您现在的位置:网站首页 > 公司动态 > Wannacry 勒索蠕虫病毒用户修复指引

Wannacry 勒索蠕虫病毒用户修复指引

一、Wannacry 勒索蠕虫病毒事件背景

北京时间2017年5月12日晚,勒索软件"WannaCry"感染事件爆发,全球范围内150个国家遭到大规模网络攻击,被攻击者电脑中的文件被加密,被要求支付比特币以解密文件;众多行业受到影响,比如英国的NHS服务,导致至少40家医疗机构内网被攻陷,电脑被加密勒索;而我国众多行业的也是如此,其中又以教育网最为显著,导致部分教学系统无法正常运行,相关学子毕业论文被加密等。截止到北京时间5月15日09点,目前事件趋势已经蔓延到更多行业,包含金融、能源、医疗、交通等行业均受到影响。

今年4月14日黑客组织Shadow Brokers(影子经纪人)公布了Equation Group(方程式组织)使用的"网络军火",其中包含了一些Windows漏洞(微软编号为MS17-010)和利用工具,这些漏洞利用中以Eternalblue(永恒之蓝)最为方便利用,并且网上出现的相关攻击脚本和利用教程也以该漏洞为主,而在4月14日后我们监控捕获的多起Windows主机入侵事件均是以利用Eternalblue进行入侵;Eternalblue可以远程攻击Windows的445端口,该端口主要用于基于SMB协议的文件共享和打印机共享服务。在以往捕获的利用Eternalblue进行入侵攻击的事件,黑客主要进行挖矿、DDoS等行为,而本次事件则是利用该漏洞进行勒索病毒的植入和传播。

本次事件影响范围广泛,本指引意在指导云上用户在遭受攻击前后进行相关处理,个人用户也可参考部分章节。

二、云用户主机应急修复及安全防范指引

2.1 确认机器是否已感染 WannaCry 蠕虫病毒

检查主机是否存在如下类似红色赎金支付界面:

        

2.2 已感染主机应急修复指引

如存在以上类似红色勒索界面,则说明主机已经感染蠕虫病毒,您可以采取如下措施进行修复:

步骤 1: 及时止损并离线备份重要数据

云用户可以以去掉绑定的外网 IP 等方式隔离已遭受攻击电脑,避免感染其他机器,同时可以在云内网通过 ftp 方式拷贝还未被加密的文件到内网其他安全服务器。

部分电脑带有系统还原功能,可以在未遭受攻击之前设置系统还原点,这样即使遭受攻击之后可以还原系统,找回被加密的原文件,不过还原点时间到遭受攻击期间的文件和设置将会丢失。

与此同时,大部分安全软件已经具有该勒索软件的防护能力或者其他免疫能力等,可以安装这些安全软件,开启实时防护,避免遭受攻击。

    步骤 2: 开展病毒清理

     安装安全软件,利用杀软的杀毒功能可直接查杀勒索软件,同时进行扫描清理(已隔离的机器可以通过U 盘等方式下载离线包安装)。

步骤 3: 尝试解密方案

尝试方案 1:尝试通过已解密的交易记录进行解密
     打开勒索软件界面,点击 copy(复制黑客的比特币地址)

copy 粘贴到 btc.com (区块链查询器);

在区块链查询器中找到黑客收款地址的交易记录,然后随意选择一个 txid(交易哈希值);

把 txid 复制粘贴给 勒索软件界面按钮 connect us;

等黑客看到后,再点击勒索软件上的 check payment;

再点击 decrypt 解密文件即可;

尝试方案 2:尝试开源的脚本(需 python3 环境)来运行尝试恢复

下载链接:

https://github.com/QuantumLiu/antiBTCHack

尝试方案 3:尝试使用勒索软件自带恢复功能恢复已被蠕虫病毒删除的文件

勒索软件带有恢复部分加密文件的功能,可以直接通过勒索软件恢复部分文件,不过该恢复有限;直接点击勒索软件界面上的"Decrypt"可弹出恢复窗口,显示可免费恢复的文件列表,然后点击"Start"即可恢复列表中文。

        

       

尝试方案 4:尝试使用第三方数据恢复工具恢复已被蠕虫病毒删除的文件。
     根据对勒索病毒分析,勒索软件在加密文件后会删除源文件,所以通过数据恢复软件有一定概率恢复已被加密的部分文件,可以使用第三方数据恢复工具尝试数据恢复,如 easyrecovery 等工具可帮助用户恢复部分已经删除的数据,但可能无法恢复加密数据。

如以上方式均无效,建议您重新安装系统

2.3 未感染主机安全防范指引

如暂未出现类似被勒索红色弹框,建议及时进行自查和加固,避免被感染,您可以采取如下措施进行:

方式 1:利用 Windows Update 进行系统更新

利用系统自带的 Windows Update 进行系统更新,更新到最新。对于离线用户,亦可以通过如下补丁下载地址进行安装:

http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

下载后,点击“下一步” 进行安装。

方式 2:关闭受影响 SMBv1 服务

3.1 对于运行 Windows 8.1 或 Windows Server 2012 R2 及更高版本的客户

对于 Windows 8.1 客户端操作系统:
     1> 打开“控制面板”,单击“程序”,然后单击“打开或关闭 Windows 功能”。

2> 在“Windows 功能”窗口中,清除“SMB 1.0/CIFS 文件共享支持”复选框,然后单击“确定”以关闭此窗口。

        

3>  重启系统,使配置生效。

对于 Windows Server 2012 及以上服务器操作系统:
     a>  打开“服务器管理器”,单击“管理”菜单,然后选择“删除角色和功能”。


b> 在“功能”窗口中,清除“SMB 1.0/CIFS 文件共享支持”复选框,然后单击“确定”以关闭此窗口。

c>  重启系统。

3.2 对于运行 Windows 7、 Windows Server 2008 R2、 Windows Vista 和Windows Server 2008 的用户:
     1> 在命令行界面打开并修改注册表

2>  打开注册表路径︰
     HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters

3> 新建项︰ SMB1,值 0(DWORD)

4> 重新启动计算机

方式 4:安装病毒免疫工具

可采用一些免疫工具进行自动化的补丁安装和端口屏蔽

方式 5:建立灭活域名免疫机制

根据网络安全团队对已有样本分析,勒索软件存在触发机制,如果可以成功访问

www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com和www.ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.com(目前已监控到的wannacry变种木马开关域名),则电脑在中了勒索病毒后不会进行文件加密而直接退出。目前该域名已被安全人员注册,可以正常访问。

企业用户可以通过在内网搭建 Web Server,然后通过内网 DNS 的方式将域名解析到 Web Server IP 的方式来实现免疫;通过该域名的访问情况也可以监控内网病毒感染的情况。

三、普通用户电脑应急修复及安全防范指引

3.1 已感染主机应急修复指引

如存在上述类似红色勒索界面,则说明主机已经感染蠕虫病毒,您可以采取如下措施进行修复:

步骤 1: 及时止损并离线备份重要数据

a> 普通用户可以以拔掉网线等方式隔离已遭受攻击电脑,避免感染其他机器,对相关重要文件采用离线备份(即使用 U 盘等方式)等方式进行备份。

b> 部分电脑带有系统还原功能,可以在未遭受攻击之前设置系统还原点,这样即使遭受攻击之后可以还原系统,找回被加密的原文件,不过还原点时间到遭受攻击期间的文件和设置将会丢失。

c> 同时,大部分安全软件已经具有该勒索软件的防护能力或者其他免疫能力等,可以安装这些安全软件,开启实时防护,避免遭受攻击。

d> 对于个人用户,可以采用一些文件防护工具,进行文件的备份、防护。

步骤 2: 开展病毒清理

安装安全软件,利用杀软的杀毒功能可直接查杀勒索软件,同时进行扫描清理(已隔离的机器可以通过 U 盘等方式下载离线包安装)。

步骤 3: 尝试解密方案

尝试方案1:打开勒索软件界面,点击 copy(复制黑客的比特币地址)
     1>  把 copy 粘贴到 btc.com (区块链查询器);
  2> 在区块链查询器中找到黑客收款地址的交易记录,然后随意选择一个 txid(交易哈希值);
     3> 把 txid 复制粘贴给 勒索软件界面按钮 connect us;
     4> 等黑客看到后,再点击勒索软件上的 check payment;
     5> 再点击 decrypt 解密文件即可;

尝试方案 2:尝试开源的脚本(需 python3 环境)来运行尝试恢复

下载链接:

https://github.com/QuantumLiu/antiBTCHack

尝试方案 3:尝试使用第三方数据恢复工具恢复已被蠕虫病毒删除的文件
     如 easyrecovery 等工具可帮助用户恢复部分已经删除的数据,但可能无法恢复加密数据。

如以上方式均无效,建议您重新安装系统。

3.2 未感染主机安全防范指引

如暂未出现类似被勒索红色弹框,建议及时进行自查和加固,避免被感染,
        您可以采取如下措施进行:

方式 1:利用 Windows 防火墙添加规则屏蔽端口

点击开始菜单-打开控制面板-选择 Windows 防火墙

        

如果防火墙没有开启,点击"启动或关闭 Windows 防火墙"启用防火墙后点击" 确定

点击"高级设置",然后左侧点击"入站规则",再点击右侧" 新建规则"

        


"特定本地端口"处填入 445 并点击"下一步",选择"阻止连接",然后一直下一步,并给规则随意命名后点击完成即可。

注:不同系统可能有些差异,不过操作类似

方式 2:利用 Windows Update 进行系统更新

利用 Windows 系统自带的 Windows Update 进行系统更新,更新到最新即可。

如确认已安装 5 月份 KB4012264 补丁,则说明系统默认不受此次蠕虫病毒影响,确认方法可参考:
     Windows 7 : KB4012215 或 KB4015549 或 KB4019264;
     Windows 8.1:KB4012216 或 KB4015550 或 KB4019215;
     Windows 10  Windows 更新即可;
     Windows 8 暂无更新补丁,需升级至 Windows 8.1
     Windows 8.1 64 补丁链接:

http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows8.1-kb4019215-x64_d06fa047afc97c445c69181599e3a66568964b23.msu
     Windows 8.1 32 补丁链接:
     http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows8.1-kb4019215-x86_fe1cafb988ae5db6046d6e389345faf7bac587d7.msu
     Windows 7 64 补丁链接:
     http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows6.1-kb4019264-x64_c2d1cef74d6cb2278e3b2234c124b207d0d0540f.msu
     Windows 7 32 补丁链接:
     http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/

普通用户在可以联网状态下,保证对该网址的可访问,则可以避免在遭受攻击后避免被加密(仅限于已知勒索病毒)。