全球性WannaCry蠕虫勒索病毒感染前后应对措施

  前言:针对WannaCrypt勒索病毒的讨论和技术文章是铺天盖地,大量的技术流派,安全厂家等纷纷献计献策,有安全厂家开发各种安全工具,对安全生态来说是一个好事,但对个人未必就是好事,我们国家很多用户是普通用户是安全小白,如果遭遇WannaCrypt勒索软件,我们该怎么办?是主动积极应对,还是被动等待被病毒感染,这完全取决于您个人选择,博主与该病毒对抗过一次,将一些经验跟大家分享,希望能对您有所帮助!

 

一、WannaCry/Wcry 病毒的介绍及其原理 1、病毒介绍及其原理

  2017512日起, 全球性爆发基于Windows网络共享协议进行攻击传播的蠕虫恶意代码, 经研究发现这是不法分子通过改造之前泄露的NSA黑客武器库中永恒之蓝攻击程序发起的网络攻击事件。永恒之蓝通过扫描开放445文件共享端口的Windows电脑甚至是电子信息屏,无需用户进行任何操作,只要开机联网,不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等一系列恶意程序。

  利用445文件共享端口实施破坏的蠕虫病毒,曾多次在国内爆发。因此,运营商很早就针对个人用户将445端口封闭,但是教育网并未作此限制,仍然存在大量开放的445端口。据有关机构统计,目前国内平均每天有5000多台电脑遭到NSA“永恒之蓝黑客武器的远程攻击,教育网已成重灾区!

  WannaCrypt勒索病毒原理分析笔者再次就不赘述了,详细情况请参阅WanaCrypt0r勒索蠕虫完全分析报告()

全球性WannaCry蠕虫勒索病毒感染前后应对措施

 

2、病毒感染的三个时间段

1)病毒感染初阶段

病毒从未知渠道进入网络,病毒开始攻击内网某台主机,对计算机存在漏洞计算机进行攻击,成功后释放mssecsvc.exe文件,并连接固定url(54.153.0.145)

如果连接成功,则退出程序

连接失败则继续攻击

 

2)病毒感染中阶段

接下来蠕虫开始判断参数个数,小于2,进入安装流程;大于等于2,进入服务流程

 

3)病毒感染后阶段

对磁盘文件进行加密处理,出现勒索软件界面。

 

二、WannaCry/Wcry 病毒的发现其处理 1、病毒感染前预防策略(如果你已感染病毒请忽略,且迅速向下浏览)

1)采用文章后续部分135139445等端口加固方法加固。

2)也可使用360NSA武器免疫工具检测计算机是否存在漏洞,在windows2003SP1虚拟机中进行检测显示无漏洞。

全球性WannaCry蠕虫勒索病毒感染前后应对措施

3)使用安天免疫工具进行检测和设置,按照运行结果进行设置即可。

全球性WannaCry蠕虫勒索病毒感染前后应对措施

 

2、病毒正在感染(本文着重处理时段)

  病毒正在感染时特征:通过netstat -an命令查看,如果系统出现大量的445连接,说明肯定存在病毒,可以使用以下办法进行杀毒,同时拔掉网线!(另外一种方法就是通过kalilinux启动盘去清除病毒也可以,然后通过U盘直接备份资料)

 

2.1 设置查看文件选项

内容版权声明:除非注明,否则皆为本站原创文章。

转载注明出处:https://www.heiqu.com/wpjyyg.html