2.1确认机器是否已感染WannaCry蠕虫病毒
检查主机是否存在如下类似红色赎金支付界面:
2.2已感染主机应急修复指引
如存在以上类似红色勒索界面,则说明主机已经感染蠕虫病毒,您可以采取如下措施进行修复:
步骤1:及时止损并离线备份重要数据
云用户可以以去掉绑定的外网IP等方式隔离已遭受攻击电脑,避免感染其他机器,同时可以在云内网通过ftp方式拷贝还未被加密的文件到内网其他安全服务器。
与此同时,大部分安全软件已经具有该勒索软件的防护能力或者其他免疫能力等,可以安装这些安全软件,如腾讯电脑管家,开启实时防护,避免遭受攻击。
步骤2:开展病毒清理
安装安全软件(如电脑管家),利用杀软的杀毒功能可直接查杀勒索软件,同时进行扫描清理(已隔离的机器可以通过U盘等方式下载离线包安装)。
步骤3:尝试解密方案
尝试方案1:尝试通过已解密的交易记录进行解密1>打开勒索软件界面,点击copy(复制黑客的比特币地址)2>把copy粘贴到btc.com(区块链查询器);3>在区块链查询器中找到黑客收款地址的交易记录,然后随意选择一个txid(交易哈希值);4>把txid复制粘贴给勒索软件界面按钮connectus;5>等黑客看到后,再点击勒索软件上的checkpayment;6>再点击decrypt解密文件即可;
尝试方案2:尝试开源的脚本(需python3环境)来运行尝试恢复下载链接:
尝试方案3:尝试使用勒索软件自带恢复功能恢复已被蠕虫病毒删除的文件勒索软件带有恢复部分加密文件的功能,可以直接通过勒索软件恢复部分文件,不过该恢复有限;直接点击勒索软件界面上的"Decrypt"可弹出恢复窗口,显示可免费恢复的文件列表,然后点击"Start"即可恢复列表中文。
尝试方案4:尝试使用第三方数据恢复工具恢复已被蠕虫病毒删除的文件。根据对勒索病毒分析,勒索软件在加密文件后会删除源文件,所以通过数据恢复软件有一定概率恢复已被加密的部分文件,可以使用第三方数据恢复工具尝试数据恢复,如easyrecovery等工具可帮助用户恢复部分已经删除的数据,但可能无法恢复加密数据。
如以上方式均无效,建议您重新安装系统(腾讯云官网镜像已在4月20日修复蠕虫利用漏洞,默认无法被利用)。
2.3未感染主机安全防范指引
如暂未出现类似被勒索红色弹框,建议及时进行自查和加固,避免被感染,您可以采取如下措施进行:
方式1:通过安全组防火墙进行屏蔽蠕虫传播端口
2>使用官网工具“封堵安全漏洞”一键屏蔽137、139、445端口
3>至此,已自动完成封堵蠕虫传播端口的防火墙配置
具体操作方法可参考:
方式2:利用WindowsUpdate进行系统更新
利用系统自带的WindowsUpdate进行系统更新,更新到最新即可。
对于离线用户,亦可以通过如下补丁下载地址进行安装:
下载后,点击“下一步”进行安装。
方式3:关闭受影响SMBv1服务
3.1对于运行Windows8.1或WindowsServer2012R2及更高版本的客户
对于Windows8.1客户端操作系统:1>打开“控制面板”,单击“程序”,然后单击“打开或关闭Windows功能”。
2>在“Windows功能”窗口中,清除“SMB1.0/CIFS文件共享支持”复选框,然后单击“确定”以关闭此窗口。
3>重启系统,使配置生效。
对于WindowsServer2012及以上服务器操作系统:a>打开“服务器管理器”,单击“管理”菜单,然后选择“删除角色和功能”。
b>在“功能”窗口中,清除“SMB1.0/CIFS文件共享支持”复选框,然后单击“确定”以关闭此窗口。
c>重启系统。
3.2对于运行Windows7、WindowsServer2008R2、WindowsVista和WindowsServer2008的用户:1>在命令行界面打开并修改注册表
2>打开注册表路径︰HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\LanmanServer\\Parameters
3>新建项︰SMB1,值0(DWORD)
4>重新启动计算机
方式4:安装腾讯电脑管家病毒免疫工具
可采用一些免疫工具进行自动化的补丁安装和端口屏蔽,如腾讯电脑管家勒索病毒免疫工具,下载地址:
方式5:建立灭活域名免疫机制
根据腾讯云安全团队对已有样本分析,勒索软件存在触发机制,如果可以成功访问
iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com,则电脑在中了勒索病毒后不会进行文件加密而直接退出。目前该域名已被安全人员注册,可以正常访问。
企业用户可以通过在内网搭建WebServer,然后通过内网DNS的方式将域名解析到WebServerIP的方式来实现免疫;通过该域名的访问情况也可以监控内网病毒感染的情况。
三、普通用户电脑应急修复
3.1已感染主机应急修复指引
如存在上述类似红色勒索界面,则说明主机已经感染蠕虫病毒,您可以采取如下措施进行修复:
c>同时,大部分安全软件已经具有该勒索软件的防护能力或者其他免疫能力等,可以安装这些安全软件,如腾讯电脑管家,开启实时防护,避免遭受攻击。
d>对于个人用户,可以采用一些文件防护工具,进行文件的备份、防护,如电脑管家的文档守护者(电脑管家工具箱内可下载使用)。
尝试方案1:打开勒索软件界面,点击copy(复制黑客的比特币地址)1>把copy粘贴到btc.com(区块链查询器);2>在区块链查询器中找到黑客收款地址的交易记录,然后随意选择一个txid(交易哈希值);3>把txid复制粘贴给勒索软件界面按钮connectus;4>等黑客看到后,再点击勒索软件上的checkpayment;5>再点击decrypt解密文件即可;
尝试方案3:尝试使用第三方数据恢复工具恢复已被蠕虫病毒删除的文件如easyrecovery等工具可帮助用户恢复部分已经删除的数据,但可能无法恢复加密数据。
如以上方式均无效,建议您重新安装系统。
3.2未感染主机安全防范指引
方式1:利用Windows防火墙添加规则屏蔽端口
点击开始菜单-打开控制面板-选择Windows防火墙
如果防火墙没有开启,点击"启动或关闭Windows防火墙"启用防火墙后点击"确定
点击"高级设置",然后左侧点击"入站规则",再点击右侧"新建规则"
在"特定本地端口"处填入445并点击"下一步",选择"阻止连接",然后一直下一步,并给规则随意命名后点击完成即可。
注:不同系统可能有些差异,不过操作类似
利用Windows系统自带的WindowsUpdate进行系统更新,更新到最新即可。
如确认已安装5月份KB4012264补丁,则说明系统默认不受此次蠕虫病毒影响,确认方法可参考:Windows7:KB4012215或KB4015549或KB4019264;Windows8.1:KB4012216或KB4015550或KB4019215;Windows10去Windows更新即可;Windows8暂无更新补丁,需升级至Windows8.1Windows8.164补丁链接:
方式3:安装腾讯电脑管家病毒免疫工具
腾讯电脑管家在蠕虫爆发当晚已支持对蠕虫病毒的检测和查杀,目前已发布加固免疫工具,官方下载地址:
方式4:建立灭活域名免疫机制
根据腾讯云安全团队对已有样本分析,勒索软件存在触发机制,如果可以成功访问iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com,则电脑在中了勒索病毒后不会进行文件加密而直接退出。目前该域名已被安全人员注册,可以正常访问。
普通用户在可以联网状态下,保证对该网址的可访问,则可以避免在遭受攻击后避免被加密(仅限于已知勒索病毒)。
参考链接:
[1]微软MS17-010漏洞公告及补丁下载
[2]微软WindowsXP/2003补丁下载
[3]腾讯云事件预警
[4]勒索病毒”爆发腾讯云安全专家教你来防范
[5]电脑管家下载及事件专题页面
[6]腾讯电脑管家对于WannaCry蠕虫的详细分析
[7]腾讯云针对方程式工具包预警及修复建议
[8]腾讯安全反病毒实验室解读“Wannacry”勒索软件
温馨提醒
温馨提醒:此次勒索蠕虫病毒在互联网上的传播范围极广,影响范围巨大,建议针对您的重要业务数据或个人数据进行数据备份,同时针对云用户,可针对Windows制作系统镜像,以做好灾难应急恢复工作。