本文講的是<b>想哭(WannaCry)勒索病毒的使用者防護和處置指南</b>,
一、前言
中原標準時間2017年5月12日晚,勒索軟體"WannaCry"感染事件爆發,全球範圍内99個國家遭到大規模網絡攻擊,被攻擊者電腦中的檔案被加密,被要求支付比特币以解密檔案;衆多行業受到影響,比如英國的NHS服務,導緻至少40家醫療機構内網被攻陷,電腦被加密勒索;而我國衆多行業的也是如此,其中又以教育網最為顯著,導緻部分教學系統無法正常運作,相關學子畢業論文被加密等。截止到中原標準時間5月15日09點,目前事件趨勢已經蔓延到更多行業,包含金融、能源、醫療、交通等行業均受到影響。
今年4月14日黑客組織Shadow Brokers(影子經紀人)公布了Equation Group(方程式組織)使用的"網絡軍火",其中包含了一些Windows漏洞(微軟編号為MS17-010)和利用工具,這些漏洞利用中以Eternalblue(永恒之藍)最為友善利用,并且網上出現的相關攻擊腳本和利用教程也以該漏洞為主,而在4月14日後我們監控捕獲的多起Windows主機入侵事件均是以利用Eternalblue進行入侵;Eternalblue可以遠端攻擊Windows的445端口,該端口主要用于基于SMB協定的檔案共享和列印機共享服務。在以往捕獲的利用Eternalblue進行入侵攻擊的事件,黑客主要進行挖礦、DDoS等行為,而本次事件則是利用該漏洞進行勒索病毒的植入和傳播。
本次事件影響範圍廣泛,騰訊安全雲鼎實驗室釋出本處理指南意在指導雲上使用者在遭受攻擊前後進行相關處理,個人使用者也可參考部分章節。
二、事前預防
1、關閉漏洞端口,安裝系統更新檔
可以采用一些免疫工具進行自動化的更新檔安裝和端口屏蔽,比如電腦管家勒索病毒免疫工具(下載下傳位址)
手動關閉端口,下載下傳安裝更新檔,為確定更新檔安裝,請一定要手工安裝更新檔(更新檔下載下傳位址)。
利用防火牆添加規則屏蔽端口
開始菜單-打開控制台-選擇Windows防火牆
如果防火牆沒有開啟,點選"啟動或關閉 Windows防火牆"啟用防火牆後點選" 确定"
點選" 進階設定",然後左側點選"入站規則",再點選右側" 建立規則"
在打開視窗選擇選擇要建立的規則類型為"端口",并點選下一步
在"特定本地端口"處填入445并點選"下一步",選擇"阻止連接配接",然後一直下一步,并給規則随意命名後點選完成即可。
注:不同系統可能有些差異,不過操作類似
騰訊雲機器也可以通過配置安全組規則屏蔽445端口。
選擇需要操作機器所屬的安全組,點選"編輯規則"
直接點選快捷配置按鈕"封堵安全漏洞"就可以自動添加規則
該快捷按鈕将會添加"137、139、445"三個端口的屏蔽規則,如果隻想添加本次所影響的445端口,可以在儲存前進行調整(如非業務需要,不建議調整)
2、備份資料,安裝安全軟體,開啟防護
對相關重要檔案采用離線備份(即使用U盤等方式)等方式進行備份
部分電腦帶有系統還原功能,可以在未遭受攻擊之前設定系統還原點,這樣即使遭受攻擊之後可以還原系統,找回被加密的原檔案,不過還原點時間到遭受攻擊期間的檔案和設定将會丢失
目前,大部分安全軟體已經具有該勒索軟體的防護能力或者其他免疫能力等,可以安裝這些安全軟體,如騰訊電腦管家,開啟實時防護,避免遭受攻擊
對于個人使用者,可以采用一些檔案防護工具,進行檔案的備份、防護,如電腦管家的文檔守護者(電腦管家工具箱内可下載下傳使用)
3、建立滅活域名實作免疫
根據對已有樣本分析,勒索軟體存在觸發機制,如果可以成功通路iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com,則電腦在中了勒索病毒後不會進行檔案加密而直接退出。目前該域名已被安全人員注冊,可以正常通路。
普通使用者在可以聯網狀态下,保證對該網址的可通路,則可以避免在遭受攻擊後避免被加密(僅限于已知勒索病毒)
企業使用者可以通過在内網搭建Web Server,然後通過内網DNS的方式将域名解析到Web Server IP的方式來實作免疫;通過該域名的通路情況也可以監控内網病毒感染的情況
三、事後病毒清理
首先可以拔掉網線等方式隔離已遭受攻擊電腦,避免感染其他機器
病毒清理
相關安全軟體(如電腦管家)的殺毒功能能直接清除勒索軟體,可以直接進行掃描清理(已隔離的機器可以通過U盤等方式下載下傳離線包安裝);
也可以在備份了相關資料後直接進行系統重裝,并在重裝後參考"事前預防"進行預防操作
四、事後檔案恢複
基于目前已知的情況,目前沒有完美的檔案恢複方案,可以通過以下的方式恢複部分檔案:
勒索軟體帶有恢複部分加密檔案的功能,可以直接通過勒索軟體恢複部分檔案,不過該恢複有限;直接點選勒索軟體界面上的"Decrypt"可彈出恢複視窗,顯示可免費恢複的檔案清單,然後點選"Start"即可恢複清單中檔案
根據對勒索病毒分析,勒索軟體在加密檔案後會删除源檔案,是以通過資料恢複軟體可以有一定機率恢複已被加密的部分檔案,可以使用第三方資料恢複工具嘗試資料恢複,雲上使用者請直接聯系我們協助處理。
原文釋出時間為:2017年5月14日
本文作者:雲鼎實驗室
本文來自雲栖社群合作夥伴嘶吼,了解相關資訊可以關注嘶吼網站。
<a href="http://www.4hou.com/info/news/4751.html" target="_blank">原文連結</a>