实验环境
- 操作机:
Windows 7 64位
实验工具
-
:可以对部分病毒加密过的软件进行恢复。360文件恢复工具
实验目的
- 学习检测系统是否存在此漏洞
- 掌握如何对此漏洞进行防御
- 学会如何对加密文件进行恢复
实验内容
WannaCry勒索病毒
北京时间5月12日晚20时左右,全球爆发了大规模蠕虫勒索病毒感染事件,多家组织遭到了一次严重的勒索攻击,短短几个小时,已经攻击了近百个国家,上万台电脑,并且攻击仍在继续蔓延。
此次
WannaCry勒索病毒
是利用NSA永恒之蓝漏洞进行传播的,NSA永恒之蓝漏洞具体请参考i春秋官网:
https://www.ichunqiu.com/course/58005
影响版本
包括
Windows Vista
、
Windows Server 2008
、
Windows 7
、
Windows Server 2008 R2
、
Windows 8.1
、
Windows Server 2012
、
Windows 10
、
Windows Server 2012 R2
、
Windows Server 2016
漏洞危害
在被
WannaCry
攻击后,最明显的症状就是电脑桌面背景被修改,文件被加密,并且弹出提示,需要向作者支付比特币才可以解锁加密软件。
注:在实验环境中,系统会提示重启,请选择
稍后重新启动
,否则实验无法进行。
实验步骤
我们可以在网上下载相关的检测工具,对系统进行检测,如果你已经打了补丁或者限制了相关的端口规则,会有如下显示:
反之则显示:
接下来看一看如何对漏洞进行防御
对于此漏洞的防御有如下两个方案:
1. 将端口加入防火墙规则,这样任何流量再经过端口时,会受到防火墙的拦截与提示,可以在cmd中输入如下命令:
netsh advfirewall set allprofiles state on //启动防火墙
//将对应端口加入防火墙
netsh advfirewall firewall add rule name=”deny udp ” dir=in protocol=udp localport= action=block
netsh advfirewall firewall add rule name=”deny tcp ″ dir=in protocol=tcp localport= action=block
netsh advfirewall firewall add rule name=”deny udp ″ dir=in protocol=udp localport= action=block
netsh advfirewall firewall add rule name=”deny tcp ″ dir=in protocol=tcp localport= action=block
netsh advfirewall firewall add rule name=”deny udp ″ dir=in protocol=udp localport= action=block
netsh advfirewall firewall add rule name=”deny tcp ″ dir=in protocol=tcp localport= action=block
netsh advfirewall firewall add rule name=”deny udp ″ dir=in protocol=udp localport= action=block
netsh advfirewall firewall add rule name=”deny tcp ″ dir=in protocol=tcp localport= action=block
pause
这样一来就可以在一定程度上成功对此蠕虫病毒进行防御。
2. 升级补丁,包括Windows XP等已经停止更新了的系统,微软也提供了紧急的补丁,具体情况如下:
可以在微软官网寻找对应版本的补丁进行下载 ,打上微软紧急提供的补丁,即使不关闭对应的端口,病毒也无法对系统造成破坏了。
文件恢复
首先我们在桌面打开360文件恢复工具,如图,点击
开始扫描
:
点击后自动开始扫描,结果如下:
可以看到,已经扫描到了被加密的文档。
接下来依次选择需要解密的文件,点击
恢复选中的文件
即可:
这里我选择恢复到了E盘:
可以看到,E盘已经恢复了部分文件。
注:恢复文件时,不要选择相同的磁盘进行恢复,一定要恢复到其他盘符或者移动硬盘,这样才可以正常的进行文件解密恢复。
实验结果分析与总结
本次实验我们学习了如何检测系统的安全性,掌握如何对此漏洞进行防御,并对加密文件进行恢复。因此在以后的使用中,要常对系统进行更新,关闭一些敏感端口,注意本地客户端的安全。
思考
请思考,除了文中所述你还有哪些方法对系统进行修复,并对文件进行恢复。