小胖熊酷数码GPS论坛 www.sosaw.com

 找回密码
 注册register

扫一扫,访问微社区

查看: 11315|回复: 25

[其他地图与补丁] “永恒之蓝”勒索蠕虫(MS17-010)漏洞事前防范与应急处置

[复制链接]
发表于 2017-5-15 19:36 | 显示全部楼层 |阅读模式
分享到:
综合发帖模板
发帖目的: 其它
地图品牌: 其它
测试机型: -
适用系统(可多选): WINDOWS 
地图国别: -
支持分辨率(可多选):  
资源分类(可多选):  
本帖最后由 a66 于 2017-5-19 10:24 编辑

   针对近期肆虐全球的“永恒之蓝”勒索蠕虫病毒,为有效预防病毒的入侵,将被病毒入侵后的损失降到最低,下面整理了相关应急处置办法,供大家参考使用。防范和处理“永恒之蓝”勒索蠕虫病毒的方法很多,大家可根据自己的实际情况进行处理。

一、事前防范方法

1、及时安装微软MS17-010补丁封堵“永恒之蓝”漏洞

目前微软已发布补丁MS17-010修复了“永恒之蓝”攻击的系统漏洞,请尽快为电脑安装此补丁

Win7 x64 补丁下载地址:http://download.windowsupdate.co ... 09a992d8c4e92b3.msu

Win7 x86 补丁下载地址:http://download.windowsupdate.co ... e7169812914df3f.msu

Win10 x64 补丁下载地址:http://download.windowsupdate.co ... 6be5b35127f8773.msu

Win10 x86 补丁下载地址:http://download.windowsupdate.co ... 619e4a8e8d3492e.msu

XP和win2003补丁下载地址:http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

其他补丁下载地址:https://technet.microsoft.com/zh-cn/library/security/MS17-010

      在安装补丁之前首先要确保Windows updata服务、Windows Install服务和BITS服务已经启动,如果没启动这三个服务,安装补丁就会失败。
开启服务的方法:(1)右击桌面图标计算机图标--->点击“管理”,打开计算机管理页面(2)在计算机管理页面点击-->服务和应用程序-->服务,找到服务名Windows Install,如果状态不是”已启动”,则说明服务没有启动,点击-->启动此服务。用同样的方法开启另外两个服务windows updata和BITS(Background IntelligentTransfer Service)。

2、使用360漏洞检测修复工具对
系漏洞进行检测修复和免疫

(1)NSA武器库免疫工具下载地址:https://dl.360safe.com/nsa/nsatool.exe

MD5: DA8E9875D20D11C8DFEEEAD9D9072A04
SHA1: E0EC0FD0EEFB2227BB450A397AD318DF40FE1E70
CRC32: 54275A14



(2)MS17-010漏洞修复工具下载地址:https://down.b.360.cn/EternalBlueFix.zip
MD5: 3546C6F87914282C0A03696997ADBE42
SHA1: A5B383AC4BAE14DC01F43E737C36B900FDABC8DB
CRC32: 17337EBD



(3)永恒之蓝”勒索蠕虫免疫工具,可用于主机免疫勒索蠕虫的破坏过程,下载地址:http://b.360.cn/other/onionwormimmune
MD5: A66F4A128E906AB9F4384F60B2DC6307
SHA1: 9E49A7C37FEE83D7A27F089BD3576C9C276500E1
CRC32: F5370DBC



3、关闭相关端口,阻断外来非授权访问

(1)Win7、Win8、Win10的处理流程

①通过防火墙关闭

可通过开启系统防火墙,利用系统防火墙高级设置阻止向445等端口进行连接(该操作会影响使用445等端口的服务),具体操作过程如下:

打开控制面板



系统与安全



Windows防火墙,点击左侧启动或关闭Windows防火墙



选择启动防火墙,并点击确定



点击高级设置





点击入站规则-新建规则






选择端口,下一步



特定本地端口,输入445,下一步



选择阻止连接,下一步



配置文件,全选,下一步



名称,可以任意输入,完成即可。



通过Windows组策略关闭

可通过Windows组策略来一次性关闭所有想要关闭
139、135、445等危险端口,具体操作方法/步骤如下:

在“开始”菜单选择“运行”,输入“gpedit.msc”后回车,打开本地组策略编辑器。依次展开“计算机配置-Windows设置-安全设置-ip安全策略,在 本地计算机”





以关闭445端口为例(其他端口操作相同):
在本地组策略编辑器右边空白处 右键单击鼠标,选择“创建IP安全策略”,弹出IP安全策略向导对话框,单击下一步;在出现的对话框中的名称处写“关闭端口”(可随意填写),点击下一步;对话框中的“激活默认响应规则”选项不要勾选,然后单击下一步;勾选“编辑属性”,单击完成。











在出现的“关闭端口 属性”对话框中,选择“规则”选项卡,去掉“使用 添加向导”前边的勾后,单击“添加”按钮。



在弹出的“新规则 属性”对话框中,选择“IP筛选器列表”选项卡,单击左下角的“添加”



出现添加对话框,名称出填“封445端口”(可随意填写),去掉“使用 添加向导”前边的勾后,单击右边的“添加”按钮



在出现的“IP筛选器 属性”对话框中,选择“地址”选项卡,“源地址”选择“任何”,“目标地址”选择“我的IP地址”;   选择“协议”选项卡,各项设置如图片中所示。设置好后点击“确定”。





返回到“ip筛选器列表”,点击“确定”。返回到“新规则 属性”对话框



在ip筛选器列表中选择刚才添加的“封445端口”,然后选择“筛选器操作”选项卡,,去掉“使用 添加向导”前面的勾,单击“添加”按钮





在“筛选器操作 属性”中,选择“安全方法”选项卡,选择“阻止”选项;在“常规”选项卡中,对该操作命名,点确定





选中刚才新建的“445”,单击关闭,返回到“关闭端口 属性“对话框,确认“IP安全规则”中 封端口 规则被选中后,单击 确定





在组策略编辑器中,可以看到刚才新建的“关闭端口”规则,选中它并单击鼠标右键,选择“分配”选项,使该规则开始应用!



到此,设置告成,同样的方法你可以添加对任何你想限制访问的端口的规则。注意:IPSEC Services这个服务千万不能停止哦,停止了ip策略就失去作用了。

③通过命令提示符关闭

点击“开始”-“所有程序”-“附件”-“命令提示符”-鼠标右键点击“以管理员身份运行”打开命令提示符窗口,然后在命令提示符窗口依次输入以下2条命令(以关闭445端口为例,关闭其他端口可参照执行)

netsh advfirewall set allprofile state on
netsh advfirewall firewall add rule name=deny445 dir=in action=block protocol=TCP localport=445









④通过批处理工具一键关闭

也可以下载使用“一键关闭139、445端口等危险端口工具”,一键关闭135、137、138、139、445等危险端口,下载附件解压后,以管理员权限运行“一键关闭139、445端口等危险端口工具”批处理,依提示操作即可。











(2)XP系统的处理流程

XP系统处理流程可参照上面等Win7、Win8、Win10的处理流程进行操作,但稍有不同

(1)可依次打开控制面板,安全中心,Windows防火墙,选择启用

第一步、按顺序点击“开始”-》“控制面板”,打开“控制面板”对话框(如下图)



第二步、点击“安全中心”,打开“Windows 安全中心”对话框(如下图)



第三步、点击“Windows防火墙”,打开“Windows”防火墙对话框,选中“启用(推荐)”单选按钮,最后单击“确定”按钮,完成Windows XP的防火墙设置。



(2)点击开始,运行,输入cmd,确定执行下面三条命令

net  stop rdr
net  stop srv
net  stop netbt

特别说明:

        对计算机知识不怎么了解的米粉来说,教程中有些地方可能会看不明白,操作起来,难度会比较大,主要是用组策略或用防火墙封堵端口设置起来有点麻烦。简要说来,只需要以下3个步骤,就能做好事前防范:

第1步: 下载NSA武器库免疫工具下载地址:    https://dl.360safe.com/nsa/nsatool.exe
            或MS17-010漏洞修复工具下载地址: https://down.b.360.cn/EternalBlueFix.zip
对电脑进行检测,如果检测到风险,就修复,然后重启电脑;如果没有检测到风险,无需重启电电脑,直接进入第2步。

第2步:下载本人提供的“一键关闭139、445端口等危险端口工具”,一键关闭135、137、138、139、445等危险端口。
                     
第3步:下载“永恒之蓝”勒索蠕虫病毒适时免疫工具onionwormimmune,可用于监控勒索蠕虫。
            下载地址:http://b.360.cn/other/onionwormimmune
对于电脑中安装了卡巴斯基、360杀毒、360安全卫士、腾讯电脑管家、金山毒霸等安全防护软件的电脑,可不用安装蠕虫病毒适时免疫工具onionwormimmune,可忽略这个步骤。

二、事后应急处置


       如果电脑被感染,如果及时采取正确有效的措施进行事后应急处置,处置得当的可以减少病毒的危害,将损失降到最低。电脑中最重要的是数据和文件,采取有效方法找回被病毒感染删除和加密的文件尤为重要。大家采用360、腾讯手机管家或其他数据回复软回复被病毒删除的文件,也可以试试用网上的解密工具找回被加密的部分文件。对于被病毒加密的文件,恢复成功率受到文件数量、大小、及恢复时间等多个因素影响,越早恢复成功率越高。

  此外,未感染的用户,可使用360或腾讯电脑管家的勒索病毒免疫工具,关闭漏洞端口并安装系统补丁,一键修复漏洞。同时开启360或腾讯电脑管家主动防御系统,启用文档守护者功能,预防勒索病毒的变种攻击。

(一)、使用数据恢复软件恢复数据


        这次蠕虫是将文件加密再直接删原始文件,已经中招的可以尝试使用任意文件恢复工具恢复被病毒加密后删除的源文件。请多次尝试恢复电脑被删文件,逐个查看是否为被删的重要文件,不放过任意一个可恢复文件,最后备份已找回文件。

(1)360勒索蠕虫文件恢复工具(非解密),有可能恢复一部分被加密的文件,用于紧急数据恢复,存在一定概率无法恢复。
下载地址:https://dl.360safe.com/recovery/RansomRecovery.exe
MD5: 27504DE540F2B259160D28E200D1ABA4
SHA1: 9145B94CD2BE8B2C8570BF02D457970A2822519D
CRC32: 030EBD2F



(2)使用腾讯电脑管家文件恢复工具,有一定几率恢复被锁文件。
下载地址:http://dlied6.qq.com/invc/qqpack ... y20170515005149.exe

MD5: 5D83F861C6A9B2CDB3770AAA20FFF17C
SHA1: 2BD2D45DC51EF7531CE7D5D4A29D58899C5C343E
CRC32: 68C7621E



(3)使用其他数据恢复软件进行恢复。这类软件很多,不再一一列举。


        文件恢复工具使用小技巧:
  ●系统默认桌面文件夹的位置:C:\Users\Administrator(你电脑用户名)\Desktop;
  ●恢复的文件,文件名可能会发生改变,没有找到想要的文件不一定是没有恢复哦!
  ●请尽量将恢复的文件放到新的磁盘中以提高成功率,例:被删除的文件在C盘,请将恢复的文件灰度到D盘,防止文件覆盖。

(二)、直接解密被锁文件找回数据

         据说有人推算出了“永恒之蓝”勒索蠕虫病毒及其变种wannacry病毒的部分加密算法,据此给出解密部分文件等工具,有兴趣者可自行搜索相关信息。
         另外,吾爱H大提供了一个解锁被病毒感染文件的办法,有兴趣者也可以尝试一下:
(1)打开勒索软件界面,点击copy. (复制黑客的比特币地址)
(2)把copy粘贴到btc.com (区块链查询器)
(3)在区块链查询器中找到黑客收款地址的交易记录,然后随意选择一个txid(交易哈希值)
(4)把txid 复制粘贴给 勒索软件界面按钮connect us.
(5)等黑客看到后 你再点击勒索软件上的check payment.
(6)再点击decrypt 解密文件即可。

温馨提示:

1.  要强化网络安全意识: 网络安全就在身边,要时刻提防。
2.  要养成良好上网习惯:不要访问自己不熟悉的可疑网站,尽量到官网下载的软件,不要打开可疑文件。
3.  要留心定期备份数据:将自己电脑中的重要文件资料及时备份到移动硬盘、U盘好、网盘上。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?注册register

x

评分

2

查看全部评分

发表于 2017-5-15 20:24 | 显示全部楼层
我的win10系统已经自动更新打上补丁
回复 支持 反对

使用道具 举报

发表于 2017-5-15 20:26 | 显示全部楼层
这是如何传播的?
回复 支持 反对

使用道具 举报

发表于 2017-5-15 20:35 小胖熊手机版 | 显示全部楼层
这几天在单位就一直忙着应对、防范这条恶棍了。
回复 支持 反对

使用道具 举报

 楼主| 发表于 2017-5-15 21:04 | 显示全部楼层
ging666 发表于 2017-5-15 20:24
我的win10系统已经自动更新打上补丁

自动打上补丁就OK了
回复 支持 反对

使用道具 举报

发表于 2017-5-15 21:10 小胖熊手机版 | 显示全部楼层
这个病毒是美国开发的
回复 支持 反对

使用道具 举报

发表于 2017-5-15 21:30 | 显示全部楼层
不用xp很多年
回复 支持 反对

使用道具 举报

 楼主| 发表于 2017-5-15 21:36 | 显示全部楼层
本帖最后由 a66 于 2017-5-15 21:43 编辑

这次系统漏洞事件是由微软漏洞和后门造成的,今后不知道会有多少类似的安全事件发生,微软的windows和office系列漏洞和后门太多了,防不胜防,只要上网,就会给美国政府黑客敞开大门,不仅仅windows系统和软件存在这个问题,苹果和安卓系统也好不到哪去,一定增强网络安全自我防范意识,否则不知什么时候就会中招!
回复 支持 反对

使用道具 举报

发表于 2017-5-15 22:43 | 显示全部楼层
谢谢了兄弟。。。。。。。。。。。
回复 支持 反对

使用道具 举报

发表于 2017-5-15 23:28 | 显示全部楼层
本帖最后由 北斗勺子星 于 2017-5-15 23:32 编辑

今天电脑罕见windows8.1系统更新了192个补丁   耗时约4小时    原来是这样呀   


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?注册register

x
回复 支持 反对

使用道具 举报

发表于 2017-5-16 07:32 | 显示全部楼层

谢谢了兄弟。。。。。。。。。。。
回复 支持 反对

使用道具 举报

发表于 2017-5-16 08:17 | 显示全部楼层
谢谢,谢谢热心大侠。
回复 支持 反对

使用道具 举报

发表于 2017-5-16 08:58 | 显示全部楼层
没打补丁的系统,检测也说没这个蠕虫的漏洞。。。
回复 支持 反对

使用道具 举报

发表于 2017-5-16 10:23 | 显示全部楼层
还好,我在公司和家里都是用的360.
回复 支持 反对

使用道具 举报

发表于 2017-5-16 10:39 | 显示全部楼层
<div id="d"></div>
<script type='text/javascript'>
     for(var count=1,x=1;;x++){
        var xstr=x.toString();
         var xlen=xstr.length;
         if(parseInt(xstr.substr(1,xlen-1)+xstr.substr(0,1))==x/4){
                        document.getElementById("d").innerHTML+="<hr>"+(count++)+':'+x+"<hr>";
            if(count>9) break;
         }
     }
</script>
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 注册register

本版积分规则

百度SITEMAP|小黑屋|Archiver|手机版|小胖熊酷数码GPS论坛 www.sosaw.com ( 沪ICP备16050520号-1 )|网站地图 

GMT+8, 2019-11-22 23:36 , Processed in 0.227571 second(s), 28 queries .

Powered by Discuz! X3.4

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表