“腾讯安全发布应对勒索病毒＂WannaCry＂客户处置做法”

本篇文章2264字，读完约6分钟

5月12日晚，威胁病毒“wannacry”感染事件爆发，全世界约100个国家受到大规模网络攻击，攻击者电脑内的文件被加密，要求支付比特币以解密文件 在英国，至少有40家医疗机构的内部网沦陷； 在中国，教育网最为突出，一些教育系统不能正常工作，或者很多学生的毕业论文被加密。 腾讯安全联合实验室云鼎实验室负责人董志强提醒广大顾客，恐吓病毒“wannacry”还在继续蔓延，因此必须防护员工，注意中技。

此次病毒“wannacry”勒索事件是黑客利用了去年被盗的美国国家安全局( nsa )自主设计的windows系统黑客工具eternal blue“永恒之蓝”，并在网上流传。 与以往最大的不同是，威胁病毒是通过蠕虫的方法结合传播的。

此次事件影响范围广泛，董志强对比了事前防范、事后病毒清除和事后文件恢复三种情况，向广大客户提出了解决建议。

事前预防

/ h/]1.关闭漏洞端口并安装系统修补程序

a )电脑管理员的病毒免疫工具( guanjia.qq/wannacry/) ) ) ) ) ) ) ) ) ) ) ) )/h/) ) ) ) )等)进行自动化的补丁安装

手动关闭 b )端口，下载并安装修补程序

I .修补程序的下载地址: catalog.update.Microsoft/search.aspx？ q=kb4012598、catalog.update .微软/搜索. aspx？ q = kb 4012598

ii .使用防火墙添加规则掩码端口

/ h/]1.开始菜单-选择打开控制面板的windows防火墙

/ h// h// h /

2.如果防火墙没有打开，请单击“启动或关闭windows防火墙”以启用防火墙，然后单击“明确”

/ h// h// h /

.单击“高级”，然后单击左侧的“入站规则”，右侧的“新建规则”“ ”

/ h// h// h /

/ h// br// h /

/ h// h// h /

打开 4.窗口，选择要创建的规则类型为“端口”，然后单击

/ h// h// h /

5.在“特定的本地端口”中填写445，单击“下一步”，选择“阻止连接”，然后一直前进到下一步，给规则赋予任意名称并单击“完成”。

/ h// h// h /

/ h// br// h /

/ h// h// h /

/ h// br// h /

/ h// h// h /

注:虽然不同的系统可能会有所不同，但操作方式类似于

/ h// h// h /

iii .腾讯云机还可以通过组成安全组规则来屏蔽445个端口

1.选择要操作的设备所属的安全组，然后单击“规则”

/ h// h// h /

2.直接点击快捷方式配置按钮“堵塞安全漏洞”，则自动添加规则

/ h// h// h /

3.此快捷按钮将添加“137、139、445”三个端口的屏蔽规则。 如果只添加此次受影响的445端口，则可以在预约之前进行调整。

2.备份数据，安装安全软件，打开防护

a )离线备份相关的重要文件(用USB存储器等进行备份)/h/) ) ) )。

b )有些计算机具有系统还原功能，可以在受到攻击之前设置系统还原点。 这样可以在受到攻击后恢复系统以恢复加密的原始文件，但在从还原点受到攻击之前会丢失文件和设置。

c )目前，大部分安全软件已经具备了该威胁软件的防护能力或其他免疫能力等，腾讯这些安全软件如计算机管家，将不会受到攻击

d )电脑管家的文档管理员(可在电脑管家工具箱内下载)工具箱-系统-文档管理员) )/h/)一样，进行了文件的备份、保护

/ h// h// h /

3.建立灭活域名以实现免疫

根据现有样本的分解，勒索软件有触发机制，如果能够成功访问iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea，则计算机在感染勒索病毒后，将 目前，域名已由安全人员注册，可以成功访问。

a )普通客户只要在能够连接互联网的状态下保证访问该网站，就可以在受到攻击后防止加密((仅限于已知的威胁病毒) ) )/h/)。

b )公司客户可以通过在内部网构建web服务器，用内部网dns的方法将域名解析为web服务器IP的方法来实现免疫； 根据该域名的访问状况也可以监视内部网感染状况

/ h// h// h /

事后病毒清除

1.可以首先通过拔网线等方法隔离受到攻击的电脑，以免感染其他设备

.病毒清除

计算机管家等相关安全软件的杀毒功能可以直接检查威胁软件，直接扫描清理()被隔离的机器可以通过USB存储器等方法下载并安装离线包)

3.也可以在备份相关数据后直接重新安装系统，重新安装后参考“预防”进行预防操作

/ h// h// h /

事后文件恢复

基于当前已知的情况，目前没有完整的文件恢复方案，可以通过以下方法恢复一些文件:

1.胁迫软件具有恢复加密文件的一部分的功能，可以直接从胁迫软件中恢复文件的一部分，但这种恢复是有限的。直接点击胁迫软件界面上的“decrypt” 然后单击“开始”，可以恢复列表中的文件

/ h// h// h /

/ h// br// h /

/ h// h// h /

2.勒索病毒分解表明，勒索软件在加密文件后删除源文件，因此可以通过数据恢复软件恢复一定概率加密的某些文件，并使用第三方数据恢复工具恢复数据

目前，腾讯安全人员一直关注着勒索病毒“wannacry”的快速发展态势，鼓励广大客户加强互联网安全意识，打开腾讯电脑管家，实时保护电脑，

来源：企业信息港