Wannacry蠕虫勒索软件“永恒之蓝”3种修复方案
据BBC报道,计算机网络病毒攻击已经扩散到74个国家,包括美国、英国、中国、俄罗斯、西班牙、意大利等。请注意:目前国内正在大规模的传播勒索软件,本次攻击的主要目标是位于全国各地的高校。
疑似通过校园网传播,十分迅速。目前受影响的有贺州学院、桂林电子科技大学、桂林航天工业学院以及广西等地区的大学。
另外有网友反映,大连海事大学、山东大学等也受到了病毒攻击。
攻击者利用Windows系统默认开放的445端口在高校校园网内进行传播,攻击者不需要用户进行任何操作即可进行感染。
感染后设备上的所有文件都将会被加密,攻击者声称用户需要支付300~600美元的比特币才可以解锁。
而目前众多高校学生正在忙着论文,一旦被加密即使支付也不一定能够获得解密密钥。
冲击波式黑客神器再现江湖
NSA黑客武器的神奇之处在于,只要你电脑联网,不需要你做任何操作,它就能远程入侵你的系统,随意植入木马病毒。
是不是想到了冲击波蠕虫?那时小编正在上学,还记得是刚刚重装的系统,开机联网还不出一两个小时,倒计时60秒关机的冲击波蠕虫就出现了,只能用shutdown –a的命令苟延残喘。
在冲击波之后,联网就能攻击的蠕虫最著名的是震荡波蠕虫,2008年又出现了conficker蠕虫,之后这类黑客神器就绝迹于江湖。近年来虽然经常曝光各种漏洞,但都需要用户操作才会触发攻击,比如访问个网页、打开个文档、预览个图标,真正无需用户任何交互的漏洞攻击已经成为传说。
但是!NSA武器库的公开又将人们对系统安全的信心重新打入冰窖。原来Windows的防线在NSA眼中竟形同虚设,仅仅公开曝光的影响Windows个人用户的黑客武器就有十款之多。
NSA的攻击一定是低调和秘密的,不会像冲击波一样到处搞破坏弄得尽人皆知。但是NSA的武器公开后,一向嗅觉敏锐的木马黑产简直是捡到了宝,说不定正在通宵干活改造NSA的武器,普通网民也会成为这些黑客神器的攻击目标。
漏洞名称:
Microsoft Windows SMB远程任意代码执行漏洞 (MS17-010)
包含如下CVE:
CVE-2017-0143 严重 远程命令执行
CVE-2017-0144 严重 远程命令执行
CVE-2017-0145 严重 远程命令执行
CVE-2017-0146 严重 远程命令执行
CVE-2017-0147 重要 信息泄露
CVE-2017-0148 严重 远程命令执行
漏洞描述
SMBv1 server是其中的一个服务器协议组件。
Microsoft Windows中的SMBv1服务器存在远程代码执行漏洞。
远程攻击者可借助特制的数据包利用该漏洞执行任意代码。
以下版本受到影响:Microsoft Windows Vista SP2,Windows Server 2008 SP2和R2 SP1,Windows 7 SP1,Windows 8.1,Windows Server 2012 Gold和R2,Windows RT 8.1,Windows 10 Gold,1511和1607,Windows Server 2016。
修复方案
方法1
1.目前微软已发布补丁MS17-010修复了“永恒之蓝”攻击的系统漏洞,请尽快为电脑安装此补丁,网址为https://technet.microsoft.com/zh-cn/library/security/MS17-010
对于XP、2003等微软已不再提供安全更新的机器,推荐使用360“NSA武器库免疫工具”检测系统是否存在漏洞,并关闭受到漏洞影响的端口,可以避免遭到勒索软件等病毒的侵害。
免疫工具下载地址:http://dl.360safe.com/nsa/nsatool.exe
2.安装正版操作系统、Office软件等。
3.关闭445、137、138、139端口,关闭网络共享;
4.强化网络安全意识,“网络安全就在身边,要时刻提防”:不明链接不要点击,不明文件不要下载……
5.尽快(今后定期)备份自己电脑中的重要文件资料到移动硬盘/U盘/网盘上。
方法2
更新不了系统的解决方案,批处理禁用该漏洞可能利用到的端口,全版本通用,自编写,右键管理员启动即可
venus.zip
我写的为了保险起见将漏洞所涉及的端口全部禁用了
蠕虫病毒细节:
病毒payload
蠕虫病毒扫描ip并进行传播
doublepulsar后门安装
方法3:应急脚本
rem 关闭智能卡服务
net stop SCardSvr
net stop SCPolicySvc
sc config SCardSvr start=disabled
sc config SCPolicySvc start=disabled
rem 开启服务
net start MpsSvc
rem 开机启动
sc config MpsSvc start=auto
rem 启用防火墙
netsh advfirewall set allprofiles state on
rem 屏蔽端口netsh advfirewall firewall add rule name=”deny udp 137 ” dir=in protocol=udp localport=137 action=block
netsh advfirewall firewall add rule name=”deny tcp 137″ dir=in protocol=tcp localport=137 action=block
netsh advfirewall firewall add rule name=”deny udp 138″ dir=in protocol=udp localport=138 action=block
netsh advfirewall firewall add rule name=”deny tcp 138″ dir=in protocol=tcp localport=138 action=block
netsh advfirewall firewall add rule name=”deny udp 139″ dir=in protocol=udp localport=139 action=blocknetsh advfirewall firewall add rule name=”deny tcp 139″ dir=in protocol=tcp localport=139 action=block
netsh advfirewall firewall add rule name=”deny udp 445″ dir=in protocol=udp localport=445 action=block
netsh advfirewall firewall add rule name=”deny tcp 445″ dir=in protocol=tcp localport=445 action=block
pause如何关闭455端口(附打开方法):
CMD命令手动关闭445端方法:
WIN+R 输入cmd,打开命令行操作窗口,输入命令“netstat -an”,检测445端口是否开启如果已经开启可以依次输入以下命令进行关闭:
net stop rdr
sc config rdr start= disabled
net stop srv
sc config srv start= disabled
net stop netbt
sc config netbt start= disabled
②打上最新官方补丁https://technet.microsoft.com/zh-cn/library/security/MS17-010统有些端口是我们平时用不到但是又存在危险的端口,例如139、135、445等端口,windows默认是开着的,这时我们可以手动关闭这些端口!
关闭445端口的方法!
方法一.注册表首先,来查看下系统当前都开放了什么端口,怎样查看呢?调出cmd命令行程序,输入命令”netstat -na“,可以看到。
<ignore_js_op>接着,可以发现当前系统开放了135、445以及5357端口,而且从状态看都处于监听状态”Listening“
<ignore_js_op>
然后,确认自己的系统已经开放了445端口之后,我们开始着手关闭这个高危端口。首先进入系统的”注册表编辑器“,步骤是:依次点击”开始“,”运行“,输入regedit进入”注册表编辑器“。
<ignore_js_op>
接着,依次点击注册表选项”HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\NetBT\Parameters“,进入NetBT这个服务的相关注册表项。
<ignore_js_op>
然后,在Parameters这个子项的右侧,点击鼠标右键,“新建”,“QWORD(64位)值”,然后重命名为“SMBDeviceEnabled”,再把这个子键的值改为0。
<ignore_js_op>
接着,如果你的系统为windows xp系统的话,那么重新启动就可以关闭系统的445端口了。但是如果是windows 7系统的话,这样还不行!
你还要做的就是把操作系统的server服务关闭,依次点击“开始”,“运行”,输入services.msc,进入服务管理控制台。
<ignore_js_op>
然后,找到server服务,双击进入管理控制页面。把这个服务的启动类型更改为“禁用”,服务状态更改为“停止”,最后点击应用即可。
<ignore_js_op>
445端口的打开方法:
开始-运行输入regedit.修改注册表,添加一个键值 Hive: HKEY_LOCAL_MACHINE Key: System\CurrentControlSet\Services\NetBT\Parameters Name: SMBDeviceEnabled Type: REG_DWORD Value: 1 重新启动 运行--CMD--输入netstat -an 可以看到开放的端口
关闭445端口方法二
1.请在控制面板>程序>启用或关闭windows功能>取消勾选SMB1.0/CIFS文件共享并重启系统。
2.打开控制面板>查看网络状态和任务>更改适配器设置>右键点击正在使用的网卡后点击属性>取消勾选Microsoft网络文件和打印机共享,重启系统。关闭445端口方法三:通过开启Windows系统防火墙来阻挡攻击
<ignore_js_op><ignore_js_op>
<ignore_js_op>
<ignore_js_op>
已经被感染电脑的解决办法:
1:打开那个勒索软件界面,点击copy. (复制黑客的比特币地址)
2:把copy粘贴到btc.com (区块链查询器)
3:在区块链查询器中找到黑客收款地址的交易记录,然后随意选择一个txid(交易哈希值)
4:把txid 复制粘贴给 勒索软件界面按钮connect us.
5:等黑客看到后 你再点击勒索软件上的check payment.
6:再点击decrypt 解密文件即可。相关修复工具,可去我的网盘下载:jes.ys168.com
空间登录密码为O,文件夹密码为:010
转载于:https://www.cnblogs.com/cneseu/p/6852613.html
Wannacry蠕虫勒索软件“永恒之蓝”3种修复方案相关推荐
- 国内影响已扩散,Wannacry蠕虫勒索软件及修复方案
5月12日晚,一款名为Wannacry 的蠕虫勒索软件袭击全球网络,这被认为是迄今为止最巨大的勒索交费活动,影响到近百个国家上千家企业及公共组织. 该软件被认为是一种蠕虫变种(也被称为"Wa ...
- ”NSA武器库-永恒之蓝“与“Wannacry蠕虫勒索软件”的双剑合璧
5月12日起,大规模勒索病毒软件在全球蔓延,我国大量行业企业内网受到攻击,教育网受损严重,据悉,大量学校电脑感染勒索病毒,重要文件被加密. 这是不法分子利用NSA黑客武器库泄露的"永恒之蓝& ...
- wannacry 专杀_蠕虫勒索软件专杀工具
蠕虫勒索软件专杀工具是面对强劲的勒索病毒特别制作的系统清理工具,主要是对已经感染的主机进行勒索病毒的清理,唯一的缺陷就是无法解密已经被加密的文件,有需要的用户欢迎来IT猫扑下载~ 蠕虫勒索软件专杀软件 ...
- 勒索病毒(永恒之蓝)
WannaCry WannaCry(又叫Wanna Decryptor),一种"蠕虫式"的勒索病毒软件,大小3.3MB,由不法分子利用NSA(National Security A ...
- MS17-010 Eternal Blue(永恒之蓝)”, 修复补丁下载汇总地址!
MS17-010 "Eternal Blue(永恒之蓝)"官方修复补丁,下载连接汇总地址 Product (Down-level) Release Date CDN Link S ...
- 蠕虫病毒利用永恒之蓝漏洞传播 单位局域网受威胁最大
一. 概述 日前,火绒安全团队通过"火绒威胁情报系统"发现蠕虫病毒"Worm/Sharp"正在全网传播,其中在政府.企业.学校.医院等单位的局域网具有非常强的传 ...
- 蠕虫勒索软件WannaCrypt0r的行为分析
来科锐学习一年出头,x86 平台刚好学完,这个周末遇到这个病毒爆发,花了点时间分析了下这个样本,发出来与看雪坛友分享. 一) 样本大致行为预览 该样本执行后会随机向互联网计算机发送EternalBlu ...
- 恢复勒索病毒“永恒之蓝”中招的文件,ooops,your files have been encrypted!解决方案
以下内容包含普通电脑解决方案.云服务器解决方案.以及预防方法.文件日常免费自动备份方案 半夜被运维值班人员的紧急电话惊醒,阿里云ECS服务器业务停止了,迷迷糊糊打开手机远程桌面,无法连接.无奈打开电脑 ...
- MS17-010永恒之蓝-漏洞利用+修复方法
前言 提到操作系统漏洞,大家肯定听说过耳熟能详的永恒之蓝(MS17-010)了,他的爆发源于WannaCry勒索病毒的诞生. 该病毒是不法分子利用NSA(National Security Agenc ...
- 勒索软件_改善市政勒索软件防御能力的3种习惯
勒索软件 Security experts should dispel common myths and develop these new habits for making cyber defen ...
最新文章
- js解析json字符串数组
- 如何将excel表格内的数据导入至mysql数据库
- SqlServer知识点
- MFC设置对话框背景色及控件颜色
- zabbix 2.2 监控mysql_zabbix2.2入门教程之监控mysql(六)
- 如何修改Qt Creator的界面语言
- matplotlib的一些代码
- TCP/IP协议栈的封装
- 基于频繁增长树(FP-树)的频繁项集挖掘算法实现
- SPSS篇—卡方检验
- 【代码重构】拒绝继承的遗赠(Refused Bequest)--如何处理子类无需使用到父类中的某些方法和变量的情况?
- 树莓派4B系统搭建(超详细版)
- 学员心声--元气少女缘结华为
- 命令行如何 copy 文件内容到剪切板(clipboard)?
- hdp环境下ip更改
- error C2533: “XXX::{ctor}”: 构造函数不能有返回类型
- 辉芒微FT61F023,FT61F011A
- Netty空闲检测之写空闲
- C# EMS Client
- 如何退出Dos——附DOS命令大全