关于Windows勒索病毒以及445端口防护
前两天,与这个周末,5月12日起,Onion、WNCRY两类敲诈者病毒变种在全国乃至全世界大范围内出现爆发态势,大量个人和企业、机构用户中招。
与以往不同的是,这次的新变种病毒添加了NSA(美国国家安全局)黑客工具包中的“永恒之蓝”0day漏洞利用,通过445端口(文件共享)在内网进行蠕虫式感染传播。
没有安装安全软件或及时更新系统补丁的其他内网用户极有可能被动感染,所以目前感染用户主要集中在企业、高校等内网环境下。
看到新闻中说公安系统中招了,教育系统,等不少中招了。作为个人,我们最好自己注意一点,以免中招,只能重装系统,就比较麻烦。
当然,使用win10系统以下电脑,以及ubuntu或者mac等linux系列的话,不存在问题,不必担心。
首先,先做好防备,然后我们再说。:
Windows 7~Windows 10操作系统,以管理员模式启动命令提示符,输入:
netsh advfirewall set allprofile state onnetsh advfirewall firewall add rule name=deny445 dir=in action=block protocol=TCP localport=445
后回车即可。
Windows XP操作系统,以管理员模式启动命令提示符,输入:
net stop rdrnet stop srvnet stop netbt
一旦感染该蠕虫病毒变种,系统重要资料文件就会被加密,并勒索高额的比特币赎金,折合人民币2000-50000元不等。
和历史上的“震荡波”、“冲击波”等大规模蠕虫感染类似,本次传播攻击利用的“永恒之蓝”漏洞可以通过445端口直接远程攻击目标主机,传播感染速度非常快。
虽然国内部分网络运营商已经屏蔽掉个人用户的445网络端口,但是在教育网、部分运行商的大局域网、校园企业内网依旧存在大量暴漏的攻击目标。
对于企业来说尤其严重,一旦内部的关键服务器系统遭遇攻击,带来的损失不可估量。
【敲诈蠕虫病毒感染现象】
中招系统中的文档、图片、压缩包、影音等常见文件都会被病毒加密,然后向用户勒索高额比特币赎金。
WNCRY变种一般勒索价值300-600美金的比特币,Onion变种甚至要求用户支付3个比特币,以目前的比特币行情,折合人民币在3万左右。
此类病毒一般使用RSA等非对称算法,没有私钥就无法解密文件。WNCRY敲诈者病毒要求用户在3天内付款,否则解密费用翻倍,并且一周内未付款将删除密钥导致无法恢复。
从某种意义上来说,这种敲诈者病毒“可防不可解”,需要安全厂商和用户共同加强安全防御措施和意识。
感染WNCRY勒索病毒的用户系统弹出比特币勒索窗口
【防御措施建议】
作为个人,我们自己要保护好自己的文件。可以检查一下,尽早做好预防,以免出现问题;
下面几点,Win10以下的同学,可以参考一下:
1、安装杀毒软件,保持安全防御功能开启;
2、打开Windows Update自动更新,及时升级系统。
3、Windows XP、Windows Server 2003系统用户还可以关闭445端口,规避遭遇此次敲诈者蠕虫病毒的感染攻击。
步骤如下:
(1)、开启系统防火墙保护。控制面板->安全中心->Windows防火墙->启用。开启系统防火墙保护
(2)、关闭系统445端口。
(a)、快捷键WIN+R启动运行窗口,输入cmd并执行,打开命令行操作窗口,输入命令“netstat -an”,检测445端口是否开启。
(b)、如上图假如445端口开启,依次输入以下命令进行关闭:
net stop rdr
net stop srv
net stop netbt
功后的效果如下:
4、谨慎打开不明来源的网址和邮件,打开Office文档的时候禁用宏开启,网络挂马和钓鱼邮件一直是国内外勒索病毒传播的重要渠道。
钓鱼邮件文档中暗藏勒索者病毒,诱导用户开启宏运行病毒
5、养成良好的备份习惯,及时使用网盘或移动硬盘备份个人重要文件。
本次敲诈者蠕虫爆发事件中,国内很多高校和企业都遭遇攻击,很多关键重要资料都被病毒加密勒索,可见,我们都需要提高重要文件备份的安全意识。
【关于445端口】
那么,威力这么强大,这个445端口到底是做什么的,这里大概介绍一下:
445端口是一个毁誉参半的端口,有了它我们可以在局域网中轻松访问各种共享文件夹或共享打印机,但是,请不要忘了,也正是因为有了它,可以让我们可以访问共享设备,而黑客们也有了可乘之机,他们能通过该端口偷偷共享你的硬盘,甚至会在悄无声息中将你的硬盘格式化掉!
445端口是一个毁誉参半的端口,他和139端口一起是IPC$入侵的主要通道。有了它我们可以在局域网中轻松访问各种共享文件夹或共享打印机,但也正是因为有了它,黑客们才有了可乘之机,他们能通过该端口偷偷共享你的硬盘,甚至会在悄无声息中将你的硬盘格式化掉!我们所能做的就是想办法不让黑客有机可乘,封堵住445端口漏洞。
考虑到文件夹或打印机共享服务才会利用到445端口,因此直接将文件夹或打印机共享服务停止掉,同样也能实现关闭445端口的目的,让黑客无法破坏各种共享资源。
下面是关闭文件夹或打印机共享服务的具体步骤:
Internet连接属性
- 选中"网络和拨号连接"图标,并用鼠标右键单击之,从其后的快捷菜单中,单击"浏览"命令;
- 在接着出现的窗口中,右击"Internet连接"图标,选中"属性"选项,弹出Internet连接属性窗口;打开"常规"标签页面,并在"此连接使用下列选定的组件"列表框中,将"Microsoft网络的文件或打印机共享"选项前面的勾号取消,如图2所示。最后单击"确定"按钮,重新启动系统,Internet上的"大恶人"们就没有权利访问到各种共享资源了。
- 当然,你也可以在不停止共享服务的条件下,剥夺"大恶人"们的共享访问权利;利用本地安全设置中的"用户权利指派"功能,指定Internet上的任何用户都无权访问本地主机,具体步骤为:
- 单击"本地安全设置"选项,接着展开"安全设置" "本地策略" "用户权利指派"文件夹,在对应的右边子窗口中选中"拒绝从网络访问这台计算机"选项,并用鼠标左键双击之;
- 打开如图3所示的设置窗口,单击"添加"按钮,从弹出的"选择用户或组"对话框中选中"everyone"选项,再单击"添加"按钮,最后单击"确定",这样任何一位用户都无法从网络访问到本地主机。不过该方法"打击"范围比较广,造成的后果是无论是"敌人"还是"良民",都无法访问到共享资源了,因此这种方法适宜在保存有绝对机密信息的服务器中使用。
【借助杀毒软件】
如果你比较懒,不想自己操作,那么可以借助杀毒软件来帮你操作。http://baoku.360.cn/soft/show/appid/1900006184
关于Windows勒索病毒以及445端口防护相关推荐
- 记一次Windows勒索病毒应急响应实战
查看本地用户,未发现异常: 打开任务管理器,发现可疑进程F.exe: 利用wmi查看进程信息,发现其位置在开始菜单启动项中: C:\Users\gy\AppData\Roaming\Microsoft ...
- Windows共享无法打开445端口,修复提示远程计算机或设备将不接受连接 解决办法
最近想把电脑的ISO共享到其它电脑安装虚拟机,设置好共享后发现无法通过本机IP地址打开,提示找不到网络路径,只能通过\主机名进行访问,于是运行里面用\LOCALHOST及\127.0.0.1及试了下发 ...
- 勒索病毒应急响应及防护
一.勒索病毒类型 1.加密勒索软件 它使个人文件和文件夹(文档.电子表格.图片和视频)被加密. 受感染的文件被加密后会被删除,用户通常会在当下无法使用的文件的文件夹中看到一个包含付款说明的文本文件. ...
- 虚拟化环境下,如何高效开展勒索病毒防护加固?
本文重点 近些年,勒索病毒攻击事件频发,由于其"难发现.难阻止.难破解"的特点,不少用户--尤其是使用虚拟化的金融.医疗.制造.公共服务等重要行业用户--已遭受严重数据与经济损失. ...
- 五重防护 | 构建勒索病毒纵深防护体系
数字化转型浪潮下,数字化系统是生产工具,数据成为了组织企业的核心资产 比特币等加密货币的出现以及勒索产业化的成熟,让勒索变种泛滥.技术进化,勒索 病毒更加防不胜防 未来,只要数据有价值就一定会被勒索 ...
- 勒索病毒变种再来!你如何应对措施
大量Windows用户文档受到永恒之蓝病毒及变种攻击.你可能突然发现文档.图片.音乐.zip甚至exe被加密,并被勒索高额赎金. 目前第一版病毒已被关闭,但随之而来的多个变种病毒开始传播,防不胜防. ...
- “永恒之蓝”勒索病毒安全事件应急指导手册(附工具包)
相关说明 北京时间2017年05月12日,安恒信息监测到黑客利用NSA黑客武器库泄漏的"永恒之蓝"工具发起的网络攻击事件:大量服务器和个人PC感染病毒后被远程控制,成为不法分子的比 ...
- 2017年05月13日勒索软件, 勒索病毒(WannaCry)肆虐全球, 中国安全防线严重受挫
[简介] 常用网名: 猪头三 出生日期: 1981.XX.XX 个人网站: https://www.x86asm.org QQ交流: 643439947 编程生涯: 2001年~至今[共16年] 职业 ...
- 勒索病毒资料(腾讯管家整理)
目录 一.勒索病毒概述 二.勒索病毒发展史 三.勒索病毒感染数据 四.活跃勒索病毒家族 五.主要攻击特征 六.重点勒索事件回顾 七.勒索病毒未来趋势 八.勒索病毒应急处置手册 2017年5月12日,全 ...
- 盘点勒索病毒造成大事件
勒索病毒是什么? 勒索病毒,是一种新型电脑病毒,主要以邮件.程序木马.网页挂马的形式进行传播.该病毒性质恶劣.危害极大,一旦感染将给用户带来无法估量的损失.这种病毒利用各种加密算法对文件进行加密,被感 ...
最新文章
- i-i.me:网址导航真的是伪需求吗?
- 学习笔记之-java8的新特性-函数式接口,lambda表达式,方法引用,Stream API,Optional类
- asp.net 报表页面模板_Stimulsoft ASP.NET MVC报表教程:在设计器中保存报表模板
- c++ 分页展示_django分页Paginator的简单使用
- windows C盘自动清理bat脚本
- 现场知识竞赛如何用手机做抢答器
- 1699 个词汇 的 计算机英语
- VUE仿知乎网站(四)登录注册页面开发+表单验证
- 特征值和特征向量的作用
- Android中控件设置英文文本内容时区分大小写
- 关于SQL Server中left join on and 用法的介绍
- 分糖果 2021T1
- 自动更新Selenium驱动chromedriver
- 小程序中轻松添加日期和时间的选择
- 怎么将知网论文caj导出word文件
- 因为你是我的英雄音译_我可以成为你的英雄宝贝
- mac 上如何安装及切换输入法
- Hive学习笔记(4)—— hive练习
- 90+高分拿下阿里云acp认证,附完整备考流程和考试资料
- 为WebSphere Application Server开发企业OSGi应用程序
热门文章
- 互动快报读报软件绿色版 v5.061
- node 项目打包部署至服务器
- 电驴v1.2.2.45574最新版官方下载
- html cat文本,网页管理好管家CatHtml
- oracle 创建包 def,cognos创建oracle 数据源报错QE-DEF-0285
- java开源知识库项目_18个java cms开源项目
- 小米笔记本pro lol测试软件,小米笔记本Pro 15增强版游戏性能测评
- VC MFC 发送模仿键盘消息
- 微信即时通信原理_企业即时通讯工具需注意哪些问题
- xp 游戏计算机没有了怎么办,我的xp系统没有自带游戏怎么办