最新勒索软件WannaCrypt病毒感染前清除处理及加固

昨天、今天、乃至最近一段时间,安全圈甚至全中国将聚焦在勒索病毒“WannaCrypt”,很多人都以为安全离我很远,其实不然,过去病毒可能仅仅是在线攻击,而今天出现的“WannaCrypt”勒索病毒达到一定条件后,将感染内网,注意是内网!当然外网也是感染对象,目前国内很多高校、政府、企业和个人均出现了大面积的感染。很多安全公司将其定义为“蠕虫”病毒,其危害相当巨大,一旦被感染,只有两种途径来解决,一种是支付赎金,另外一种就是重装系统,所有资料全部归零。通过笔者分析,如果是在病毒WannaCrypt发作前,能够成功清除病毒,将可以救回系统,减少损失!

记住在病毒发作的两个小时内清除病毒效果最佳,错过以后,及时关机,病毒也会继续计算时间!也就是说最佳处理时间是病毒感染的两个小时内!

一、最重要的事情

先进行本文的第三部分,对系统进行查看有无病毒,如果有则可以参考以下步骤:

1.第一时间彻底清除病毒。

2.拔掉网线,防止再次被感染!

3.使用安全优盘进行系统文件备份,如果没有优盘,则可以将需要备份的文件先行压缩为rar文件,然后再修改为.exe文件。

4.WannaCrypt目前不对exe文件进行加密,文件处理好以后再进行加固!

二、病毒原始文件分析

1.文件名称及大小

本次捕获到病毒样本文件三个,mssecsvc.exe、qeriuwjhrf、tasksche.exe,如图1所示,根据其md5校验值,tasksche.exe和qeriuwjhrf文件大小为3432KB,mssecsvc.exe大小为3636KB。

2.md5校验值

使用md5计算工具对以上三个文件进行md5值计算,其md5校验值分别如下:

tasksche.exe  8b2d830d0cf3ad16a547d5b23eca2c6e

mssecsvc.exe  854455f59776dc27d4934d8979fa7e86

qeriuwjhrf:  8b2d830d0cf3ad16a547d5b23eca2c6e

图1 勒索软件病毒基本情况

3.查看病毒文件

(1)系统目录查看

文件一般位于系统盘下的windows目录,例如c:\windows\,通过命令提示符进入:

cd c:\windows\

dir /od /a *.exe

(2)全盘查找

dir /od /s tasksche.exe

dir /od /s mssecsvc.exe

4.病毒现象

(1)通过netstat –an命令查看网络连接,会发现网络不停的对外发送SYN_SENT包,如图2所示。

图2对外不断的发送445连接包

(2)病毒服务

通过Autoruns安全分析工具,可以看到在服务中存在“fmssecsvc2.0”服务名称,该文件的时间戳为2010年11月20日17:03分。

三、杀毒方法

1.设置查看文件选项

由于病毒设置了隐藏属性,正常情况下无法查看该文件,需要对文件查看进行设置,即在资源管理器中单击“工具”-“文件夹选项”,如图4所示。

图4 打开文件夹选项设置

去掉“隐藏受保护的操作系统文件(推荐)”、选择“显示隐藏的文件、文件夹和驱动器”、去掉“隐藏已知文件类型的扩展名”,如图5所示,即可查看在windows目录下的病毒隐藏文件。

图5文件夹查看选项设置

2.结束进程

通过任务管理器,在任务栏上右键单击选择“启动任务管理器”,从进程中去查找mssecsvc.exe和tasksche.exe文件,选中mssecsvc.exe和tasksche.exe,右键单击选择“结束进程树”将病毒程序结束,又可能会反复启动,结束动作要快。

3.删除程序

到windows目录将三个文件按照时间排序,一般会显示今天或者比较新的时期,将其删除,如果进程结束后,又启动可来回删除和结束。直到将这三个文件删除为止,有可能到写本文章的时候,已经有病毒变体,但方法相同,删除新生成的文件。

4.再次查看网络

使用netstat –an命令再次查看网络连接情况,无对外连接情况,一切恢复正常。

可以使用安全计算机下载安全工具Autoruns以及ProcessExplorer,通过光盘刻录软件,到感染病毒计算机中进行清除病毒!软件下载地址:

https://download.sysinternals.com/files/Autoruns.zip

https://download.sysinternals.com/files/ProcessExplorer.zip

注意,本文所指清除病毒是指勒索软件还未对系统软件进行加密!如果在桌面出现黄色小图标,桌面背景有红色英文字体显示(桌面有窗口弹出带锁图片,Wana Decryptor2.0),这表明系统已经被感染了。

四、安全加固

1.关闭445端口

(1)手工关闭

在命令提示符下输入“regedit”,依次打开“HKEY_LOCAL_MACHINE”-“System”-“Controlset”“Services”-“NetBT”-“Parameters”,在其中选择“新建”——“DWORD值”,将DWORD值命名为“SMBDeviceEnabled”,并通过修改其值设置为“0”,如图6所示,需要特别注意一定不要将SMBDeviceEnabled写错了!否则没有效果!

图6注册表关闭445端口

查看本地连接属性,将去掉“Microsoft网络的文件和打印机共享”前面的勾选,如图7所示。

图7取消网络文件以及打印机共享

(2)使用锦佰安提供的脚本进行关闭,在线下载脚本地址:http://www.secboot.com/445.zip,脚本代码如下:

echo "欢迎使用锦佰安敲诈者防御脚本"

echo "如果pc版本大于xp 服务器版本大于windows2003,请右键本文件,以管理员权限运行。"

netsh firewall set opmode enable

netsh advfirewall firewall addrule name="deny445" dir=in protocol=tcp localport=445 action=block

netsh firewall setportopening  protocol=TCP port=445mode=disable name=deny445

2.关闭135端口

在运行中输入“dcomcnfg”,然后打开“组建服务”-“计算机”-“属性”-“我的电脑属性”-“默认属性”-“在此计算机上启用分布式COM”去掉选择的勾。然后再单击“默认协议”选项卡,选中“面向连接的TCP/IP”,单击“删除”或者“移除”按钮,如图8所示。

图8关闭135端口

3.关闭139端口

139端口是为“NetBIOS Session Service”提供的,主要用于提供Windows文件和打印机共享以及Unix中的Samba服务。 单击“网络”-“本地属性”,在出现的“本地连接属性”对话框中,选择“Internet协议版本4(TCP/IPv4)”-“属性”,双击打开“高级TCP/IP设置”-“WINS”,在“NetBIOS设置”中选择“禁用TCP/IP上的NetBIOS”,如图9所示。

图9关闭139端口

4.查看端口是否开放

以后以下命令查看135、139、445已经关闭。

netstat -an | find  "445"

netstat -an | find  "139"

netstat -an | find "135"

5.开启防火墙

启用系统自带的防火墙。

6.更新系统补丁

通过360安全卫士更新系统补丁,或者使用系统自带的系统更新程序更新系统补丁。

五、安全提示

1.来历不明的文件一定不要打开

2.谨慎使用优盘,在优盘中可以建立antorun.inf文件夹防止优盘病毒自动传播

3.安装杀毒软件

4.打开防火墙

5.ATScanner(WannaCry)

http://www.antiy.com/response/wannacry/ATScanner.zip

6.蠕虫勒索软件免疫工具(WannaCry)http://www.antiy.com/response/wannacry/Vaccine_for_wannacry.zip

有关WannaCrypt勒索病毒软件的进一步分析,请关注我们的技术分析,欢迎加入安天365技术交流群(513833068)进行该技术的探讨。

时间: 2024-10-09 15:16:45

最新勒索软件WannaCrypt病毒感染前清除处理及加固的相关文章

最新勒索软件病毒防范方法及措施

antian365.com  simeon 1.事件回顾 (1)凤凰网:勒索病毒大范围传播,信息安全专家纷纷发出警告 http://news.ifeng.com/a/20170513/51086871_0.shtml (2)腾讯网:这种病毒全球大爆发!国内多所大学校园网沦陷,被黑的人都收到了勒索信 http://tech.qq.com/a/20170513/013226.htm (3)安天公司: 安天紧急应对新型"蠕虫"式勒索软件"wannacry"全球爆发 htt

针对勒索病毒WannaCrypt微软官方应对指南

如同其他大多数勒索软件一样,Ransom:Win32/WannaCrypt通过社会工程学尝试感染目标组织的环境,通常为带有恶意宏的Office文档附件的钓鱼邮件.一旦感染环境中的一台计算机后,该变种会尝试利用Microsoft在MS17-010补丁中修复的SMBv1的漏洞在内网中主动传播.这一蠕虫行为是真正让这一变种带来如此巨大影响的原因. https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx 微软于5月14日中午已

WannaCry勒索软件仅获利11万美元,什么阻止了它?

2017 年 5 月 12 日星期五上午开始,WannaCry 勒索软件在48小时内袭击了100多个国家/地区内的众多组织机构.到5月底,根据MalwareTech的统计,全球超过100多个国家共有423,804套系统受到了破坏.WannaCry 攻击破坏了关键基础设施,包括医院.电信和分销/供应链服务甚至加油站,本次攻击是迄今为止使用勒索软件发动的规模最大的全球性网络攻击. 然而,有意思的是,WannaCry勒索者并没有从这次攻击中大规模获益.根据一家位于伦敦专门追踪非法比特币使用公司Elli

勒索软件的成长史

十年前我们第一次遭遇勒索软件的威胁,这类软件挟持受害者重要文件,然后强迫受害者支付赎金,为了记录勒索软件这十年的重大里程碑,我们回顾一下他们这些年的发展和演变. 2006年:起源 2006年加密勒索软件开始出现,例如TROJ_CRYPZIP.A,它会搜寻受害者硬盘上文件,然后将文件压缩并设密码,受害者若没有备份就只能根据留下的勒索讯息,支付赎金换取密码.这是勒索软件首次向不知情的受害者诈取钱财,而且密码其实就在恶意程序中,并未加密. 2011年:实验摸索的阶段 2011年勒索软件已经接受移动支付

想了解APT与加密勒索软件?那这篇文章你绝不能错过

目前全球APT攻击趋势如何?针对APT攻击,企业应如何防护?针对最普通的APT攻击方式加密勒索软件,现今有何对策?带着这些疑问,记者采访到APT攻击方面的安全专家,来自亚信安全的APT治理战略及网关产品线总监白日和产品管理部总监徐江明. APT攻击成头号网络安全杀手自2010年开始,APT攻击就已经成为取代传统黑客攻击的一种非常重要的攻击手段,而且呈现出愈演愈烈的形势.白日认为,目前,在攻击形态上,其主要呈现为一个非常简易的.最普通的APT攻击方式--恶意加密勒索软件.在攻击目标上,其已经不仅仅

偷资料木马变身勒索软件

今年年初,趋势科技注意到旧恶意软件家族 (TSPY_USTEAL)再度出现.这数据窃取恶意软件现在加入了新功能,包括了恶意加壳(Packer).加花(Obfuscation)以及加入勒索软件-Ransomware. TSPY_USTEAL变种早在2009年就开始出现,以会窃取敏感数据着称,像是计算机详细信息和储存在浏览器内的密码.它可以作为植入程序,将它资源区段内的插件或二进制文件植入受害系统.偷来的信息会储存在一加密的.bin档案,通过FTP上传到C&C服务器.这是以前变种的部分行为,新版本中

又一手机勒索软件现身:不交赎金数据将被永久性破坏

不久前趋势科技发现了一款恶意软件:假设用户不给"赎金",病毒就会让手机变成"板砖".而近期出现的新勒索软件则会利用TOR(The Onion Router)匿名服务来隐藏C&C通讯. 依据趋势科技侦測的AndroidOS_Locker.HBT样本分析,我们发现这款恶意软件会出现画面通知用户设备已经被锁住,须要支付1000卢布的赎金来解锁.这个画面还显示:假设用户拒绝支付,那么手机上的全部数据将会被破坏. 我们所看到会出现这些行为的应用程序样本出如今了第三方应

浅谈让安全专家也头痛勒索软件有哪些

近年来,勒索软件泛滥成灾,中国网络市场也没能够幸免于难,成为主要"受灾区"之一,在过去的十年中,这种攻击已经蔓延到全球各个角落,成功攻击了数十万业务系统和家用电脑.并且,它们带来严重的影响 来了解以下几种 1.Jigsaw 每隔一定时间就删除几份文件,增强用户支付赎金的紧迫感.Jigsaw勒索软件工作方式是这样的:受害者尚未支付赎金的每个小时里,会有1份加密文件被从计算机上删除,即便赎金支付后用另一种方法解密,也恢复不了.受害者每次重启机器登录Windows系统,该恶意软件还会多删除1

加密勒索软件,一种全球性威胁

趋势科技注意到最近有大量的加密勒索软件在澳洲扩散.这一波与我们在12月初提到过在欧洲/中东/非洲(EMEA)地区所出现的大量感染很类似.根据进一步的研究和分析,我们的结论是这些攻击的幕后黑手很可能是同一个集团,因为所用的IP地址很相似. 感染途径 趋势科技的分析显示,用来识别澳洲TorrentLocker恶意软件家族的特征码也可以识别土耳其.意大利和法国的病毒爆发. 我们观察到TorrentLocker恶意软件会对澳洲和EMEA地区国家特别设定,对这些国家展示相似的付款页面.如果用户不是位于被针