前兩天,與這個周末,5月12日起,Onion、WNCRY兩類敲詐者病毒變種在全國乃至全世界大範圍内出現爆發态勢,大量個人和企業、機構使用者中招。
與以往不同的是,這次的新變種病毒添加了NSA(美國國家安全局)黑客工具包中的“永恒之藍”0day漏洞利用,通過445端口(檔案共享)在内網進行蠕蟲式感染傳播。
沒有安裝安全軟體或及時更新系統更新檔的其他内網使用者極有可能被動感染,是以目前感染使用者主要集中在企業、高校等内網環境下。
看到新聞中說公安系統中招了,教育系統,等不少中招了。作為個人,我們最好自己注意一點,以免中招,隻能重裝系統,就比較麻煩。
當然,使用win10系統以下電腦,以及ubuntu或者mac等linux系列的話,不存在問題,不必擔心。
首先,先做好防備,然後我們再說。:
Windows 7~Windows 10作業系統,以管理者模式啟動指令提示符,輸入:
後回車即可。
Windows XP作業系統,以管理者模式啟動指令提示符,輸入:
一旦感染該蠕蟲病毒變種,系統重要資料檔案就會被加密,并勒索高額的比特币贖金,折合人民币2000-50000元不等。
和曆史上的“震蕩波”、“沖擊波”等大規模蠕蟲感染類似,本次傳播攻擊利用的“永恒之藍”漏洞可以通過445端口直接遠端攻擊目标主機,傳播感染速度非常快。
雖然國内部分網絡營運商已經屏蔽掉個人使用者的445網絡端口,但是在教育網、部分運作商的大區域網路、校園企業内網依舊存在大量暴漏的攻擊目标。
對于企業來說尤其嚴重,一旦内部的關鍵伺服器系統遭遇攻擊,帶來的損失不可估量。
【敲詐蠕蟲病毒感染現象】
中招系統中的文檔、圖檔、壓縮包、影音等常見檔案都會被病毒加密,然後向使用者勒索高額比特币贖金。
WNCRY變種一般勒索價值300-600美金的比特币,Onion變種甚至要求使用者支付3個比特币,以目前的比特币行情,折合人民币在3萬左右。
此類病毒一般使用RSA等非對稱算法,沒有私鑰就無法解密檔案。WNCRY敲詐者病毒要求使用者在3天内付款,否則解密費用翻倍,并且一周内未付款将删除密鑰導緻無法恢複。
從某種意義上來說,這種敲詐者病毒“可防不可解”,需要安全廠商和使用者共同加強安全防禦措施和意識。
感染WNCRY勒索病毒的使用者系統彈出比特币勒索視窗
【防禦措施建議】
作為個人,我們自己要保護好自己的檔案。可以檢查一下,盡早做好預防,以免出現問題;
下面幾點,Win10以下的同學,可以參考一下:
1、安裝防毒軟體,保持安全防禦功能開啟;
2、打開Windows Update自動更新,及時更新系統。
3、Windows XP、Windows Server 2003系統使用者還可以關閉445端口,規避遭遇此次敲詐者蠕蟲病毒的感染攻擊。
步驟如下:
(1)、開啟系統防火牆保護。控制台->安全中心->Windows防火牆->啟用。開啟系統防火牆保護
(2)、關閉系統445端口。
(a)、快捷鍵WIN+R啟動運作視窗,輸入cmd并執行,打開指令行操作視窗,輸入指令“netstat -an”,檢測445端口是否開啟。
(b)、如上圖假如445端口開啟,依次輸入以下指令進行關閉:
net stop rdr
net stop srv
net stop netbt
功後的效果如下:
4、謹慎打開不明來源的網址和郵件,打開Office文檔的時候禁用宏開啟,網絡挂馬和釣魚郵件一直是國内外勒索病毒傳播的重要管道。
釣魚郵件文檔中暗藏勒索者病毒,誘導使用者開啟宏運作病毒
5、養成良好的備份習慣,及時使用網盤或移動硬碟備份個人重要檔案。
本次敲詐者蠕蟲爆發事件中,國内很多高校和企業都遭遇攻擊,很多關鍵重要資料都被病毒加密勒索,可見,我們都需要提高重要檔案備份的安全意識。
【關于445端口】
那麼,威力這麼強大,這個445端口到底是做什麼的,這裡大概介紹一下:
445端口是一個毀譽參半的端口,有了它我們可以在區域網路中輕松通路各種共享檔案夾或共享列印機,但是,請不要忘了,也正是因為有了它,可以讓我們可以通路共享裝置,而黑客們也有了可乘之機,他們能通過該端口偷偷共享你的硬碟,甚至會在悄無聲息中将你的硬碟格式化掉!
445端口是一個毀譽參半的端口,他和139端口一起是IPC$入侵的主要通道。有了它我們可以在區域網路中輕松通路各種共享檔案夾或共享列印機,但也正是因為有了它,黑客們才有了可乘之機,他們能通過該端口偷偷共享你的硬碟,甚至會在悄無聲息中将你的硬碟格式化掉!我們所能做的就是想辦法不讓黑客有機可乘,封堵住445端口漏洞。
考慮到檔案夾或列印機共享服務才會利用到445端口,是以直接将檔案夾或列印機共享服務停止掉,同樣也能實作關閉445端口的目的,讓黑客無法破壞各種共享資源。
下面是關閉檔案夾或列印機共享服務的具體步驟:
<a href="http://p1.qhmsg.com/t016c7cbd805a6d7d87.jpg">Internet連接配接屬性</a>
選中"網絡和撥接上網"圖示,并用滑鼠右鍵單擊之,從其後的快捷菜單中,單擊"浏覽"指令;
當然,你也可以在不停止共享服務的條件下,剝奪"大惡人"們的共享通路權利;利用本地安全設定中的"使用者權利指派"功能,指定Internet上的任何使用者都無權通路本地主機,具體步驟為:
單擊"本地安全設定"選項,接着展開"安全設定" "本地政策" "使用者權利指派"檔案夾,在對應的右邊子視窗中選中"拒絕從網絡通路這台計算機"選項,并用滑鼠左鍵輕按兩下之;
打開如圖3所示的設定視窗,單擊"添加"按鈕,從彈出的"選擇使用者或組"對話框中選中"everyone"選項,再單擊"添加"按鈕,最後單擊"确定",這樣任何一位使用者都無法從網絡通路到本地主機。不過該方法"打擊"範圍比較廣,造成的後果是無論是"敵人"還是"良民",都無法通路到共享資源了,是以這種方法适宜在儲存有絕對機密資訊的伺服器中使用。
本文轉自 念槐聚 部落格園部落格,原文連結:http://www.cnblogs.com/haochuang/p/6857019.html,如需轉載請自行聯系原作者