中文字幕av专区_日韩电影在线播放_精品国产精品久久一区免费式_av在线免费观看网站

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

最新勒索軟件WannaCrypt病毒感染前清除處理及加固

發布時間:2020-06-27 12:29:31 來源:網絡 閱讀:38386 作者:simeon2005 欄目:系統運維

       昨天、今天、乃至最近一段時間,安全圈甚至全中國將聚焦在勒索病毒“WannaCrypt”,很多人都以為安全離我很遠,其實不然,過去病毒可能僅僅是在線***,而今天出現的“WannaCrypt”勒索病毒達到一定條件后,將感染內網,注意是內網!當然外網也是感染對象,目前國內很多高校、政府、企業和個人均出現了大面積的感染。很多安全公司將其定義為“蠕蟲”病毒,其危害相當巨大,一旦被感染,只有兩種途徑來解決,一種是支付贖金,另外一種就是重裝系統,所有資料全部歸零。通過筆者分析,如果是在病毒WannaCrypt發作前,能夠成功清除病毒,將可以救回系統,減少損失!

  記住在病毒發作的兩個小時內清除病毒效果最佳,錯過以后,及時關機,病毒也會繼續計算時間!也就是說最佳處理時間是病毒感染的兩個小時內!

一、最重要的事情

   先進行本文的第三部分,對系統進行查看有無病毒,如果有則可以參考以下步驟:

1.第一時間徹底清除病毒。

2.拔掉網線,防止再次被感染!

3.使用安全優盤進行系統文件備份,如果沒有優盤,則可以將需要備份的文件先行壓縮為rar文件,然后再修改為.exe文件。

4.WannaCrypt目前不對exe文件進行加密,文件處理好以后再進行加固!

二、病毒原始文件分析

   1.文件名稱及大小

本次捕獲到病毒樣本文件三個,mssecsvc.exeqeriuwjhrftasksche.exe,如圖1所示,根據其md5校驗值,tasksche.exeqeriuwjhrf文件大小為3432KBmssecsvc.exe大小為3636KB

2.md5校驗值

使用md5計算工具對以上三個文件進行md5值計算,其md5校驗值分別如下:

tasksche.exe  8b2d830d0cf3ad16a547d5b23eca2c6e

mssecsvc.exe  854455f59776dc27d4934d8979fa7e86

qeriuwjhrf:  8b2d830d0cf3ad16a547d5b23eca2c6e

最新勒索軟件WannaCrypt病毒感染前清除處理及加固

1 勒索軟件病毒基本情況

3.查看病毒文件

1)系統目錄查看

文件一般位于系統盤下的windows目錄,例如c:\windows\,通過命令提示符進入:

cd c:\windows\

dir /od /a *.exe

   2)全盤查找

dir /od /s tasksche.exe

dir /od /s mssecsvc.exe

4.病毒現象

1)通過netstat –an命令查看網絡連接,會發現網絡不停的對外發送SYN_SENT包,如圖2所示。

最新勒索軟件WannaCrypt病毒感染前清除處理及加固

2對外不斷的發送445連接包

2)病毒服務

   通過Autoruns安全分析工具,可以看到在服務中存在“fmssecsvc2.0”服務名稱,該文件的時間戳為2010112017:03分。

最新勒索軟件WannaCrypt病毒感染前清除處理及加固

三、殺毒方法

   1.設置查看文件選項

由于病毒設置了隱藏屬性,正常情況下無法查看該文件,需要對文件查看進行設置,即在資源管理器中單擊“工具”-“文件夾選項”,如圖4所示。

最新勒索軟件WannaCrypt病毒感染前清除處理及加固

4 打開文件夾選項設置

去掉“隱藏受保護的操作系統文件(推薦)”、選擇“顯示隱藏的文件、文件夾和驅動器”、去掉“隱藏已知文件類型的擴展名”,如圖5所示,即可查看在windows目錄下的病毒隱藏文件。

最新勒索軟件WannaCrypt病毒感染前清除處理及加固

5文件夾查看選項設置

2.結束進程

   通過任務管理器,在任務欄上右鍵單擊選擇“啟動任務管理器”,從進程中去查找mssecsvc.exetasksche.exe文件,選中mssecsvc.exetasksche.exe,右鍵單擊選擇“結束進程樹”將病毒程序結束,又可能會反復啟動,結束動作要快。

3.刪除程序

windows目錄將三個文件按照時間排序,一般會顯示今天或者比較新的時期,將其刪除,如果進程結束后,又啟動可來回刪除和結束。直到將這三個文件刪除為止,有可能到寫本文章的時候,已經有病毒變體,但方法相同,刪除新生成的文件。

4.再次查看網絡

使用netstat –an命令再次查看網絡連接情況,無對外連接情況,一切恢復正常。

可以使用安全計算機下載安全工具Autoruns以及ProcessExplorer,通過光盤刻錄軟件,到感染病毒計算機中進行清除病毒!軟件下載地址:

https://download.sysinternals.com/files/Autoruns.zip

https://download.sysinternals.com/files/ProcessExplorer.zip

注意,本文所指清除病毒是指勒索軟件還未對系統軟件進行加密!如果在桌面出現×××小圖標,桌面背景有紅色英文字體顯示(桌面有窗口彈出帶鎖圖片,Wana Decryptor2.0),這表明系統已經被感染了。

四、安全加固

1.關閉445端口

1)手工關閉

在命令提示符下輸入“regedit”,依次打開“HKEY_LOCAL_MACHINE-System-Controlset”“Services-NetBT-Parameters”,在其中選擇“新建”——“DWORD值”,將DWORD值命名為“SMBDeviceEnabled”,并通過修改其值設置為“0”,如圖6所示,需要特別注意一定不要將SMBDeviceEnabled寫錯了!否則沒有效果!

最新勒索軟件WannaCrypt病毒感染前清除處理及加固

6注冊表關閉445端口

查看本地連接屬性,將去掉“Microsoft網絡的文件和打印機共享”前面的勾選,如圖7所示。

最新勒索軟件WannaCrypt病毒感染前清除處理及加固

7取消網絡文件以及打印機共享

2)使用錦佰安提供的腳本進行關閉,在線下載腳本地址:http://www.secboot.com/445.zip,腳本代碼如下:

echo "歡迎使用錦佰安敲詐者防御腳本"

echo "如果pc版本大于xp 服務器版本大于windows2003,請右鍵本文件,以管理員權限運行。"

netsh firewall set opmode enable

netsh advfirewall firewall addrule name="deny445" dir=in protocol=tcp localport=445 action=block

netsh firewall setportopening  protocol=TCP port=445mode=disable name=deny445

2.關閉135端口

在運行中輸入“dcomcnfg”,然后打開“組建服務”-“計算機”-“屬性”-“我的電腦屬性”-“默認屬性”-“在此計算機上啟用分布式COM”去掉選擇的勾。然后再單擊“默認協議”選項卡,選中“面向連接的TCP/IP”,單擊“刪除”或者“移除”按鈕,如圖8所示。

最新勒索軟件WannaCrypt病毒感染前清除處理及加固

8關閉135端口

3.關閉139端口

139端口是為“NetBIOS Session Service”提供的,主要用于提供Windows文件和打印機共享以及Unix中的Samba服務。 單擊“網絡”-“本地屬性”,在出現的“本地連接屬性”對話框中,選擇“Internet協議版本4TCP/IPv4)”-“屬性”,雙擊打開“高級TCP/IP設置”-WINS”,在“NetBIOS設置”中選擇“禁用TCP/IP上的NetBIOS”,如圖9所示。

最新勒索軟件WannaCrypt病毒感染前清除處理及加固

9關閉139端口

4.查看端口是否開放

以后以下命令查看135139445已經關閉。

netstat -an | find  "445"

netstat -an | find  "139"

netstat -an | find "135"

5.開啟防火墻

   啟用系統自帶的防火墻。

6.更新系統補丁

   通過360安全衛士更新系統補丁,或者使用系統自帶的系統更新程序更新系統補丁。

五、安全提示

1.來歷不明的文件一定不要打開

2.謹慎使用優盤,在優盤中可以建立antorun.inf文件夾防止優盤病毒自動傳播

3.安裝殺毒軟件

4.打開防火墻

5.ATScannerWannaCry

http://www.antiy.com/response/wannacry/ATScanner.zip

6.蠕蟲勒索軟件免疫工具(WannaCryhttp://www.antiy.com/response/wannacry/Vaccine_for_wannacry.zip

  有關WannaCrypt勒索病毒軟件的進一步分析,請關注我們的技術分析,歡迎加入安天365技術交流群(513833068)進行該技術的探討。


向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

潞西市| 城步| 齐齐哈尔市| 宜兰市| 荣昌县| 台中市| 萝北县| 镇原县| 沙洋县| 宝鸡市| 垣曲县| 雷山县| 微博| 宜宾县| 油尖旺区| 石首市| 琼海市| 玛多县| 隆尧县| 邹平县| 屯昌县| 谢通门县| 平阳县| 英山县| 霞浦县| 将乐县| 繁峙县| 阿克| 马龙县| 仁化县| 潍坊市| 岫岩| 犍为县| 乌拉特前旗| 洛川县| 永顺县| 湖口县| 宜君县| 友谊县| 苍山县| 开阳县|