最新勒索软件WannaCrypt病毒感染前后应对措施
勒索病毒解决方案
勒索病毒解决方案第1篇勒索病毒解决方案一、背景近年来,随着网络技术的迅速发展,网络安全问题日益凸显。
勒索病毒作为一种恶意软件,通过对用户数据进行加密,进而勒索赎金,给个人和企业带来了巨大的安全风险。
为有效应对勒索病毒威胁,确保数据安全,本方案将针对勒索病毒的特点和传播途径,制定一套合法合规的预防、应对和恢复措施。
二、目标1. 预防勒索病毒感染,降低感染风险;2. 及时发现并应对勒索病毒攻击,减轻损失;3. 恢复受感染系统,确保业务正常运行;4. 提高员工网络安全意识,提升整体防护能力。
三、具体措施1. 预防措施(1)加强网络安全意识培训针对全体员工进行网络安全意识培训,提高员工对勒索病毒的认识,教育员工谨慎处理邮件、链接和附件,避免点击或下载未知来源的文件。
(2)定期更新操作系统和软件确保所有计算机设备和服务器操作系统、防病毒软件等安全相关软件保持最新版本,及时修复已知漏洞。
(3)严格管理权限对员工权限进行合理分配,限制对关键系统和数据的访问权限,防止勒索病毒在内部传播。
(4)定期备份重要数据建立重要数据备份机制,定期备份关键业务数据,确保在遭受勒索病毒攻击时,能够迅速恢复数据。
2. 应对措施(1)建立应急响应团队成立专门的网络安全应急响应团队,负责监控、分析和应对勒索病毒攻击。
(2)发现异常及时隔离当发现计算机出现异常行为时,立即断网并通知应急响应团队进行处理,避免病毒在内部传播。
(3)分析病毒样本收集病毒样本,分析病毒特征,为防病毒软件提供病毒库更新,提高整体防护能力。
(4)联系专业安全公司在遭受勒索病毒攻击时,及时联系专业安全公司协助处理,争取在最短时间内恢复系统。
3. 恢复措施(1)恢复备份数据在确认勒索病毒被清除后,恢复备份数据,确保业务正常运行。
(2)加强监控和检测在恢复过程中,加强系统监控和检测,防止病毒再次感染。
(3)总结经验教训针对此次勒索病毒攻击事件,总结经验教训,完善相关安全制度和措施。
电脑遭遇勒索软件感染后该如何进行应急处理
电脑遭遇勒索软件感染后该如何进行应急处理在当今数字化的时代,电脑已经成为我们生活和工作中不可或缺的工具。
然而,随着网络技术的不断发展,电脑面临的安全威胁也日益增多,其中勒索软件感染就是一种令人头疼的问题。
勒索软件是一种恶意软件,它会加密用户电脑中的重要文件,并要求用户支付赎金才能解密恢复文件。
当我们不幸遭遇勒索软件感染时,不要惊慌失措,以下是一些应急处理的步骤和方法,希望能帮助您尽可能减少损失。
第一步:立即断开网络连接当发现电脑可能感染了勒索软件后,第一时间要断开网络连接,包括拔掉网线、关闭 WiFi 等。
这是因为勒索软件可能会在后台继续与攻击者的服务器通信,上传您的更多信息或者加密更多的文件。
断开网络可以阻止这种情况的发生,为后续的处理争取时间。
第二步:不要支付赎金千万不要轻易支付赎金!支付赎金不仅不能保证您能够恢复文件,反而会助长攻击者的嚣张气焰,让他们有更多的资金和动力去开展更多的非法活动。
而且,支付赎金的过程也可能会让您陷入更多的风险,例如个人信息被进一步窃取。
第三步:备份尚未被加密的文件如果您的电脑中还有部分文件尚未被加密,尽快将它们备份到外部存储设备,如移动硬盘、U 盘等。
但要注意,在备份过程中要确保外部存储设备没有感染病毒,否则可能会导致备份文件也受到损害。
第四步:查找勒索软件的相关信息尝试查找关于感染您电脑的勒索软件的信息。
可以通过查看勒索软件留下的提示信息、文件扩展名的变化、网上搜索类似的案例等方式,了解该勒索软件的特点和可能的解密方法。
有些勒索软件可能已经有安全研究人员提供了解密工具或解决方案。
第五步:使用安全软件进行扫描和清除启动您电脑上安装的安全软件,进行全面的病毒扫描和清除。
大多数知名的安全软件都能够检测和处理常见的勒索软件。
如果您的安全软件无法有效处理,可以考虑使用其他权威的安全工具进行尝试。
第六步:寻求专业帮助如果您自己无法处理勒索软件感染的问题,可以寻求专业的安全机构或技术人员的帮助。
如何应对勒索软件
如何应对勒索软件勒索软件(Ransomware)是一种恶意软件,通过加密用户计算机上的文件或者把计算机锁定,敲诈用户赎金来获取利益。
勒索软件的威胁范围广泛,影响严重,给个人和组织的数据安全带来了巨大风险。
为了保护个人和企业的数据安全,我们应该采取一系列的措施来应对勒索软件的威胁。
一、加强网络安全意识1.定期进行网络安全教育培训,提高员工对勒索软件的防范意识和识别能力。
2.警惕来路不明的文件和链接,不轻易下载、安装和打开未知软件和附件,尤其是邮件和聊天工具中的附件。
3.定期更新和升级操作系统和安全软件,及时修补已知漏洞。
二、备份重要数据1.定期备份个人和企业的重要数据,将其存储在离线或云端备份系统中,以免勒索软件加密或者锁定用户的文件。
2.备份数据后,要确保备份数据的完整性和可恢复性,定期测试恢复备份数据的能力。
三、使用强大的安全软件1.安装和配置一款强大的防火墙软件,以确保网络流量的安全。
2.安装并定期更新终端防病毒软件,及时发现和清除潜在的恶意软件。
四、定期进行系统和应用程序的漏洞扫描1.及时安装操作系统和应用程序的更新和补丁,修复已知漏洞,防止黑客利用这些漏洞攻击。
2.定期进行系统和应用程序的漏洞扫描,及时发现和解决潜在的漏洞问题。
五、限制权限和强化访问控制1.使用强密码,并定期更换密码,避免使用弱密码和重复密码。
2.为用户分配适当的权限,限制敏感数据的访问范围,避免泄露和滥用。
3.启用双因素身份验证,增加登录安全性。
六、响应和恢复1.制定应急响应计划,定义明确的应急响应流程,以减少勒索软件的损失和影响。
2.在受到勒索软件攻击后,立即隔离受感染的计算机或网络,以阻止病毒的蔓延。
3.运行反恶意软件工具,尽可能找回或者解密被加密的文件。
4.及时报告勒索软件的攻击,协助执法部门的调查和打击。
总结:勒索软件作为一种威胁严重的恶意软件,给个人和企业的数据安全带来了巨大风险。
为了应对勒索软件的威胁,我们应该加强网络安全意识,备份重要数据,使用强大的安全软件,定期进行系统和应用程序的漏洞扫描,限制权限和强化访问控制,制定应急响应计划,并在受到攻击后及时响应和恢复。
如何应对勒索软件攻击预防检测和应急响应
如何应对勒索软件攻击预防检测和应急响应如何应对勒索软件攻击:预防、检测和应急响应随着互联网的迅速发展,勒索软件攻击已成为当前互联网安全领域的一大威胁。
无论是企业还是个人用户,我们都需要采取一系列预防措施,加强检测并规划应急响应,以增强对勒索软件攻击的防范能力。
一、预防勒索软件攻击1. 定期更新操作系统和软件及时安装操作系统和软件的安全补丁程序,以修复已经发现的漏洞,减少攻击者利用的机会。
2. 使用强密码和多因素认证选择复杂的密码,并定期更换,避免使用容易被猜测的密码。
同时,启用多因素认证可提高账户的安全性。
3. 邮件过滤和防火墙使用合适的电子邮件过滤工具,及时过滤掉垃圾邮件和携带恶意附件的邮件。
此外,合理配置和使用防火墙,限制对系统的非授权访问。
4. 及时备份数据定期备份重要数据,并将备份保存在离线和安全的地方。
如果发生勒索软件攻击,备份的数据可用于恢复操作并避免支付赎金。
5. 抵御社交工程攻击警惕来自不明身份的电子邮件、信息和链接,不轻易点击,尤其是要求登录账户或下载附件的邮件和信息。
二、检测勒索软件攻击1. 使用可靠的杀毒软件使用更新且信誉良好的杀毒软件,定期进行病毒扫描,及时发现并清除潜在的勒索软件。
2. 监控网络流量通过安装网络流量监控工具,实时监控网络流量,及时发现异常的数据传输并进行进一步调查。
3. 建立异常检测机制基于正常操作行为创建异常检测机制,例如当系统中的文件被加密或文件访问频率出现异常时,及时发出警报并进行进一步分析。
三、应急响应与处置1. 隔离感染主机一旦发现系统被勒索软件感染,立即隔离受感染的主机,断开与其他系统的连接,避免攻击进一步扩散。
2. 启动恢复计划根据备份数据,启动恢复计划,恢复系统到最近可用的安全状态。
在启动恢复前,确保清除勒索软件,以免重新感染。
3. 协同应急响应团队及时联系内部和外部的安全专家,协同应急响应团队分享信息和经验,并根据实际情况制定更全面的应对方案。
最新勒索病毒解决方案
最新勒索病毒解决方案随着技术的快速发展和网络的普及,勒索病毒成为了当前互联网上备受关注的一个安全问题。
勒索病毒利用恶意软件感染用户的计算机系统,并加密或封锁用户数据,然后勒索用户支付赎金才能解密或恢复数据。
这种恶意行为给个人、企业和组织带来了巨大的损失和困扰。
针对这一问题,本文将介绍最新的勒索病毒解决方案,以帮助用户提高网络安全防护水平,避免遭受勒索病毒的侵害。
一、加强网络安全意识良好的网络安全意识是抵御勒索病毒的第一道防线。
用户应接受相关安全培训,了解勒索病毒的工作原理和传播途径,学会识别可疑文件、链接或邮件。
同时,用户还应定期备份重要数据,并使用可靠的安全软件进行计算机系统的实时监测和杀毒防护。
二、及时安装系统更新和补丁勒索病毒常常利用操作系统和软件的漏洞进行传播。
为了减少此类威胁,用户应及时安装系统更新和补丁。
操作系统和软件提供商会定期发布安全补丁,修复已知漏洞,用户应密切关注并及时安装这些更新,以提高系统的安全性。
三、使用强密码和多因素身份验证许多勒索病毒通过猜测或破解用户密码的方式进入系统。
因此,使用强密码和多因素身份验证是十分重要的。
用户应使用包含大写字母、小写字母、数字和特殊字符的复杂密码,并定期更改密码。
此外,启用多因素身份验证能够为用户提供额外的保护层,提高系统的安全性。
四、谨慎打开邮件和下载附件勒索病毒经常通过电子邮件的附件进行传播,用户应谨慎打开陌生邮件和下载附件。
不明身份的邮件和携带可疑附件的邮件往往是传播勒索病毒的途径,用户要保持警惕,避免点击恶意链接或下载未知来源的文件。
五、使用可信任的安全软件为了有效抵御勒索病毒的攻击,用户应选用可信任的安全软件,如杀毒软件、防火墙等。
这些软件能够实时监测系统活动,并拦截、隔离或删除潜在的威胁。
用户应定期更新安全软件,以获取最新的病毒定义和安全功能,确保系统能够及时应对最新的勒索病毒变种。
六、定期备份重要数据定期备份重要数据是防御勒索病毒的重要手段之一。
面对勒索软件应对措施和防范方法
面对勒索软件应对措施和防范方法随着科技的不断进步和互联网的普及,勒索软件成为了当今网络安全的一个重要威胁。
勒索软件指的是一种恶意软件,通过加密用户文件并要求赎金来威胁用户。
为了保护个人和机构的数据安全,我们需要采取一系列应对措施和防范方法来应对这一威胁。
一、备份数据面对勒索软件,最重要的一项防范措施就是定期备份重要数据。
备份可以保证即使数据被加密,我们仍然可以从备份中恢复数据而无需支付赎金。
备份可以使用外部存储设备,例如硬盘驱动器或云存储服务。
定期备份是非常重要的,建议选择自动备份设置,确保数据的及时备份。
二、使用强密码为了防范勒索软件的入侵,我们必须使用强大且独特的密码来保护我们的账户。
强密码应包含大小写字母、数字和特殊字符,并且应避免使用常见的密码或个人信息作为密码。
此外,为了提高安全性,我们还可以考虑使用密码管理器来存储和生成强密码,以确保每个账户都有独立的、难破解的密码。
三、及时更新操作系统和软件大多数勒索软件利用操作系统和软件漏洞来入侵系统。
为了最大限度地减少系统漏洞,我们应及时更新操作系统和安全补丁,并确保所有软件都是最新版本。
同时,定期检查更新可以提供额外的保护,确保我们能够及时获得最新的安全性改进。
四、使用可信任的安全软件安装和使用可信任的安全软件是防范勒索软件的关键。
这些软件通常具有实时保护和恶意软件扫描功能,可以检测和拦截潜在的勒索软件。
选择知名的安全软件提供商,并定期更新软件以确保其有效性。
五、警惕垃圾邮件和可疑链接大多数勒索软件通过垃圾邮件和欺骗性链接进行传播。
我们应该避免打开来自陌生发件人的邮件附件,尤其是可疑的压缩文件和执行文件。
此外,避免点击可疑链接,特别是那些看似来自银行、社交媒体平台或其他机构的链接。
当我们收到可疑的电子邮件或链接时,应立即删除或报告给相关的安全团队。
六、培训员工网络安全意识除了个人的防范措施,企业和组织也应该重视员工的网络安全意识培训。
培训员工如何识别和应对勒索软件攻击,可以大大减少公司遭受损失的风险。
如何应对网络勒索软件攻击的应急预案
如何应对网络勒索软件攻击的应急预案网络勒索软件攻击,即勒索病毒攻击,是一种通过恶意软件加密用户数据并要求赎金来解密的恶意行为。
面对这种日益猖獗的网络威胁,每个个人和组织都应制定一套有效的应急预案。
本文将从预防、应急处置和恢复三个阶段,为用户和组织提供如何应对网络勒索软件攻击的应急预案。
一、预防阶段1. 定期备份数据建立定期备份数据的机制,确保数据安全。
备份资料应存储在分离的离线设备或云存储平台上,以防止被勒索软件感染。
2. 定期更新和升级系统与软件及时更新操作系统和应用程序,并安装最新的安全补丁,以弥补系统和软件漏洞,减少遭受勒索软件攻击的风险。
3. 确保有效的安全防护措施安装和更新可靠的杀毒软件、防火墙和入侵检测系统,以及安全基线设备。
定期扫描和检测潜在的恶意文件和链接。
4. 加强员工培训和提高安全意识教育员工注意勒索软件攻击的风险,并引导他们正确、安全地使用网络和电子邮件,尽量避免点击可疑链接或下载未经验证的文件。
5. 添加网络访问控制实施网络访问控制策略,限制员工访问风险高的网站和应用程序,遏制恶意软件入侵的可能性。
二、应急处置阶段1. 隔离和切断网络一旦发现勒索软件攻击,立即隔离受感染的计算机或网络,断开与外部网络的连接,以防止恶意软件继续传播和数据进一步受到损害。
2. 检测和确认感染范围利用安全设备和防护软件检测和确认网络中受感染的范围,找到勒索软件的源头和传播途径,并及时记录攻击相关信息。
3. 报告和通知相关部门在应急响应计划中,明确责任人,并迅速向相关部门报告勒索软件攻击事件,例如信息安全、法务和公关部门等,以便协调应急处置和相关公告。
4. 与执法机关合作将事件报告给当地警方或合适的执法机构,并根据他们的指导和要求提供必要的信息和协助。
三、恢复阶段1. 还原数据备份在恢复之前,确保已清除系统中的恶意软件。
然后,使用存储在离线设备或云存储平台上的备份数据还原因勒索软件而丢失的数据。
2. 增强安全措施在恢复过程中,加强网络安全措施,如更新安全补丁、加密重要数据、完善用户和权限管理等,以减少再次受到勒索软件攻击的风险。
如何应对网络勒索病毒攻击
如何应对网络勒索病毒攻击
一、加强安全意识
1.定期培训员工,提高他们对网络安全的认识,了解常见的网络攻击手段,如钓鱼邮件、恶意软件等。
2.加强对外部链接、附件和未知文件的警惕,避免在未知情况下点击和下载。
3.定期更新操作系统、软件和防病毒软件,确保系统始终保持在最新版本,以减少安全漏洞。
二、完善网络安全防护体系
1.部署防火墙、入侵检测和入侵防御系统,监控网络流量,防止恶意攻击。
2.加强数据加密和访问控制,确保核心数据不易被窃取。
3.定期备份重要数据,以应对勒索病毒加密数据造成的损失。
三、加强应急响应能力
1.制定应急预案,明确应急响应流程和责任人,确保在遭受攻击时能够迅速应对。
2.定期模拟演练,检验应急预案的实际效果,不断优化响应流程。
3.建立与网络安全厂商、政府部门等的协作机制,共享情报,提高应对能力。
四、依法打击网络犯罪
1.强化网络安全法律法规的宣传教育,提高人们的法治意识。
2.加大对网络犯罪的打击力度,依法惩治犯罪分子。
3.加强国际合作,共同应对跨国网络犯罪。
五、构建安全防护网络
1.强化网络安全基础设施建设,提高网络安全防护能力。
2.推动网络安全产业发展,培育一批具有竞争力的网络安全企业。
3.建立健全网络安全人才培养体系,培养一批专业化的网络安全人才。
总之,应对网络勒索病毒攻击需要多方共同努力,只有不断提高安全意识、完善防护体系、加强应急响应、依法打击犯罪和构建安全防护网络,我们才能有效应对网络勒索病毒的威胁,确保网络安全。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
最新勒索软件WannaCrypt病毒感染前后应对措施针对WannaCrypt勒索病毒的讨论和技术文章是铺天盖地,大量的技术流派,安全厂家等纷纷献计献策,有安全厂家开发各种安全工具,对安全生态来说是一个好事,但对个人未必就是好事,我们国家很多用户是普通用户是安全小白,如果遭遇WannaCrypt勒索软件,我们该怎么办?作者:simeon来源:|2017-05-14 23:03收藏分享技术沙龙| 6月30日与多位专家探讨技术高速发展下如何应对运维新挑战!【原创稿件】针对WannaCrypt勒索病毒的讨论和技术文章是铺天盖地,大量的技术流派,安全厂家等纷纷献计献策,有安全厂家开发各种安全工具,对安全生态来说是一个好事,但对个人未必就是好事,我们国家很多用户是普通用户是安全小白,如果遭遇WannaCrypt勒索软件,我们该怎么办?是主动积极应对,还是被动等待被病毒感染,这完全取决于您个人选择,笔者战斗在病毒对抗的第一线,将一些经验跟大家分享,希望能对您有所帮助!本文收集了windowsxp-windows2012所有的补丁程序以及360等安全公司的安全工具程序供大家下载,下载地址:/s/1boBiHNx一.病毒危害1.1病毒感染的条件到互联网上乃至技术专家都认为WannaCrypt攻击源头来自于MS17-010漏洞,在现实中很多被感染网络是内网,mssecsvc.exe病毒文件大小只有3M多,其后续加密生成有多个文件,这些文件是从哪里来,内网是跟外网隔离的!笔者整理认为病毒感染是有条件的:1.Windows7以上操作系统感染几率较高2.在感染的网络上,如果系统开放了445端口,将被快速感染计算机。
3.内网补丁更新不及时1.2病毒感染的后果WannaCrypt勒索病毒被定义为蠕虫病毒,其传播速度非常快,一旦被感染,只有两种途径来解决,一种是支付赎金,另外一种就是重装系统,所有资料全部归零。
通过笔者分析,如果是在病毒WannaCrypt发作前,能够成功清除病毒,将可以救回系统,减少损失!360也提供了一款勒索蠕虫病毒文件恢复工具RansomRecovery ,其下载地址:/recovery/RansomRecovery.exe主要针对勒索病毒成功感染后的恢复,越早恢复,文件被恢复的几率越高二、WannaCrypt勒索病毒原理分析WannaCrypt勒索病毒原理分析笔者再次就不赘述了,详细情况请参阅WanaCrypt0r勒索蠕虫完全分析报告(/learning/detail/3853.html)。
笔者要想说的是病毒感染的三个时间段:1.病毒感染初阶段,病毒从未知渠道进入网络,病毒开始攻击内网某台主机,对计算机存在漏洞计算机进行攻击,成功后释放mssecsvc.exe文件,并连接固定url(54.153.0.145): ;a)如果连接成功,则退出程序b)连接失败则继续攻击2.病毒感染中阶段接下来蠕虫开始判断参数个数,小于2时,进入安装流程;大于等于2时,进入服务流程3.病毒感染后阶段,对磁盘文件进行加密处理,出现勒索软件界面。
三、勒索病毒处理的黄金时间笔者在实际病毒对抗过程中发现,加固是针对未感染的计算机有用,感染后的计算机加固也是无用的!!!!在前面病毒运行阶段有两个小时的黄金时间,我想明天大家上班了,如果个人人走关机,则意味做网络是关闭的,计算机是安全的,这时候第一时间是拔掉网线,然后再开启计算机!!如果网络中已经存在病毒了,那么应该以最快的速度来结束病毒,可以参考文章后面的结束病毒进程,然后是备份文件,最后加固!如果有条件可以利用linux启动盘启动系统,先备份文件,然后再做其他事情!整理了一下具体流程:1.开机前拔掉网线,不使用网络。
2.若熟悉linux,可以刻盘启动计算机,使用U盘对文件进行备份。
3.使用本文提及的方法清理病毒。
4.使用安全优盘进行系统文件备份,如果没有优盘,则可以将需要备份的文件先行压缩为rar 文件,然后再修改为.exe文件。
四、安全处理建议1.病毒感染前处理(1)采用后续部分135、139、445等端口加固方法加固。
(2)也可使用360的NSA武器免疫工具检测计算机是否存在漏洞,如图1所示,在windows2003SP1虚拟机中进行检测显示无漏洞。
图1使用360的nsa武器库免疫工具(3)使用安天免疫工具进行检测和设置,如图2所示,按照运行结果进行设置即可。
图2使用安天免疫工具进行设置(4)根据系统实际情况安装补丁,我已经收集目前可用的安全工具以及相对应当漏洞补丁程序。
2.病毒正在感染,通过netstat -an命令查看,如果系统出现大量的445连接,说明肯定存在病毒,可以使用以下办法进行杀毒,同时拔掉网线!(另外一种方法就是通过kali等linux启动盘去清除病毒也可以,然后通过U盘直接备份资料)(1)设置查看文件选项由于病毒设置了隐藏属性,正常情况下无法查看该文件,需要对文件查看进行设置,即在资源管理器中单击“工具”-“文件夹选项”,如图3所示。
图3 打开文件夹选项设置去掉“隐藏受保护的操作系统文件(推荐)”、选择“显示隐藏的文件、文件夹和驱动器”、去掉“隐藏已知文件类型的扩展名”,如图4所示,即可查看在windows目录下的病毒隐藏文件。
图4文件夹查看选项设置(2)结束进程通过任务管理器,在任务栏上右键单击选择“启动任务管理器”,如图5所示,从进程中去查找mssecsvc.exe和tasksche.exe文件,选中mssecsvc.exe和tasksche.exe,右键单击选择“结束进程树”将病毒程序结束,又可能会反复启动,结束动作要快。
以上三个文件一般位于c:\windows目录。
图5结束进程(3)删除程序到windows目录将三个文件按照时间排序,一般会显示今天或者比较新的时期,将其删除,如果进程结束后,又启动可来回删除和结束。
直到将这三个文件删除为止,有可能到写本文章的时候,已经有病毒变体,但方法相同,删除新生成的文件。
(4)再次查看网络使用netstat –an命令再次查看网络连接情况,无对外连接情况,一切恢复正常。
可以使用安全计算机下载安全工具Autoruns以及ProcessExplorer,通过光盘刻录软件,到感染病毒计算机中进行清除病毒!软件下载地址:https:///files/Autoruns.ziphttps:///files/ProcessExplorer.zip注意,本文所指清除病毒是指勒索软件还未对系统软件进行加密!如果在桌面出现黄色小图标,桌面背景有红色英文字体显示(桌面有窗口弹出带锁图片,Wana Decryptor2.0),这表明系统已经被感染了。
3.病毒已经感染如果系统已经被病毒感染,则下载RansomRecovery (/recovery/RansomRecovery.exe )进行恢复。
五、病毒原始文件分析1.文件名称及大小本次捕获到病毒样本文件三个,mssecsvc.exe、qeriuwjhrf、tasksche.exe,如图6所示,根据其md5校验值,tasksche.exe和qeriuwjhrf文件大小为3432KB,mssecsvc.exe大小为3636KB。
2.md5校验值使用md5计算工具对以上三个文件进行md5值计算,其md5校验值分别如下:tasksche.exe 8b2d830d0cf3ad16a547d5b23eca2c6emssecsvc.exe 854455f59776dc27d4934d8979fa7e86qeriuwjhrf: 8b2d830d0cf3ad16a547d5b23eca2c6e图6 勒索软件病毒基本情况3.查看病毒文件(1)系统目录查看文件一般位于系统盘下的windows目录,例如c:\windows\,通过命令提示符进入:cd c:\windows\dir /od /a *.exe(2)全盘查找dir /od /s /a tasksche.exedir /od /s /a mssecsvc.exe4.病毒现象(1)通过netstat –an命令查看网络连接,会发现网络不停的对外发送SYN_SENT包,如图7所示。
图7对外不断的发送445连接包(2)病毒服务通过Autoruns安全分析工具,可以看到在服务中存在“fmssecsvc2.0”服务名称,该文件的时间戳为2010年11月20日17:03分,如图8所示。
图8病毒启动的服务六、安全加固1.关闭445端口(1)手工关闭在命令提示符下输入“regedit”,依次打开“HKEY_LOCAL_MACHINE”-“System”-“Controlset”“Services”-“NetBT”-“Parameters”,在其中选择“新建”——“DWORD值”,将DWORD值命名为“SMBDeviceEnabled”,并通过修改其值设置为“0”,如图9所示,需要特别注意一定不要将SMBDeviceEnabled写错了!否则没有效果!图9注册表关闭445端口查看本地连接属性,将去掉“Microsoft网络的文件和打印机共享”前面的勾选,如图10所示。
图10取消网络文件以及打印机共享(2)使用锦佰安提供的脚本进行关闭,在线下载脚本地址:/445.zip,脚本代码如下:echo "欢迎使用锦佰安敲诈者防御脚本"echo "如果pc版本大于xp 服务器版本大于windows2003,请右键本文件,以管理员权限运行。
"netsh firewall set opmode enablenetsh advfirewall firewall add rule name="deny445" dir=in protocol=tcp localport=445 action=blocknetsh firewall set portopening protocol=TCP port=445 mode=disable name=deny4452.关闭135端口在运行中输入“dcomcnfg”,然后打开“组建服务”-“计算机”-“属性”-“我的电脑属性”-“默认属性”-“在此计算机上启用分布式COM”去掉选择的勾。
然后再单击“默认协议”选项卡,选中“面向连接的TCP/IP”,单击“删除”或者“移除”按钮,如图11所示。
图11关闭135端口3.关闭139端口139端口是为“NetBIOS Session Service”提供的,主要用于提供Windows文件和打印机共享以及Unix中的Samba服务。
单击“网络”-“本地属性”,在出现的“本地连接属性”对话框中,选择“Internet协议版本4(TCP/IPv4)”-“属性”,双击打开“高级TCP/IP设置”-“WINS”,在“NetBIOS 设置”中选择“禁用TCP/IP上的NetBIOS”,如图12所示。