软件WannaCrypt病毒感染前后应对措施

更新时间:2024-11-06 08:02:52 阅读: 评论:0


2023年5月24日发(作者:nephew)

. -

最新软件WannaCrypt病毒感染前后应对措施

针对WannaCrypt病毒的讨论和技术文章是铺天盖地,大量的技术流派,安全厂家等纷

纷献计献策,有安全厂家开发各种安全工具,对安全生态来说是一个好事,但对个人未必就

是好事,我们国家很多用户是普通用户是安全小白,如果遭遇WannaCrypt软件,我们

该怎么办?

作者:simeon来源:51CTO.|2017-05-14 23:03

收藏

分享

技术沙龙 | 630日与多位专家探讨技术高速发展下如何应对运维新挑战!

51CTO.原创稿件】针对WannaCrypt病毒的讨论和技术文章是铺天盖地,大量的技术

流派,安全厂家等纷纷献计献策,有安全厂家开发各种安全工具,对安全生态来说是一个好

事,但对个人未必就是好事,我们国家很多用户是普通用户是安全小白,如果遭遇WannaCrypt

软件,我们该怎么办?是主动积极应对,还是被动等待被病毒感染,这完全取决于您个

人选择,笔者战斗在病毒对抗的第一线,将一些经验跟大家分享,希望能对您有所帮助!

文收集了windowsxp-windows2012所有的补丁程序以及360等安全公司的安全工具程序供大

家下载,下载地址:./s/1boBiHx

.病毒危害

1.1病毒感染的条件

到互联网上乃至技术专家都认为WannaCrypt攻击源头来自于MS17-010漏洞,在现实中很

多被感染网络是网,病毒文件大小只有3M多,其后续加密生成有多个文件,

这些文件是从哪里来,网是跟外网隔离的!笔者整理认为病毒感染是有条件的:

s7以上操作系统感染几率较高

2.在感染的网络上,如果系统开放了445端口,将被快速感染计算机。

3.网补丁更新不及时

1.2病毒感染的后果

WannaCrypt病毒被定义为蠕虫病毒,其传播速度非常快,一旦被感染,只有两种途径

来解决,一种是支付赎金,另外一种就是重装系统,所有资料全部归零。通过笔者分析,如

果是在病毒WannaCrypt发作前,能够成功清除病毒,将可以救回系统,减少损失!360也提

RansomRecovery

dl.360safe./recovery/主要针对病毒成功感染后的恢复,越早恢复,

件被恢复的几率越高

二、 WannaCrypt病毒原理分析

WannaCrypt病毒原理分析笔者再次就不赘述了,详细情况请参阅WanaCrypt0r蠕虫

完全分析报告(bobao.360./learning/detail/)

笔者要想说的是病毒感染的三个时间段:

1.病毒感染初阶段,病毒从未知渠道进入网络,病毒开始攻击网某台主机,对计算机存在漏

url(54.153.0.145): .iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.;

a)如果连接成功,则退出程序

b)连接失败则继续攻击

2.病毒感染中阶段

接下来蠕虫开始判断参数个数,小于2,进入安装流程;大于等于2,进入服务流程

3.病毒感染后阶段,对磁盘文件进行加密处理,出现软件界面。

- 可修编-

. -

三、病毒处理的黄金时间

笔者在实际病毒对抗过程中发现,加固是针对未感染的计算机有用,感染后的计算机加固也

是无用的!!!!

在前面病毒运行阶段有两个小时的黄金时间,我想明天大家上班了,如果个人人走关机,

意味做网络是关闭的,计算机是安全的,这时候第一时间是拔掉网线,然后再开启计算机!!

如果网络中已经存在病毒了,那么应该以最快的速度来结束病毒,可以参考文章后面的结束

病毒进程,然后是备份文件,最后加固!如果有条件可以利用linux启动盘启动系统,先备份

文件,然后再做其他事情!整理了一下具体流程:

1.开机前拔掉网线,不使用网络。

2.若熟悉linux,可以刻盘启动计算机,使用U盘对文件进行备份。

3.使用本文提及的方法清理病毒。

4.使用安全优盘进行系统文件备份,如果没有优盘,则可以将需要备份的文件先行压缩为rar

文件,然后再修改为.exe文件。

四、安全处理建议

1.病毒感染前处理

(1)采用后续部分135139445等端口加固方法加固。

(2)也可使用360SA武器免疫工具检测计算机是否存在漏洞,如图1所示,在

windows2003SP1虚拟机中进行检测显示无漏洞。

1使用360nsa武器库免疫工具

(3)使用安天免疫工具进行检测和设置,如图2所示,按照运行结果进行设置即可。

- 可修编-

. -

2使用安天免疫工具进行设置

(4)根据系统实际情况安装补丁,我已经收集目前可用的安全工具以及相对应当漏洞补丁程

序。

2.病毒正在感染,通过netstat -an命令查看,如果系统出现大量的445连接,说明肯定存在

病毒,可以使用以下办法进行杀毒,同时拔掉网线!(另外一种方法就是通过kalilinux启动

盘去清除病毒也可以,然后通过U盘直接备份资料)

(1)设置查看文件选项

由于病毒设置了隐藏属性,正常情况下无法查看该文件,需要对文件查看进行设置,即在资

源管理器中单击工具-文件夹选项,如图3所示。

- 可修编-

. -

3 打开文件夹选项设置

去掉隐藏受保护的操作系统文件(推荐)选择显示隐藏的文件、文件夹和驱动器去掉

藏已知文件类型的扩展名,如图4所示,即可查看在windows目录下的病毒隐藏文件。

4文件夹查看选项设置

- 可修编-

. -

(2)结束进程

通过任务管理器,在任务栏上右键单击选择启动任务管理器,如图5所示,从进程中去查

文件,选中右键单击选择结束

进程树将病毒程序结束,又可能会反复启动,结束动作要快。以上三个文件一般位于

c:windows目录。

5结束进程

(3)删除程序

windows目录将三个文件按照时间排序,一般会显示今天或者比较新的时期,将其删除,

如果进程结束后,又启动可来回删除和结束。直到将这三个文件删除为止,有可能到写本文

章的时候,已经有病毒变体,但方法相同,删除新生成的文件。

(4)再次查看网络

使用netstat an命令再次查看网络连接情况,无对外连接情况,一切恢复正常。

可以使用安全计算机下载安全工具Autoruns以及ProcessExplorer通过光盘刻录软件,到感

染病毒计算机中进行清除病毒!软件下载地址:

ernals./files/

ernals./files/

注意,本文所指清除病毒是指软件还未对系统软件进行加密!如果在桌面出现黄小图

标,桌面背景有红英文字体显示(桌面有窗口弹出带锁图片,Wana Decryptor2.0),这表明

- 可修编-

. -

系统已经被感染了。

3.病毒已经感染

如果系统已经被病毒感染,则下载RansomRecovery (dl.360safe./recovery/ )

进行恢复。

五、病毒原始文件分析

1.文件名称及大小

本次捕获到病毒样本文件三个,qeriuwjhrf,如图6所示,根据

md5校验值,qeriuwjhrf文件大小为3432KB大小为3636KB

5校验值

使用md5计算工具对以上三个文件进行md5值计算,其md5校验值分别如下:

8b2d830d0cf3ad16a547d5b23eca2c6e

854455f59776dc27d4934d8979fa7e86

qeriuwjhrf: 8b2d830d0cf3ad16a547d5b23eca2c6e

6 软件病毒基本情况

3.查看病毒文件

(1)系统目录查看

文件一般位于系统盘下的windows目录,例如c:windows,通过命令提示符进入:

cd c:windows

dir /od /a *.exe

(2)全盘查

dir /od /s /a

dir /od /s /a

4.病毒现象

(1)通过netstat an命令查看网络连接,会发现网络不停的对外发送SY_SET包,如图7

示。

- 可修编-

. -

7对外不断的发送445连接包

(2)病毒服务

通过Autoruns安全分析工具,可以看到在服务中存在fmssecsvc2.0服务名称,该文件的时

间戳为2010112017:03分,如图8所示。

- 可修编-

. -

8病毒启动的服务

六、安全加固

1.关闭445端口

(1)手工关闭

regedit

HKEY_LOCAL_MACHIE-System-Controlset”“Services-etBT-Parameters在其中选择

新建”——“DWORD,将DWORD值命名为SMBDeviceEnabled,并通过修改其值设置为

0,如图9所示,需要特别注意一定不要将SMBDeviceEnabled写错了!否则没有效果!

9注册表关闭445端口

查看本地连接属性,将去掉Microsoft网络的文件和打印机共享前面的勾选,如图10所示。

- 可修编-

. -

10取消网络文件以及打印机共享

(2)使用锦佰安提供的脚本进行关闭,在线下载脚本地址:.secboot./,脚本代码如下:

echo "欢迎使用锦佰安者防御脚本"

echo "如果pc版本大于xp 服务器版本大于windows2003,请右键本文件,以管理员权限运

行。"

netsh firewall set opmode enable

netsh advfirewall firewall add rule name="deny445" dir=in protocol=tcp localport=445 action=block

netsh firewall set portopening protocol=TCP port=445 mode=disable name=deny445

2.关闭135端口

在运行中输入dfg,然后打开组建服务-计算机-属性-我的电脑属性-默认属

-在此计算机上启用分布式去掉选择的勾。然后再单击默认协议选项卡,选中面向连

接的TCP/IP,单击删除或者移除按钮,如图11所示。

- 可修编-

. -

11关闭135端口

3.关闭139端口

139端口是为etBIOS Session Service提供的,主要用于提供Windows文件和打印机共享以

Unix中的Samba服务。 单击网络-本地属性在出现的本地连接属性对话框中,

Internet协议版本4(TCP/IPv4)-属性双击打开高级TCP/IP设置-WISetBIOS

设置中选择禁用TCP/IP上的etBIOS,如图12所示。

- 可修编-

. -

12关闭139端口

4.查看端口是否开放

以后以下命令查看135139445已经关闭。

netstat -an | find "445"

netstat -an | find "139"

netstat -an | find "135"

5.开启防火墙

启用系统自带的防火墙。

6.更新系统补丁

通过360安全卫士更新系统补丁,或者使用系统自带的系统更新程序更新系统补丁。

七、安全启示

这波病毒使用的是今年3月爆发的SA暴露的那些漏洞利用工具,当时出来以后,如

果及时对系统更新了漏洞补丁和加固后,系统基本不会被感染。

1.来历不明的文件一定不要打开

2.谨慎使用优盘,在优盘中可以建立文件夹防止优盘病毒自动传播

3.安装杀毒软件,目前升级过病毒库的杀毒软件都可以识别传播的病毒。

4.打开防火墙

ner(WannaCry)

.antiy./response/wannacry/

6.蠕虫软件免疫工具(WannaCry).antiy./response/wannacry/Vaccine_for_

八、关于最新病毒的防情况方法

linux的请:

- 可修编-

. -

1.拔掉网线。

2.linux的朋友,以用kali linux bt5cdlinux等启动系统。

3.先备份系统重要文件。

4.清理病毒

5.重新开机启动到windows系统

6.进行加固

如果不懂linux

1.拔掉网线

2.在开机前就用没有感染的计算机下载好带最新病毒库的杀毒软件。

3.开机后立即安装杀毒软件进行杀毒。

4.使用netstat -an 查看有无445 连接多个地址发包

5.记得设置文件夹选项,后清理windows下的病毒文件,病毒文件是隐藏属性

6.备份重要资料

7.加固服务器

8.安装补丁

9.接入网络

有关WannaCrypt病毒软件的进一步分析,请关注我们的技术分析,欢迎加入安天365

技术交流(513833068)进行该技术的探讨。

51CTO原创稿件,合作站点请注明原文作者和出处为51CTO.

【编辑推荐】

软件大规模攻击Windows系统,微软紧急应对

全球近百个国家遭受大规模网络攻击 黑客比特币

亚信安全发布防WannaCry/Wcry蠕虫病毒紧急通告!

比特币蠕虫病毒 腾讯云发出安全提示

全球攻击事件分析 腾讯安全知道创宇联手应急响应

- 可修编-


本文发布于:2023-05-24 10:47:42,感谢您对本站的认可!

本文链接:https://www.wtabcd.cn/falv/fa/87/105423.html

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系,我们将在24小时内删除。

相关文章
留言与评论(共有 0 条评论)
   
验证码:
推荐文章
排行榜
Copyright ©2019-2022 Comsenz Inc.Powered by © 站长QQ:55-9-10-26