1. 程式人生 > >最新勒索軟件WannaCrypt病毒感染前清除處理及加固

最新勒索軟件WannaCrypt病毒感染前清除處理及加固

在線 中國 第一時間 加固 軟件 最新勒索軟件

昨天、今天、乃至最近一段時間,安全圈甚至全中國將聚焦在勒索病毒“WannaCrypt”,很多人都以為安全離我很遠,其實不然,過去病毒可能僅僅是在線攻擊,而今天出現的“WannaCrypt”勒索病毒達到一定條件後,將感染內網,註意是內網!當然外網也是感染對象,目前國內很多高校、政府、企業和個人均出現了大面積的感染。很多安全公司將其定義為“蠕蟲”病毒,其危害相當巨大,一旦被感染,只有兩種途徑來解決,一種是支付贖金,另外一種就是重裝系統,所有資料全部歸零。通過筆者分析,如果是在病毒WannaCrypt發作前,能夠成功清除病毒,將可以救回系統,減少損失!

記住在病毒發作的兩個小時內清除病毒效果最佳,錯過以後,及時關機,病毒也會繼續計算時間!也就是說最佳處理時間是病毒感染的兩個小時內!

一、最重要的事情

先進行本文的第三部分,對系統進行查看有無病毒,如果有則可以參考以下步驟:

1.第一時間徹底清除病毒。

2.拔掉網線,防止再次被感染!

3.使用安全優盤進行系統文件備份,如果沒有優盤,則可以將需要備份的文件先行壓縮為rar文件,然後再修改為.exe文件。

4.WannaCrypt目前不對exe文件進行加密,文件處理好以後再進行加固!

二、病毒原始文件分析

1.文件名稱及大小

本次捕獲到病毒樣本文件三個,mssecsvc.exeqeriuwjhrftasksche.exe,如圖1所示,根據其md5校驗值,tasksche.exeqeriuwjhrf文件大小為3432KBmssecsvc.exe大小為

3636KB

2.md5校驗值

使用md5計算工具對以上三個文件進行md5值計算,其md5校驗值分別如下:

tasksche.exe 8b2d830d0cf3ad16a547d5b23eca2c6e

mssecsvc.exe 854455f59776dc27d4934d8979fa7e86

qeriuwjhrf: 8b2d830d0cf3ad16a547d5b23eca2c6e

技術分享

1 勒索軟件病毒基本情況

3.查看病毒文件

1)系統目錄查看

文件一般位於系統盤下的windows目錄,例如c:\windows\,通過命令提示符進入:

cd c:\windows\

dir /od /a *.exe

2)全盤查找

dir /od /s tasksche.exe

dir /od /s mssecsvc.exe

4.病毒現象

1)通過netstat –an命令查看網絡連接,會發現網絡不停的對外發送SYN_SENT包,如圖2所示。

技術分享

2對外不斷的發送445連接包

2)病毒服務

通過Autoruns安全分析工具,可以看到在服務中存在“fmssecsvc2.0”服務名稱,該文件的時間戳為2010112017:03分。

技術分享

三、殺毒方法

1.設置查看文件選項

由於病毒設置了隱藏屬性,正常情況下無法查看該文件,需要對文件查看進行設置,即在資源管理器中單擊“工具”-“文件夾選項”,如圖4所示。

技術分享

4 打開文件夾選項設置

去掉“隱藏受保護的操作系統文件(推薦)”、選擇“顯示隱藏的文件、文件夾和驅動器”、去掉“隱藏已知文件類型的擴展名”,如圖5所示,即可查看在windows目錄下的病毒隱藏文件。

技術分享

5文件夾查看選項設置

2.結束進程

通過任務管理器,在任務欄上右鍵單擊選擇“啟動任務管理器”,從進程中去查找mssecsvc.exetasksche.exe文件,選中mssecsvc.exetasksche.exe,右鍵單擊選擇“結束進程樹”將病毒程序結束,又可能會反復啟動,結束動作要快。

3.刪除程序

windows目錄將三個文件按照時間排序,一般會顯示今天或者比較新的時期,將其刪除,如果進程結束後,又啟動可來回刪除和結束。直到將這三個文件刪除為止,有可能到寫本文章的時候,已經有病毒變體,但方法相同,刪除新生成的文件。

4.再次查看網絡

使用netstat –an命令再次查看網絡連接情況,無對外連接情況,一切恢復正常。

可以使用安全計算機下載安全工具Autoruns以及ProcessExplorer,通過光盤刻錄軟件,到感染病毒計算機中進行清除病毒!軟件下載地址:

https://download.sysinternals.com/files/Autoruns.zip

https://download.sysinternals.com/files/ProcessExplorer.zip

註意,本文所指清除病毒是指勒索軟件還未對系統軟件進行加密!如果在桌面出現黃色小圖標,桌面背景有紅色英文字體顯示(桌面有窗口彈出帶鎖圖片,Wana Decryptor2.0),這表明系統已經被感染了。

四、安全加固

1.關閉445端口

1)手工關閉

在命令提示符下輸入“regedit”,依次打開“HKEY_LOCAL_MACHINE-System-Controlset”“Services-NetBT-Parameters”,在其中選擇“新建”——“DWORD值”,將DWORD值命名為“SMBDeviceEnabled”,並通過修改其值設置為“0”,如圖6所示,需要特別註意一定不要將SMBDeviceEnabled寫錯了!否則沒有效果!

技術分享

6註冊表關閉445端口

查看本地連接屬性,將去掉“Microsoft網絡的文件和打印機共享”前面的勾選,如圖7所示。

技術分享

7取消網絡文件以及打印機共享

2)使用錦佰安提供的腳本進行關閉,在線下載腳本地址:http://www.secboot.com/445.zip,腳本代碼如下:

echo "歡迎使用錦佰安敲詐者防禦腳本"

echo "如果pc版本大於xp 服務器版本大於windows2003,請右鍵本文件,以管理員權限運行。"

netsh firewall set opmode enable

netsh advfirewall firewall addrule name="deny445" dir=in protocol=tcp localport=445 action=block

netsh firewall setportopening protocol=TCP port=445mode=disable name=deny445

2.關閉135端口

在運行中輸入“dcomcnfg”,然後打開“組建服務”-“計算機”-“屬性”-“我的電腦屬性”-“默認屬性”-“在此計算機上啟用分布式COM”去掉選擇的勾。然後再單擊“默認協議”選項卡,選中“面向連接的TCP/IP”,單擊“刪除”或者“移除”按鈕,如圖8所示。

技術分享

8關閉135端口

3.關閉139端口

139端口是為“NetBIOS Session Service”提供的,主要用於提供Windows文件和打印機共享以及Unix中的Samba服務。 單擊“網絡”-“本地屬性”,在出現的“本地連接屬性”對話框中,選擇“Internet協議版本4TCP/IPv4)”-“屬性”,雙擊打開“高級TCP/IP設置”-WINS”,在“NetBIOS設置”中選擇“禁用TCP/IP上的NetBIOS”,如圖9所示。

技術分享

9關閉139端口

4.查看端口是否開放

以後以下命令查看135139445已經關閉。

netstat -an | find "445"

netstat -an | find "139"

netstat -an | find "135"

5.開啟防火墻

啟用系統自帶的防火墻。

6.更新系統補丁

通過360安全衛士更新系統補丁,或者使用系統自帶的系統更新程序更新系統補丁。

五、安全提示

1.來歷不明的文件一定不要打開

2.謹慎使用優盤,在優盤中可以建立antorun.inf文件夾防止優盤病毒自動傳播

3.安裝殺毒軟件

4.打開防火墻

5.ATScannerWannaCry

http://www.antiy.com/response/wannacry/ATScanner.zip

6.蠕蟲勒索軟件免疫工具(WannaCryhttp://www.antiy.com/response/wannacry/Vaccine_for_wannacry.zip

有關WannaCrypt勒索病毒軟件的進一步分析,請關註我們的技術分析,歡迎加入安天365技術交流群(513833068)進行該技術的探討。


本文出自 “simeon技術專欄” 博客,請務必保留此出處http://simeon.blog.51cto.com/18680/1925518

最新勒索軟件WannaCrypt病毒感染前清除處理及加固