② 可以使用安全计算机下载安全工具Autoruns以及ProcessExplorer,通过光盘刻录软件,到感染病毒计算机中进行清除病毒!软件下载地址:
https://download.sysinternals.com/files/Autoruns.zip
https://download.sysinternals.com/files/ProcessExplorer.zip
③ 注意,本文所指清除病毒是指勒索软件还未对系统软件进行加密!如果在桌面出现黄色小图标,桌面背景有红色英文字体显示(桌面有窗口弹出带锁图片,Wana Decryptor2.0),这表明系统已经被感染了。
3、病毒已经感染
如果系统已经被病毒感染,则下载RansomRecovery ( )进行恢复。
三、安全加固(非常重要,防止病毒再次复发) 1、关闭445端口
(1)手工关闭
① 在命令提示符下输入“regedit”,依次打开“HKEY_LOCAL_MACHINE”-“System”-“Controlset”“Services”-“NetBT”-“Parameters”,在其中选择“新建”——“DWORD值”(根据自己的操作系统选择32位还是64位),将DWORD值命名为“SMBDeviceEnabled”,并通过修改其值设置为“0”,需要特别注意一定不要将SMBDeviceEnabled写错了!否则没有效果!
② 查看本地连接属性,将去掉“Microsoft网络的文件和打印机共享”前面的勾选。
2、关闭135端口
在运行中输入“dcomcnfg”,然后打开“组建服务”-“计算机”-“属性”-“我的电脑属性”-“默认属性”-“在此计算机上启用分布式COM”去掉选择的勾。然后再单击“默认协议”选项卡,选中“面向连接的TCP/IP”,单击“删除”或者“移除”按钮。
3、关闭139端口
139端口是为“NetBIOS Session Service”提供的,主要用于提供Windows文件和打印机共享以及Unix中的Samba服务。 单击“网络”-“本地属性”,在出现的“本地连接属性”对话框中,选择“Internet协议版本4(TCP/IPv4)”-“属性”,双击打开“高级TCP/IP设置”-“WINS”,在“NetBIOS设置”中选择“禁用TCP/IP上的NetBIOS”。
4、查看端口是否开放
以后以下命令查看135、139、445已经关闭。
netstat -an | find "445"
netstat -an | find "139"
netstat -an | find "135"
5、开启防火墙
启用系统自带的防火墙。
6、更新系统补丁
通过360安全卫士更新系统补丁,或者使用系统自带的系统更新程序更新系统补丁。
四、安全启示