勒索病毒解决方案. 2019-02-25
一、勒索病毒简介
最近,一种电脑勒索病毒席卷了全球几十个国家。美国、俄罗斯、中国,欧洲国家Windows电脑受创最重。
和之前一些大面积爆发的病毒比如熊猫烧香等等不同,黑客开发这种病毒并不是为了炫技(单地攻击电脑的软硬件)而是为了索财。当电脑受到病入侵之后・电脑当中的文作会被加密,导致无法打开。
黑客会要求你提供300美元(2000元人民币)的比特币,才会给你提供解锁的密码。支付的赎金一定要是比特币的原因是,这种电子货币的账户不易被追踪,更容易隐藏黑客的真实身份。
病毒的设计者特意把勃索的说明信息翻译成了20多个国家和地区的语言版本,好让全一世界每一个中了病毒的人都能看懂付款信息,可见野心之大。而且如果中了病毒的计算机属于高性能的服务器,病毒还会在这台电脑当中植入挖矿程序,让这台计算机成为生产比特币的工具,攻击者可谓无所不用其极,最大程度地榨取受害电脑的经济价值。
电脑中了这种病毒之后,硬盘当中的文件会被AES+RSA4096位的算法加密。
遇到这种加密级別,目前所有家用电脑如果要暴力破解可能需要几十万年。所以一旦被这种病感,加密了自己电脑上的文作,白己是无论如何没办法爸文件解密的。如果是政府或者公共机构的重要文件被加密,那只能恢复备份文件。
值得注意的是,这次的病毒袭击还针对了特定的人群,类似“精准投放。大全业的公共邮箱、高级餐厅的官网等等都是攻击的重点对象。起初病毒会伪装成一封标题非常吸引人的电子邮件,或者伪装成PDF、DOC这样的普通文档,如果存在漏洞的电脑打开了这些链接或者文件,就有可能中招。
如果中招的电脑处于一个局域网当中,那么只要一台电脑感染病毒,其他电脑只要开机上网,马上也会被感染。
病毒会通过像445端口这样的文件共享和网络打印机共享端口的漏洞展开攻击。
二、服务器紧急防范措施
1.立即组织内网检测,查找所有开放445SMB服务端口的终端和服务器,一旦发现中毒机器,立即断网处置,目前看来对硬盘格式化可清除病毒。
2.一旦发现电脑中毒,立即断网
3.启用并打开“ Windows防火墙”,进入“高级设置”,在入站规则里禁用“文件和打印机共享”相关规则。关闭UDP135、445、137、138、139端口关闭网络文件共享
4.严格禁止使用U盘、移动硬盘等可执行摆渡攻击的设备。
5.尽快备份电脑中的重要文件资料。
6.及时更新操作系统和应用程序最新的版本。
7.一般情况下数据库服务器升級MS17-010补丁不会对1433端口关闭,Sqlserver i默认使用的是1433端口,有个别情况可能会关闭1433端口,情况不明
请参考第六条
三、工作站防范措施
目前已知的是, Windows10操作系統只打开了自动更新,就不会有中毒的风险而目前国内大量使用的 Windows7甚至 Windows XP电脑相对比较高危。微软目前已经为所有的 Windows系统景急发布了系統补丁。另外,像445这样的高危端口,一般的家用电脑也最好关闭掉。
1.打开控制面板点击防火墙
2.点击“高级设置
3.先点击入贴规则再点击新建规则。
4.勾中“端口”,点击“协议与端口
5.勾选“特定本地端口”,填写445,点击下一步
6.点击阻止链接",一直下一步,并给规则命名后,就可以了
还是那句话,再好的杀毒软件也不如一个好的安全意识,在这个信息化时代,系统漏洞一个补丁就能间痛定但人们安全意识缺失这个漏洞,不知道什么时候才能被堵上。
四、360杀毒方案
勒索病毒”全球爆发,通过蠕虫式传播在企业、校园内网大面积感染,一台中招,一片遭殃!本次勒索病毒是在周五晚上爆发,星期一(5月15日)上班的企业将面临重大风险!
360安全卫士能哪全面免疫和防御勒索病毒,安装360安全卫士的用户,这次是基本不受勒索病毒影响。
针对未安装360安全卫士的用户,我们紧急推出360安全卫士离现救灾可以帮助企业办公电脑应对此次勒索病毒的攻击。
应对勒索病毒,周一开机曹作指南:
一、准备一个U盘或移动硬盘,周一上班前,可以在家里的安全网络环境。
二、到公司后,先拔掉办公电脑的网线,关掉无线网络开关,然后再开机。
三、使用准备好的U盘或移动硬盘插入办公电脑,安装360安全卫士【离线救灾版
四、360安全卫士【离线救灾版】的NSA武器库免疫工具会自动运行,并检测您的电脑是否存在漏洞。如您当前系统没有安装漏补丁,
五、修复漏洞过程中,请耐心等候,一般要3-5分钟。
六、修复成功后,会弹窗提示您。请您重启电脑,以便修复操作彻底生效
七、重启电脑后、您可以通过桌面的【勒索病毒救灾】快捷方式再汉运行NSA防御工具,确保您的系统已经修复完成。
补充说明:针对部分特殊系统(例如 GHOST精简系统),由于系统本身被人为的修改导致无法正常安装本次的漏洞修复程序,出于安全考虑,工具会直接为您关闭共享所需的网络端口和系统服务。
五、返向操作
在已安装好补丁并确认安全,且又必须要打开的端口的情况下,可以进行返向操作,步骤如下:
1.打开控制面板点击防火墙
2.点击“高级设置.
3.先点击“入站规则”,然后选择你新建那条规则。
4.再点击右则的“禁用规则”。
5.此时这条规则前面的绿色打沟图形消失。
操作完成后,已关闭的端口就被从新打开。
六、网络防范措施
1.身份鉴别包括主机和应用两个方面。
主机操作系统登录、数据库登陆以及应用系统登录均必须进行身份验证。过于简单的标识符和口令容易被穷举攻击破解。同时非法用户可以通过网络进行窈听,从而获得管理员权限,可以对任何资源非法访问及越权操作。因此必须提高用户名/口令的复杂度,且防止被网络听:同时应考虑失败处理机制。
2.访问控制
访问控制包括主机和应用两个方面。
访问控制主要为了保证用户对主机资源和应用系统资源的合法使用。非法用户可能企图假冒合法用户的身份进入系统,低权限的合法用户也可能企图执行高权限用户的操作,这些行为将给主机系统和应用系统带来了很大的安全风险。用户必须拥有合法的用户标识符,在制定好的访问控制策略下进行操作,杜绝越权非法操作。
3.系统审计
系统审计包括主机审计和应用审计两个方面。
对于登陆主机后的操作行为则要进行主机审计。对于服务和重要主机需要进行严格的行为控制,对用户的行为、使用的命令等进行必要的记录审计,便于日后的分析、调查、取证,规范主机使用行为。而对于应用系统同样提出了应用审计的要求,即对应用系统的使用行为进行审计。重点审计应用层信息,和业务系统的运转流程息息相关。
能够为安全事件提供足够的信息,与身份认证与访问控制联系紧密,为相关事件提供审计记录。
4.入侵防范
主机操作系统面临着各类具有针对性的入侵威胁,常见操作系统存在着各种安全漏洞,并且现在漏洞被发现与漏洞被利用之间的时间差变得越来越短,这就使得操作系统本身的安全性给整个系统带来巨大的安全风险,因此对于主机操作系统的安装,使用、维护等提出了需求,防范针对系统的入侵行为。
5.恶意代码防范
病毒、虫等恶意代码是对计算环境造成危害最大的隐思,当前病毒威助非常严,别是虫病的爆发,会立刻向其他子网迅速蔓延,发动网络攻击和数据窃密。大量占据正常业务十分有限的带宽,造成网络性能严重下降、服务器崩溃甚至网培通信中断,信息损坏或泄需。严重影响正常业务开展。因此必须部署恶意代码防范软件进行防御。同时保持恶意代码库的及时更新。