勒索病毒解決方案

勒索病毒簡(jiǎn)介

而且如果中了病毒的計(jì)算機(jī)屬于高性能的服務(wù)器，病毒還會(huì)在這臺(tái)電腦當(dāng)中植入“挖礦”程序， 如果中招的電腦處于一個(gè)局域網(wǎng)當(dāng)中，那么只要一臺(tái)電腦感染病毒，其他電腦只要開機(jī)上網(wǎng)，馬上也會(huì)被感染。病毒會(huì)通過(guò)像445端口這樣的文件共享和網(wǎng)絡(luò)打印機(jī)共享端口的漏洞展開攻擊，中毒嚴(yán)重的服務(wù)器，工作站建議重新安裝操作系統(tǒng)。

服務(wù)器緊急防范措施

立即組織內(nèi)網(wǎng)檢測(cè)，查找所有開放445 SMB服務(wù)端口的終端和服務(wù)器，一旦發(fā)現(xiàn)中毒機(jī)器，立即斷網(wǎng)處置，目前看來(lái)對(duì)硬盤格式化可清除病毒。目前微軟已發(fā)布補(bǔ)丁MS17-010修復(fù)了“永恒之藍(lán)”攻擊的系統(tǒng)漏洞，請(qǐng)盡快為電腦裝此補(bǔ)丁，網(wǎng)址為；對(duì)于XP、2003等微軟已不再提供安全更新的機(jī)器，建議升級(jí)操作系統(tǒng)版本，或使用360“NSA武器庫(kù)免疫工具”檢測(cè)系統(tǒng)是否存在漏洞，并關(guān)閉受到漏洞影響的端口，可以避免遭到勒索軟件等病毒的侵害。免疫工具下載地址，運(yùn)行netstat -ano|findstr “445” 查看是不是中了病毒

一旦發(fā)現(xiàn)電腦中毒，立即斷網(wǎng)。嚴(yán)格禁止使用U盤、移動(dòng)硬盤等可執(zhí)行擺渡攻擊的設(shè)備。

盡快備份電腦中的重要文件資料。

及時(shí)更新操作系統(tǒng)和應(yīng)用程序到最新的版本。

一般情況下數(shù)據(jù)庫(kù)服務(wù)器升級(jí)MS17-010補(bǔ)丁不會(huì)對(duì)1433端口關(guān)閉，Sqlserver默認(rèn)使用的是1433端口，有個(gè)別情況可能會(huì)關(guān)閉1433端口，情況不明，請(qǐng)參考第六條

7.遷移有些服務(wù)到linux服務(wù)器上

工作站防范措施

目前已知的是，Windows 10操作系統(tǒng)只要打開了自動(dòng)更新，就不會(huì)有中毒的風(fēng)險(xiǎn)。而目前國(guó)內(nèi)大量使用的Windows7甚至Windows XP電腦相對(duì)比較高危。微軟目前已經(jīng)為所有的Windows系統(tǒng)緊急發(fā)布了系統(tǒng)補(bǔ)丁。

另外，像445這樣的高危端口，一般的家用電腦也最好關(guān)閉掉。

微軟的這個(gè)緊急補(bǔ)丁的下載地址在這里

https://technet.microsoft.com/zh-cn/library/security/MS17-010.aspx

如何關(guān)閉445端口的詳細(xì)圖文教程在這里：

1. 打開控制面板點(diǎn)擊防火墻

2. 點(diǎn)擊“高級(jí)設(shè)置”

3. 先點(diǎn)擊“入站規(guī)則”，再點(diǎn)擊“新建規(guī)則”

4. 勾中“端口”，點(diǎn)擊“協(xié)議與端口”

5. 勾選“特定本地端口”，填寫445，點(diǎn)擊下一步

6. 點(diǎn)擊“阻止鏈接”，一直下一步，并給規(guī)則命名后，就可以了

還是那句話，再好的殺毒軟件也不如一個(gè)好的安全意識(shí)，在這個(gè)信息化時(shí)代，系統(tǒng)漏洞一個(gè)補(bǔ)丁就能瞬間搞定，但人們安全意識(shí)缺失這個(gè)漏洞，不知道什么時(shí)候才能被堵上。

通過(guò)分析病毒，可以看到，以下后綴名的文件會(huì)被加密：docx.docb.docm.dot.dotm.dotx.xls.xlsx.xlsm.xlsb.xlw.xlt.xlm.xlc.xltx.xltm.ppt.pptx.pptm.pot.pps.ppsm.ppsx.ppam.potx.potm.pst.ost.msg.eml.edb.vsd.vsdx.txt.csv.rtf.123.wks.wk1.pdf.dwg.onetoc2.snt.hwp.602.sxi.sti.sldx.sldm.sldm.vdi.vmdk

.vmx.gpg.aes.ARC.PAQ.bz2.tbk.bak.tar.tgz.gz.7z.rar.zip.backup.iso.vcd.jpeg.jpg.bmp.png.gif.raw.cgm.tif.tiff.nef.psd.ai.svg.djvu.m4u.m3u.mid.wma.flv.3g2.mkv.3gp.mp4.mov.avi.asf.mpeg.vob.mpg.wmv.fla.swf.wav.mp3.sh.class.jar.java.rb.asp.php.jsp.brd.sch.dch.dip.pl.vb.vbs.ps1.bat.cmd.js.asm.h.pas.cpp.c.cs.suo.sln.ldf

.mdf.ibd.myi.myd.frm.odb.dbf.db.mdb.accdb.sql.sqlitedb.sqlite3.asc.lay6.lay.mml.sxm.otg.odg.uop.std.sxd.otp.odp.wb2.slk.dif.stc.sxc.ots.ods.3dm.max.3ds.uot.stw.sxw.ott.odt.pem.p12.csr.crt.key.pfx.der。

360殺毒方案

在服務(wù)器或者是工作站運(yùn)行運(yùn)行netstat -ano|findstr “445”，如果發(fā)現(xiàn)很多的445連接，基本上確定了是中毒了，重啟后按F8，選擇網(wǎng)絡(luò)安全模式，

一、準(zhǔn)備一個(gè)U盤或移動(dòng)硬盤，下載360安全衛(wèi)士【離線救災(zāi)版】 下載地址http://dl.360safe.com/setup_jiuzai.exe，

工具內(nèi)網(wǎng)地址下載\\192.168.1.30\share 用戶名：share 密碼：sh@2008

三、使用準(zhǔn)備好的U盤或移動(dòng)硬盤插入辦公電腦，安裝360安全衛(wèi)士【離線救災(zāi)版】

四、360安全衛(wèi)士【離線救災(zāi)版】的NSA武器庫(kù)免疫工具會(huì)自動(dòng)運(yùn)行，并檢測(cè)您的電腦是否存在漏洞。如您當(dāng)前系統(tǒng)沒有安裝漏洞補(bǔ)丁，請(qǐng)您點(diǎn)擊【立即修復(fù)】

提示：本次的【永恒之藍(lán)】漏洞是利用Windows 系統(tǒng)局域網(wǎng)共享漏洞。如果您的系統(tǒng)本身存在問(wèn)題（例如是GHOST精簡(jiǎn)版）可能無(wú)法正常安裝補(bǔ)丁。出于安全考慮，工具會(huì)直接為您【關(guān)閉共享所需的網(wǎng)絡(luò)端口 和 系統(tǒng)服務(wù)】

五、修復(fù)漏洞過(guò)程中，請(qǐng)您耐心等候，一般需要 3~5 分鐘。

六、修復(fù)成功后，會(huì)彈窗提示您。請(qǐng)您【重啟電腦】，以便修復(fù)操作徹底生效

七、重啟電腦后，您可以通過(guò)桌面的【勒索病毒救災(zāi)】快捷方式再次運(yùn)行 NSA 防御工具，確保您的系統(tǒng)已經(jīng)修復(fù)完成。

補(bǔ)充說(shuō)明：針對(duì)部分特殊系統(tǒng)（例如GHOST精簡(jiǎn)系統(tǒng)），由于系統(tǒng)本身被人為的修改導(dǎo)致無(wú)法正常安裝本次的漏洞修復(fù)程序，出于安全考慮，工具會(huì)直接為您【關(guān)閉共享所需的網(wǎng)絡(luò)端口 和 系統(tǒng)服務(wù)】

返向操作

在已安裝好補(bǔ)丁并確認(rèn)安全，且又必須要打開的端口的情況下，可以進(jìn)行返向操作，步驟如下：

3. 先點(diǎn)擊“入站規(guī)則”，然后選擇你新建那條規(guī)則。

4. 再點(diǎn)擊右則的“禁用規(guī)則”。

5. 此時(shí)這條規(guī)則前面的綠色打溝圖形消失。

操作完成后，已關(guān)閉的端口就被從新打開。