北京时间5月12日开始,全球范围内爆发了基于Windows网络共享协议进行攻击传播的“永恒之蓝”勒索病毒,目前已有100多个国家和地区的数万台电脑遭勒索病毒感染,我国部分Windows系列操作系统用户已经遭到感染。
今日,曾先后为北京奥运会、G20杭州峰会等重大活动提供全方位网络信息安全保障的杭州安恒信息,通过官方微信发布了关于如何处理勒索病毒的办法。客户端小编基于此为大家梳理了一份网络安全手册,保证小白都能看得懂。
该勒索病毒名为“永恒之蓝”,伪装为Windows系统文件,用户一旦感染,电脑中大多数文件类型均会被加密,然后向用户勒索价值300或600美金的比特币。该病毒影响所有Windows操作系统。
请广大计算机用户尽快升级安装补丁,地址为https://technet.microsoft.com/zh-cn/library/security/MS17-010.aspx
Windows 2003和XP没有官方补丁,相关用户可打开并启用Windows防火墙,进入“高级设置”,禁用“文件和打印机共享”设置;或启用个人防火墙关闭445以及135、137、138、139等高风险端口。
已感染病毒机器请立即断网,避免进一步传播感染。
关于尚未感染的用户群体的详细防护步骤如下:
1. 关闭网络,开启系统防火墙;
2. 利用系统防火墙高级设置阻止向445端口进行连接(该操作会影响使用445端口的服务)及网络共享;
3. 打开网络,开启系统自动更新,并检测更新进行安装;
360公司发布的“比特币勒索病毒”免疫工具下载地址:
http://dl.360safe.com/nsa/nsatool.exe
Win7、Win8、Win10操作指南:
1. 关闭网络:拔下网线,关闭无线路由器,已开机PC可关闭本机无线网卡,或禁用网络连接
2. 打开控制面板-系统与安全-Windows防火墙,点击左侧启动或关闭Windows防火墙
3. 选择启动防火墙,并点击确定
4. 点击高级设置
5. 点击入站规则,新建规则,以445端口为例
6. 选择端口、下一步
7. 选择特定本地端口,输入445,下一步
8. 选择阻止连接,下一步
9. 配置文件,全选,下一步
10. 名称,可以任意输入,完成即可
11. 插入网线,启用网卡,恢复网络
12. 开启系统自动更新,并检测更新进行安装
注:在系统更新完成后,如果业务需要使用SMB服务,将上面设置的防火墙入站规则删除即可。
XP系统操作流程
1. 依次打开控制面板,安全中心,Windows防火墙,选择启用
2. 通过注册表关闭445端口,单击“开始”——“运行”,输入“regedit”,单击“确定”按钮,打开注册表
3. 找到HKEY_LOCAL_MACHINE\System\Controlset\Services\NetBT\Parameters
选择“Parameters”项,右键单击
选择“新建”——“DWORD值”
4. 将DWORD值命名为
“SMBDeviceEnabled”值修改为0
5. 重启机器,查看445端口连接是否已经没有了
6. 鉴于本次WannaCry蠕虫事件的影响巨大,微软总部决定对已停服的XP和部分服务器版本发布特别补丁,微软公告详情 https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/
被感染的用户补救方案
1. 首先拔掉网线,与内网其他机器隔离;
2. 参考“二、开机防护操作指南”操作免疫;
3. 使用蠕虫勒索软件专杀工具(WannaCry)清除病毒;
4. 使用PE盘进入操作系统,将可用文件进行备份,并对备份数据进行离线处理;
5. 如果重装系统,重装后重复第二步和第三步的步骤,并参考做好防护工作。
有关勒索病毒的更多相关消息,请点击勒索病毒出现变种 传播速度可能会更快》》
(综合人民网、国家网络与信息安全通报中心、钱江晚报)