Wanna Decryptor(WCRY)比特幣勒索軟體一些解決方案
解讀WCRY
此次侵略各大計算機的Wanna Decryptor是一種基於加密的勒索軟體,也被稱為WCRY,針對Windows Vista,Windows
7和Windows 8的Windows版本,旨在通過持有資料檔案乃至整個計算機來向受害者敲詐金錢(比特幣形式)。它使用AES和RSA加密方法,這意味著只能使用相應的唯一金鑰來解密系統檔案,由於這種勒索軟體的加密強度很大,如果採用暴力破解,仍然需要極高的運算量,因此基本不可能成功解密。
該版本的WannaCry通過加密其所有檔案來感染電腦,並通過SMB使用遠端命令執行漏洞MS17-010,將其分發到同一網路上的其他Windows計算機上。雖然微軟在今年三月已經發布了該漏洞的補丁,但是還有一些windows使用者沒有及時更新。MS17-010也被稱為“永恆之藍”,與黑客組織Shadowbrokers有關。
影響範圍
防護措施
針對未感染此病毒的使用者,首先關閉 445 埠,然後安裝補丁,關閉 445 埠只是暫時的緩解方法,是為了防止在安裝補丁這段時間裡感染病毒,最重要的還是要安裝補丁,並且開啟windows自動更新功能。如無特殊要求,建議安裝Windows 10 系統。
- 安裝檢測工具
如果已經做了上一步,而且已經修復漏洞,那麼下面就不用做了,這個病毒有效防禦措施其實也就是打補丁就可好了。
如果不想使用360家的產品,也可以採用關閉 445 埠的方法先防禦,然後到微軟官網下載補丁的方式。
- 關閉 445 埠
依次開啟控制面板-系統與安全-windows防火牆,點選左側“啟動或關閉windows防火牆”,都“啟用windows防火牆”,然後點選“確定”。
點選“高階設定”
點選“入站規則”,然後點選“新建規則”
選擇“埠”,然後點選“下一步”
選擇“特定本地埠”,並輸入445,然後點選“下一步”
選擇“阻止連線”,然後點選“下一步”
預設全選即可,點選“下一步”
輸入 名稱,這裡可以任意輸入,儘量輸入方便自從檢視的名稱,比如close 445,點選“完成”。
最後最好重啟下電腦確保規則生效。
- 安裝補丁
感染後解決方案
如果不幸已經感染,以下是我所知的一些感染後的解決方案,選擇適合自己的情況試試
- 交易欺騙
利用黑客在勒索贖金交易環節設計的疏忽,對其進行交易欺騙,具體操作步驟如下:
開啟自己的那個勒索軟體介面,點選 copy,複製黑客的比特幣地址
在區塊鏈查詢器中找到黑客收款地址的交易記錄,然後隨意選擇一個 txid(交易雜湊值)
把 txid 複製貼上到勒索軟體中,並點選 connect us。
等黑客看到後,再點選勒索軟體上的 check payment。
再點選 decrypt 解密檔案即可。
- 使用開源指令碼工具
- 使用 360 勒索蠕蟲病毒檔案恢復工具
360 研發出一個緊急方案,可以部分恢復檔案,具體使用方法可以參考連結:
http://weibo.com/ttarticle/p/show?id=2309404107129664487886&featurecode=20000180 ,裡面已經給出了非常詳細的使用步驟,可以試下。(經有人測試,此方法可以部分恢復甚至可以完全恢復被加密的檔案,360應該也會繼續更新這個工具,可以密切關注360的動態。因為我這裡沒有中毒而且沒有安裝360的安全工具,所以獲得最新版本資訊可能較遲。)
- 易我資料恢復工具
- 繳納贖金
如果你的電腦裡真的有非常重要的資料,價值超過贖金,並且沒有備份,在嘗試以上多種方法後都沒有效果,而且需要急用,那麼繳納贖金試試吧,雖然也不一定會解密,但沒有辦法下也只好試試了。
- 重灌系統
如對系統無特殊要求,建議安裝 windows 10 系統,根據我自身使用 win XP,win 7、win 8 和 win 10 的體驗而言,win 10 是最好用的,使用起來最方便好用,如果不想讓 win 10 自動更新,可以安裝 win 10 企業版,在策略組裡設定更新頻率,win 10 詳細安裝過程參考:http://blog.csdn.net/u012318074/article/details/54782984
建議
這次勒索病毒大規模氾濫,與一直存在的部分教育網安全意識差,使用系統版本老舊有關,而且普遍使用者沒有安全意識,使用老舊系統、關閉系統更新、重要資料不做備份。
對於普通使用者的建議:
1. 使用 win 10 系統;
2. 及時更新系統,養成良好的安全意識;
3. 重要資料進行備份,可以是行動硬碟或網盤,網盤推薦百度雲和堅果雲。