勒索病毒永恒之蓝课件

勒索病毒WannaCry解决办法
1、为计算机安装最新的安全补丁，微软已发布补丁MS17-010修复了“永恒之蓝”攻击的系统漏洞，请尽快安装此安全补丁，对于Windows XP、2003等微软已不再提供安全更新的机器，可以借助其它安全软件更新漏洞。

2、关闭445、135、137、138、139端口，关闭网络共享。

3、强化网络安全意识：不明链接不要点击，不明文件不要下载，不明邮件不要打开。

4、尽快（今后定期）备份自己电脑中的重要文件资料到移动硬盘、U盘，备份完后脱机保存该磁盘。

5、建议仍在使用Windows XP，Windows 2003操作系统的用户尽快升级到Window
7/Windows 10，或Windows 2008/2012/2016操作系统。

按下键盘的Windows键，打开控制面板
点击Windows防火墙
点击左边高级设置
点击左上角的入站规则
点击右边的新建规则
点击第二个选项→端口，点击下一步
选择TCP
在下方特定本地端口中输入135，445，点击下一步
选择第三个选项→阻止连接，点下一步，再点下一步
输入名称：比特币病毒防护，点击完成
重复一次3-10，在第7步时选择UDP
做完上面所有步骤后你会在入站规则的最上方看到两个新建的规则，这就表示完成了，保险起见，重启一下电脑。

排查指导
1.排查操作系统是否打上了MS17-010的补丁
在控制面板→程序→程序和功能→已安装更新里查看如果没有3月或者4月安装的补丁(如下图所示),如果没有则执行第2步;
2.排查windows机器高危端口135\445\3389是否打开,一般3389都会开放;
3.查看系统的登录日志是否存在频繁的尝试登录操作;
在cmd下运行eventvwr命令,选择windows日志下的安全
在短时间内有多次审核失败且任务类型为登录的记录,则说明可能存在尝试登录操作4.启动任务管理器,在进程标签中查看有没有可疑进程,比如存在包含”Wanna”字符串的进
程;对于无法确定的进程,可以截图后由专业人员进行分析;
5.全盘搜索有没有文件名包含“Wanna”的文件(模糊匹配),
6.在确认操作系统被勒索病毒感染后,请不要按照提示付款，建议备份操作系统
中关键资料文件,请联系微软及病毒软件厂家处理，提供给分析人员进行分析。

说明:勒索软件不同于普通的病毒软件,不会刻意隐藏自身,具有明显的特征,所以通过简单的
查看操作系统中的文件是否正常就可以判断是否感染勒索病毒.
缓解措施：
1、请不要随意点击打开来历不明的邮件附件和链接
2、尽快为操作系统打上最新补丁
3、对关键信息文件及时定期进行备份。

勒索病毒防护指引一、勒索病毒背景自2017年5月WannaCry（永恒之蓝勒索蠕虫）大规模爆发以来，勒索病毒已成为对政企机构和网民直接威胁最大的一类木马病毒。

大规模爆发的Globelmposter、GandCrab、Crysis等勒索病毒，攻击者更是将攻击的矛头对准企业服务器，并形成产业化；而且勒索病毒的质量和数量的不断攀升，已经成为政企机构面临的最大的网络威胁之一。

二、勒索病毒感染案例据某安全机构监测和评估显示：每天感染用户电脑的勒索病毒有10多种（家族），每天感染量高达10-15万台电脑，其中以漏洞为传播途径的勒索病毒占90%以上。

近期发生的一些勒索病毒感染事件再次对我们敲响了警钟。

案例一：某上市公司福建某上市公司服务器被勒索病毒Ransom/Bunnyde入侵，导致该企业核心的ERP(财务系统)数据库被加密，向病毒团伙支付了50万人民币赎金后，获得密钥恢复了数据。

该病毒是利用垃圾邮件和漏洞等方式传播，工程师调查发现，该企业服务器既没安装补丁程序，又没安装任何安全软件。

案例二：某知名高校某南方知名高校学生使用个人电脑连接学校网络时，被通过校园网主机系统漏洞进入的勒索病毒感染，包括毕业论文在内的所有文件被加密，该病毒提示需要支付近1万元人民币赎金。

该学生支付赎金后，病毒团伙并没有提供任何解密方式。

案例三：某服务提供商2019年11月9日拥有44万客户的网络托管提供商遭到勒索软件的攻击，这是今年的第三家大型网络托管提供商被勒索病毒网络犯罪团伙攻击，加密了客户服务器上的数据，该公司被勒索病毒攻击之后，客户电话被打爆而不得不中断客户电话热线，该公司网站在11月9日被迫关闭一整天。

三、勒索病毒的来源通过对云上用户的调查分析，大部分用户未按照最佳的安全使用方式来使用云服务器资源，主要问题有：关键账号存在弱口令或无认证机制服务器关键账号（root、administrator）密码简单或无密码。

数据库（Redis、MongoDB、MySQL、MSsql Server）等重要业务使用弱密码或无密码。