• 【转】关于WannaCry勒索蠕虫的安全预警


    【转载】如有侵权或者风险,请及时联系我,我会删除。

    自5月12日起一款名为 WannaCry 的蠕虫勒索软件袭击全球网络,这被认为是迄今为止最巨大的勒索交费活动,影响到近百个国家上千家企业及公共组织。目前国内多家企事业单位相继被攻陷,其中包括中石油加油站、浙江传媒大学、中国计量学院、贺州学院、桂林电子科技大学、桂林航天工业学院、大连海事大学、山东大学等。

    一、什么是勒索软件?

    勒索软件是一种特殊的恶意软件(又被人归类为阻断访问式攻击, denial-of-access attack),其与其他病毒最大的不同在于手法, 其主要的攻击手段分为以下两种:

    • 单纯地将受害者的电脑锁起来;
    • 系统性地加密受害者硬盘上的文件。

    所有的勒索软件都会要求受害者缴纳赎金以取回对电脑的控制权,或是取回被加密的数据与文件。勒索软件通常通过木马病毒的形式传播,其将自身掩盖为看似无害的文件。

    二、什么是蠕虫?

    这里的蠕虫是指计算机蠕虫,其与计算机病毒相似,是一种能够自我复制的计算机程序,具有极强的传播性。

    传播过程:蠕虫程序常驻于一台或多台机器中,通常它会扫描其他机器是否有感染同种计算机蠕虫,如果没有,就会通过其内建的传播手段进行感染,以达到使计算机瘫痪的目的。其通常会以宿主机器作为扫描源。通常采用:垃圾邮件、漏洞传播这2种方法来传播。

    三、WannaCry危害与传播方式

    1. 危害

    计算机感染 WannaCry 后,该勒索软件首先会尝试连接www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com(IP地址:144.217.254.3)域名,如果可正常连接,即软件自动退出,不进行后续的加密操作。如果访问不成功则会搜索系统如下文件并进行加密。

    .sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, wallet, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, .odp, .ods, .odt

    攻击者声称用户需要支付300~600美元的比特币才可以解锁,其实当你支付赎金后也未必会找回被加密的文件。

    2. 传播方式

    目前主要传布方式为邮件附件或者访问恶意链接。

    四、如何防范WannaCry攻击

    WannaCry 主要是利用 Windows 系统 MS17-010 漏洞进行攻击与传播。

    1. Win7、Win8、Win10 关闭445端口的处理流程

    (1)关闭网络或拨掉网线

    (2)打开控制面板-系统与安全-Windows防火墙,点击左侧启动或关闭Windows防火墙

    (3)选择启动防火墙,并点击确定

    (4)点击高级设置

    (5)点击入站规则,新建规则,以445端口为例

    (6)选择端口、下一步

    (7)选择特定本地端口,输入445,下一步

    (8)选择阻止连接,下一步

    (9)配置文件,全选,下一步

    (10)名称,可以任意输入,完成即可

    (11)请安装MS17-010 补丁,微软已经发布winxp_sp3 至win10、win2003 至win2016 的全系列补丁。 下载地址:https://blogs.technet.microsoft.com/msrc/2017/04/14/protecting-customers-and-evaluating-risk/?from=timeline&isappinstalled=0

    (12) 开启系统自动更新,并检测更新进行安装

    (13) Win7系统需要关闭Server服务才能够禁用445端口的连接

    需要操作系统的server服务关闭,依次点击“开始”,“运行”,输入services.msc,进入服务管理控制台。

    双击Server,先停用,再选择禁用。最后重启win7。

     

    使用netstat –an查看445端口不存在了。

    注:在系统更新完成后,如果业务需要使用SMB服务,将上面设置的防火墙入站规则删除即可。

    2. WinXP系统的处理流程

    (1)依次打开控制面板,安全中心,Windows防火墙,选择启用

    (2)通过注册表关闭445端口,单击“开始”——“运行”,输入“regedit”,单击“确定”按钮,打开注册表。

    (3)找到HKEY_LOCAL_MACHINESystemControlsetServicesNetBTParameters,选择“Parameters”项,右键单击,选择“新建”——“DWORD值”。

    (4)将DWORD值命名为“SMBDeviceEnabled”,值修改为0。

    (5)重启机器,查看445端口连接已经没有了。

    (6)鉴于本次Wannacry蠕虫事件的影响恶劣,微软总部决定对已停服的XP和部分服务器版本发布特别补丁 微软公告详情:https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

    五、文件被加密了怎么办

    目前暂无解密方式

    六、总结

    针对此次安全事件,我们需要做到如下:

    1. 保证系统补丁及时更新。
    2. 不随便打开陌生人发来的邮件附件或链接。
    3. 重要文件请及时备份。
  • 相关阅读:
    illegal line end in String Iiteral错误
    mavem的tomcat插件热加载
    解决IntelliJ IDEA启动缓慢
    进行JDBC连接时增加以下代码:
    基于Reflect将List泛型数据源转换为Json字符串
    数据库还原至指定时间节点
    EF关系配置之N:N关系
    EF关系配置之1:N
    EF+Lambda查询性能测试
    EntityFramework基础框架搭建
  • 原文地址:https://www.cnblogs.com/hager/p/6855169.html
Copyright © 2020-2023  润新知