WannaCry勒索病毒出现变种,腾正科技告诉你这样操作更安全
5月13日,互联网发生了一件重大事件,出现了针对Windows操作系统的勒索软件的攻击事件,此次勒索软件名为“WannaCry”。
“WannaCry”同时具备加密勒索功能和内网蠕虫传播能力,属于新型的勒索软件,危害极大。勒索软件利用此前披露的Windows SMB服务漏洞(对应微软漏洞公告:MS17-010)攻击手段,向终端用户进行渗透传播,并向用户勒索比特币或其他价值物,涉及到国内用户(已收到多起高校案例报告),已经构成较为严重的攻击威胁。
然而事件的发生,并未止步于此。北京市委网信办、北京市公安局、北京市经信委联合发出《关于WannaCry勒索蠕虫出现变种及处置工作建议的通知》。《通知》提到,有关部门监测发现,WannaCry勒索蠕虫出现变种WannaCry 2.0,建议立即进行关注和处置。
新变种WannaCry 2.0不同于旧版本,新变种取消了所谓的所谓的Kill Switch,不能通过注册某个域名来关闭变种勒索蠕虫的传播,传播速度也可能会更快。
1.关闭网络 ,开启系统防火墙;
2.利用系统防火墙高级设置阻止向 445 端口进行连接(该操作会影响使用 445 端口的服务) 及网络共享 ;
3.针对主机进行漏洞补丁升级安装。
Win7/8/10系统的处理流程
1) 关闭网络
2) 打开控制面板-系统与安全-Windows防火墙,点击左侧启动或关闭Windows防火墙
3) 选择启动防火墙,并点击确定
4) 点击高级设置
5) 点击入站规则,新建规则,以445端口为例
6) 选择端口、下一步
7) 选择特定本地端口,输入445,下一步
8) 选择阻止连接,下一步
9) 配置文件,全选,下一步
10) 名称,可以任意输入,完成即可。
11) 请安装MS17-010 补丁,微软已经发布winxp_sp3 至win10、win2003 至win2016 的全系列补丁。微软官方下载地址:https://blogs.technet.microsoft.com/msrc/2017/04/14/protecting-customers-and-evaluating-risk/?from=timeline&isappinstalled=0,或者恢复网络升级。
12) 开启系统自动更新,并检测更新进行安装
13) Win7系统需要关闭Server服务才能够禁用445端口的连接
需要操作系统的server服务关闭,依次点击“开始”,“运行”,输入services.msc,进入服务管理控制台。
双击Server,先停用,再选择禁用。
最后重启win7。使用netstat –an查看445端口不存在了。
注:在系统更新完成后,如果业务需要使用SMB服务,将上面设置的防火墙入站规则删除即可。
WinXP系统的处理流程
1) 依次打开控制面板,安全中心,Windows防火墙,选择启用
2) 通过注册表关闭445端口,单击“开始”——“运行”,输入“regedit”,单击“确定”按钮,打开注册表。
3) 找到HKEY_LOCAL_MACHINE\System\Controlset\Services\NetBT\Parameters,选择“Parameters”项,右键单击,选择“新建”——“DWORD值”。
4) 将DWORD值命名为“SMBDeviceEnabled”,值修改为0。
5) 重启机器,查看445端口连接已经没有了。
6) 鉴于本次Wannacry蠕虫事件的影响恶劣,微软总部决定对已停服的XP和部分服务器版本发布特别补丁,微软公告详情/。https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/
WannaCry具有传染速度快,传播范围广的特点,大家务必重视起来,对自己电脑进行升级防护,避免二次传播。
相关阅读