode enable
netsh advfirewall firewall add rule name="venus445" dir=in protocol=tcp localport=445 action=block
netsh advfirewall firewall add rule name="venus135" dir=in protocol=tcp localport=135 action=block
netsh advfirewall firewall add rule name="venus138" dir=in protocol=tcp localport=138 action=block
netsh advfirewall firewall add rule name="venus137" dir=in protocol=tcp localport=137 action=block
netsh advfirewall firewall add rule name="venus139" dir=in protocol=tcp localport=139 action=block
echo "针对 xp 系统备用方法"
netsh firewall set portopening protocol = ALL port = 445 name = 445 mode = DISABLE scope = ALL profile = ALL
netsh firewall set portopening protocol = ALL port = 135 name = 135 mode = DISABLE scope = ALL profile = ALL
netsh firewall set portopening protocol = ALL port = 138 name = 138 mode = DISABLE scope = ALL profile = ALL
netsh firewall set portopening protocol = ALL port = 137 name = 137 mode = DISABLE scope = ALL profile = ALL
netsh firewall set portopening protocol = ALL port = 139 name = 139 mode = DISABLE scope = ALL profile = ALL 懒人请点击这里下载:http://www.blovb.com/wp-content/uploads/2017/05/venus.zip
使用此批处理后,会在 windows 防火墙中产生如图所示的端口关闭规则:
Windows 防火墙中新增的端口关闭规则 by bat 批处理
友情提示:关闭以上端口后,可能会造成打印机等网络共享设备无法使用;请在使用这些设备时,在以上产生的防火墙规则处暂时右键“禁用”即可。
文件数据恢复方法
2017.05.25 阿里云盾发布了一个“WannaCry 勒索病毒”解密修复工具,中招的盆友赶紧去下载使用吧,你的数据有救了!
1.工作原理:本次发布的修复工具基于 wannakiwi 项目的研究成果:既通过搜索内存中的数据,获取解密的关键素数来进行数据解密。阿里云安全团队在研究基础上,进行调试和封装,让工具简单易用。
2. 适用范围:该工具适用于云上、云下 Windows 服务器操作系统用户。操作系统版本包括:Windows Server 2003、Windows Server 2008。
3.注意事项:
- 加密的文件可以被成功恢复,但也出现内存数据被二次写入覆盖原有加密状态时的数据,导致数据恢复不成功的案例。
- 阿里云安全团队强烈建议,在勒索病毒“中招后”,不要马上关闭、重启操作系统,也不要去手工查杀病毒,建议使用该修复工具尝试恢复数据。
- 该工具目前只针对 WannaCry 加密软件研发,Windows 系统均可使用,如果运行和解密数据失败不会对系统造成任何影响。此外,用户也可以选择使用磁盘数据恢复软件来尝试恢复数据。
具体操作步骤:
完成以下三个步骤即可杀掉病毒、恢复文件了。
1.下载&运行:免费下载该工具到被加密的服务器或 PC 机器上,并双击运行,如下图所示:
双击运行工具
2.清除蠕虫:首先点击『清除蠕虫』按钮,清理掉蠕虫病毒程序及服务,如下图所示:
清除蠕虫
3.执行恢复:完成清理后点击恢复文件按钮,执行文件恢复功能,期间执行时间会较长,请耐心等待,如下图所示:
恢复文件
参考资料
【转】关于防范 ONION 勒索软件病毒攻击的紧急通知 - 吾爱破解
NSA 漏洞封堵工具 - 吾爱破解
关于大规模勒索软件在教育网横行的解决方案与具体细节 - 黑鸟安全网
Windows 勒索病毒'Wannacry'修复补丁下载,救命必看 - kisbos 的博客 - CSDN
永恒之蓝漏洞所有版本的独立安全更新包下载|蓝点网
企业预防勒索解决方案-云盾
还没有人赞赏,快来当第一个赞赏的人吧!
声明:本文为原创文章,版权归龙笑天下所有,欢迎分享本文,转载请保留出处!
