轉--【反病毒實驗】WannaCry勒索病毒全解讀，權威修複指南大集合

實驗環境

• 操作機：

  Windows 7 64位

實驗工具

• 360檔案恢複工具

  ：可以對部分病毒加密過的軟體進行恢複。

實驗目的

• 學習檢測系統是否存在此漏洞
• 掌握如何對此漏洞進行防禦
• 學會如何對加密檔案進行恢複

實驗内容

WannaCry勒索病毒

中原標準時間5月12日晚20時左右，全球爆發了大規模蠕蟲勒索病毒感染事件，多家組織遭到了一次嚴重的勒索攻擊，短短幾個小時，已經攻擊了近百個國家，上萬台電腦，并且攻擊仍在繼續蔓延。

此次

WannaCry勒索病毒

是利用NSA永恒之藍漏洞進行傳播的，NSA永恒之藍漏洞具體請參考i春秋官網：

https://www.ichunqiu.com/course/58005

影響版本

包括

Windows Vista

、

Windows Server 2008

、

Windows 7

、

Windows Server 2008 R2

、

Windows 8.1

、

Windows Server 2012

、

Windows 10

、

Windows Server 2012 R2

、

Windows Server 2016

漏洞危害

在被

WannaCry

攻擊後，最明顯的症狀就是電腦桌面背景被修改，檔案被加密，并且彈出提示，需要向作者支付比特币才可以解鎖加密軟體。

注：在實驗環境中，系統會提示重新開機，請選擇

稍後重新啟動

，否則實驗無法進行。

實驗步驟

我們可以在網上下載下傳相關的檢測工具，對系統進行檢測，如果你已經打了更新檔或者限制了相關的端口規則，會有如下顯示：

反之則顯示：

接下來看一看如何對漏洞進行防禦

對于此漏洞的防禦有如下兩個方案：

1. 将端口加入防火牆規則，這樣任何流量再經過端口時，會受到防火牆的攔截與提示，可以在cmd中輸入如下指令：

netsh advfirewall set allprofiles state on    //啟動防火牆


//将對應端口加入防火牆
netsh advfirewall firewall add rule name=”deny udp  ” dir=in protocol=udp localport= action=block

netsh advfirewall firewall add rule name=”deny tcp ″ dir=in protocol=tcp localport= action=block 

netsh advfirewall firewall add rule name=”deny udp ″ dir=in protocol=udp localport= action=block   

netsh advfirewall firewall add rule name=”deny tcp ″ dir=in protocol=tcp localport= action=block 

netsh advfirewall firewall add rule name=”deny udp ″ dir=in protocol=udp localport= action=block

netsh advfirewall firewall add rule name=”deny tcp ″ dir=in protocol=tcp localport= action=block

netsh advfirewall firewall add rule name=”deny udp ″ dir=in protocol=udp localport= action=block  

netsh advfirewall firewall add rule name=”deny tcp ″ dir=in protocol=tcp localport= action=block     

pause

           

這樣一來就可以在一定程度上成功對此蠕蟲病毒進行防禦。

2. 更新更新檔，包括Windows XP等已經停止更新了的系統，微軟也提供了緊急的更新檔，具體情況如下：

可以在微軟官網尋找對應版本的更新檔進行下載下傳 ，打上微軟緊急提供的更新檔，即使不關閉對應的端口，病毒也無法對系統造成破壞了。

檔案恢複

首先我們在桌面打開360檔案恢複工具，如圖，點選

開始掃描

：

點選後自動開始掃描,結果如下：

可以看到，已經掃描到了被加密的文檔。

接下來依次選擇需要解密的檔案，點選

恢複選中的檔案

即可：

這裡我選擇恢複到了E盤：

可以看到，E盤已經恢複了部分檔案。

注：恢複檔案時，不要選擇相同的磁盤進行恢複，一定要恢複到其他盤符或者移動硬碟，這樣才可以正常的進行檔案解密恢複。

實驗結果分析與總結

本次實驗我們學習了如何檢測系統的安全性，掌握如何對此漏洞進行防禦，并對加密檔案進行恢複。是以在以後的使用中，要常對系統進行更新，關閉一些敏感端口，注意本地用戶端的安全。

思考

請思考，除了文中所述你還有哪些方法對系統進行修複，并對檔案進行恢複。