前篇介紹
【緊急 重要】勒索病毒全球爆發(fā)���,中國(guó)多所高校中招��!
大量學(xué)校電腦感染勒索病毒的預(yù)防及緩解措施
安天緊急應(yīng)對(duì)新型“蠕蟲(chóng)”式勒索軟件“wannacry”全球爆發(fā)
漏洞排查方法
360企業(yè)安全天擎團(tuán)隊(duì)提供的針對(duì)“永恒之藍(lán)”勒索蠕蟲(chóng)所利用漏洞的修復(fù)工具��。運(yùn)行該工具后���,會(huì)自動(dòng)檢測(cè)系統(tǒng)是否存在相關(guān)漏洞�����,并提供修復(fù)方法。
介紹:http://b.#/other/onionwormfix
下載地址:http://down.b.#/EternalBlueFix.zip
md5:3546C6F87914282C0A03696997ADBE42
sha1:A5B383AC4BAE14DC01F43E737C36B900FDABC8DB
sha256:9F7FCE9B15EE65AF1349C74C8AB200C9AD6C0C45C74E3945F0D4B333AF264207
病毒免疫預(yù)防措施
360企業(yè)安全天擎團(tuán)隊(duì)提供的系統(tǒng)免疫工具�;在電腦上運(yùn)行以后,現(xiàn)有蠕蟲(chóng)將不會(huì)感染系統(tǒng)��。
介紹:http://b.#/other/onionwormimmune
下載地址:http://dl.b.#/tools/OnionWormImmune.exe
版本:1.0.0.1015
MD5:90cb913660d2f8abb23d8176bafc34ec
sha1:6ae5667431b56a615c2a1987f78836312aa0128d
sha256:2d34be95dd7487670bb39cfd1d16cf74d2dfda22d7e450486968b1a563767e97
此工具有以下兩種免疫方式:
基本免疫
通過(guò)搶占WannaCry勒索蠕蟲(chóng)運(yùn)行時(shí)創(chuàng)建的內(nèi)核對(duì)象���,迫使其不能正常運(yùn)行從而達(dá)到免疫的效果����。在終端上直接運(yùn)行此工具即可實(shí)現(xiàn)基本免疫功能���。
增強(qiáng)免疫
除了基本免疫功能外�,根據(jù)《WanaCrypt0r勒索蠕蟲(chóng)完全分析報(bào)告》����,還可通過(guò)劫持域名www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com 的方式進(jìn)一步增強(qiáng)免疫效果�。
操作方法如下:
- 在內(nèi)網(wǎng)服務(wù)器中部署http server����,在http:///en/download.html中下載運(yùn)行http server;
- 查看http server所在服務(wù)器的ip,確保終端瀏覽器中能訪問(wèn)http://服務(wù)器的ip,然后將免疫工具文件名修改為“OnionWormImmune(xxx.xxx.xxx.xxx).exe”, 其中“xxx.xxx.xxx.xxx”為http server IP地址;
- 運(yùn)行改名后的免疫工具OnionWormImmune(xxx.xxx.xxx.xxx).exe即可實(shí)現(xiàn)增強(qiáng)免疫效果����;
其他預(yù)防措施
1.啟用并打開(kāi)“Windows防火墻”,進(jìn)入“高級(jí)設(shè)置”��,在入站規(guī)則里禁用“文件和打印機(jī)共享”相關(guān)規(guī)則��。利用系統(tǒng)防火墻高級(jí)設(shè)置阻止向445端口進(jìn)行連接�。
2.使用自動(dòng)更新升級(jí)到Windows的最新版本。
3.在內(nèi)外網(wǎng)邊界出口禁止外網(wǎng)對(duì)內(nèi)網(wǎng)135/137/139/445端口的連接�����;
4.在網(wǎng)絡(luò)核心主干交換路由設(shè)備禁止135/137/139/445端口的連接���。
5.定期對(duì)電腦內(nèi)重要文件資料進(jìn)行備份��。
臨時(shí)建議:
防火墻上阻斷445端口的訪問(wèn)��;
暫時(shí)關(guān)閉Server服務(wù)�;
盡快升級(jí);
強(qiáng)化網(wǎng)絡(luò)安全意識(shí):不明鏈接不要點(diǎn)擊���,不明文件不要下載���,不明郵件不要打開(kāi)。
病毒查殺方法
360企業(yè)安全天擎團(tuán)隊(duì)提供的針對(duì)永恒之藍(lán)”勒索蠕蟲(chóng)(wannacry蠕蟲(chóng))的專(zhuān)殺工具����。
介紹:http://b.#/other/onionwormkiller
下載地址:http://dl.b.#/tools/wanaKiller.exe
MD5:2fb6554ccc930533b8492c7c36780a89
sha1:9ceefdd65c1021ac2ffd7207026f165cca0fa8d0
sha256:e91b82790b5a8d9a20e743b9ed1c188db7083c0d7b2257ce21f1f3e20895d371
文件恢復(fù)方法
介紹:http://weibo.com/ttarticle/p/show?id=2309404107129664487886
360首發(fā)勒索蠕蟲(chóng)病毒文件恢復(fù)工具:http://dl./recovery/RansomRecovery.exe
WNCRY病毒瘋狂攻擊全球上百個(gè)國(guó)家��,無(wú)數(shù)寶貴資料被病毒加密����,甚至有大學(xué)生畢業(yè)論文被鎖死。360深入分析病毒原理��,發(fā)現(xiàn)有可能恢復(fù)一定比例文件的急救方案���,成功概率會(huì)受到文件數(shù)量等多重因素影響�,詳細(xì)教程見(jiàn)本文�����。越早操作,成功率越高?。?/p>
1.首先安裝360安全衛(wèi)士�,選擇漏洞修復(fù),打好安全補(bǔ)丁�����,預(yù)防再次被攻擊
2.使用360木馬查殺功能,清除全部木馬�,防止反復(fù)感染����。
3.下載使用“360勒索蠕蟲(chóng)病毒文件恢復(fù)工具”恢復(fù)被加密的文件
下載地址: http://dl./recovery/RansomRecovery.exe
選擇加密文件所在驅(qū)動(dòng)器
掃描后�,選擇要恢復(fù)的文件
強(qiáng)烈建議您選擇把恢復(fù)的文件保存在干凈的移動(dòng)硬盤(pán)或U盤(pán)上
本工具的文件恢復(fù)成功率會(huì)受到文件數(shù)量�、時(shí)間、磁盤(pán)操作情況等因素影響�����。一般來(lái)說(shuō)�,中毒后越早恢復(fù),成功的幾率越高�。
我們盡力而為,但無(wú)法確保能夠成功恢復(fù)多大比例的文件�。祝您好運(yùn)!
|
