最新勒索軟件病毒防範方法及措施

antian365.com  simeon

1.事件回顧

（1）鳳凰網：勒索病毒大範圍傳播，信息安全專家紛紛發出警告

http://news.ifeng.com/a/20170513/51086871_0.shtml

（2）騰訊網：這種病毒全球大爆發！國內多所大學校園網淪陷，被黑的人都收到了勒索信

http://tech.qq.com/a/20170513/013226.htm

（3）安天公司: 安天緊急應對新型「蠕蟲」式勒索軟件「wannacry」全球爆發

https://mp.weixin.qq.com/s?__biz=MjM5MTA3Nzk4MQ==&mid=2650170534&idx=1&sn=dedc3ff25c3594b49bc4e6c53c9fd123&chksm=beb9c79489ce4e8253e77bf176fd1e88bfbdbe6f3b24d84acdbe391da073a87a0cf313c26fb7&mpshare=1&scene=1&srcid=0513oXuWB6ySDTUPZUPpnWod#rd

    據BBC報道，今天全球不少地方爆發一種軟件勒索病毒，只有繳納高額贖金（有的要比特幣）才能解密資料和數據，英國多家醫院中招，病人資料威脅外泄，同時俄羅斯，意大利，整個歐洲，包括中國不少高校……

該勒索軟件是一個名稱爲「wannacry」的新家族，該加密軟件採用流行的RSA和AES加密算法，截止目前還沒法破解，或者是暴力破解的成本很是高，普通用戶基本無解，換句話說目前世界安全高手也沒法解密該勒索軟件加密的文件。

該勒索軟件利用MS17-101漏洞來***全球主機，目前不少內網或者外網445端口基本是開放的，勒索軟件借鑑蠕蟲原理，利用了基於445端口傳播擴散的SMB漏洞，在早期的研究中咱們已經發現，勒索軟件利用系統漏洞、Mysql以及Mssql數據庫漏洞以及其它一些高位漏洞，先行***，再感染，因此之前你們都以爲網絡安全離我很遠，如今就不能這麼看了，只要你係統存在高位漏洞，就有可能被感染。

2.實際影響

（1）主動***

（2）蠕蟲傳播，網絡傳播速度更快。截止目前不少內網已經淪陷。

（3）對ppt、word、pdf等文檔文件進行加密。

（4）採用RSA和AES加密算法，經請教北京理工大學信息安全專家張子劍博士，目前該算法破解時間耗費很是巨大，勒索軟件聲稱須要幾十年！其加密算法以下：

3.出現的狀況

若是出現如下狀況的圖片說明已經被勒索軟件感染：

 

4.防範方法

（1）備份！備份！備份！必定要離線備份重要文件。能夠將備份文件命名爲mybak.ini文件。

（2）開啓防火牆

（3）阻斷445端口

錦佰安公司給出了防範445端口的命令腳本（下載地址：http://www.secboot.com/445.zip）：

echo "歡迎使用錦佰安敲詐者防護腳本"

echo "若是pc版本大於xp 服務器版本大於windows2003，請右鍵本文件，以管理員權限運行。"

netsh firewall setopmode enable

netsh advfirewallfirewall add rule name="deny445" dir=in protocol=tcp localport=445action=block

（4）全部程序都在虛擬機中運行。採用linux+windows虛擬機模式。文檔等資料及時進行備份，按期製做鏡像。

5.關閉危險的其餘端口

（1）關閉135端口，在運行中輸入「dcomcnfg」，而後打開「組建服務」-「計算機」-「屬性」-「個人電腦屬性」-「默認屬性」-「在此計算機上啓用分佈式COM」去掉選擇的勾。而後再單擊「默認協議」選項卡，選中「面向鏈接的TCP/IP」，單擊「刪除」或者「移除」按鈕。

圖4關閉135端口

（2）關閉139端口，139端口是爲「NetBIOS Session Service」提供的，主要用於提供Windows文件和打印機共享以及Unix中的Samba服務。 單擊「網絡」-「本地屬性」，在出現的「本地鏈接屬性」對話框中，選擇「Internet協議版本4（TCP/IPv4）」-「屬性」，雙擊打開「高級TCP/IP設置」-「WINS」，在「NetBIOS設置」中選擇「禁用TCP/IP上的NetBIOS」，如圖5所示。

圖5關閉139端口

（3）註冊表關閉445端口

在命令提示符下輸入「regedit」，依次打開「HKEY_LOCAL_MACHINE」-「System」-「Controlset」「Services」-「NetBT」-「Parameters」，在其中選擇「新建」——「DWORD值」，將DWORD值命名爲「SMBDeviceEnabled」，並經過修改其值設置爲「0」，如圖6所示。

圖6關閉445端口

（4）查看端口是否開放

之後如下命令查看135、139、445已經關閉。

netstat  -an | find "445" | find"139" | find "135"

注:本文系轉載,原文出自 http://simeon.blog.51cto.com/18680/1925263

附加另外一篇查看本機開放端口命令的另外一篇文章,原文出自:http://blog.csdn.net/kalision/article/details/7239001

查看本機開放的端口號，查看某個端口號是否被佔用，查看被佔用的端口號被哪一個進程所佔用，如何結束該進程

利用快捷鍵win+R鍵打開運行窗口。輸入cmd回車打開命令提示符窗口

 

1：查看本機開放的端口，即已被佔用的端口號。

命令：

netstat -an

 

部分結果列表：

Proto  Local Address          Foreign Address        State
TCP    0.0.0.0:135            0.0.0.0:0              LISTENING
TCP    0.0.0.0:3473           0.0.0.0:0                 LISTENING
TCP    0.0.0.0:8009           0.0.0.0:0                         LISTENING

 

Local Addresss 對應的這列，「：」後邊即爲以開放的端口號。

 

2：查看某個端口號是否被佔用

好比要查看Mysql的默認服務端口3306是否已被佔用

命令：

netstat -ano|findstr "3306"

  ----若是沒有返回任何結果，即證實此端口沒有被佔用。

  ----若是返回結果爲：

TCP  0.0.0.0:8080 0.0.0.0:0 LISTENING 1640

說明8080端口已經被佔用。 1640即佔用8080此端口號的進程號。

 

 

3：查看進程號對應的進程名稱

任務管理器：

若是沒有PID（進程ID）列，能夠在任務管理器的菜單欄-查看-選擇列中選中該列便可。

命令：

tasklist|findstr 」1640「

這是查看1640進程號所對應的進程名稱。

返回結果爲：

Tomcat5.exe 1640Console  0 33,802 K

Tomcat5.exe 便是佔用1640端口號的進程名。

 

4：結束進程

能夠直接在任務管理器中結束，打開任務管理器快捷鍵:ctrl+shift+ESC

命令:

tskill 進程名/進程號

如：tskill Tomcat5.exe

tskill 1640