返回列表
Windows勒索病毒最全攻略���、補丁下載
發(fā)布時間:2017-05-13
5月12日起���,Onion�、WNCRY兩類敲詐者病毒變種在全國乃至全世界大范圍內(nèi)出現(xiàn)爆發(fā)態(tài)勢����,大量個人和企業(yè)、機構(gòu)用戶中招��。
與以往不同的是�����,這次的新變種病毒添加了NSA(美國國家安全局)黑客工具包中的“永恒之藍”0day漏洞利用����,通過445端口(文件共享)在內(nèi)網(wǎng)進行蠕蟲式感染傳播。
沒有安裝安全軟件或及時更新系統(tǒng)補丁的其他內(nèi)網(wǎng)用戶極有可能被動感染�����,所以目前感染用戶主要集中在企業(yè)����、高校等內(nèi)網(wǎng)環(huán)境下。
一旦感染該蠕蟲病毒變種�,系統(tǒng)重要資料文件就會被加密��,并勒索高額的比特幣贖金,折合人民幣2000-50000元不等���。
從目前監(jiān)控到的情況來看���,全網(wǎng)已經(jīng)有數(shù)萬用戶感染,QQ��、微博等社交平臺上也是哀鴻遍野���,后續(xù)威脅也不容小覷��。
敲詐勒索病毒+遠程執(zhí)行漏洞蠕蟲傳播的組合致使危險度劇增����,對近期國內(nèi)的網(wǎng)絡(luò)安全形勢一次的嚴峻考驗����。
事發(fā)后,微軟和各大安全公司都第一時間跟進�����,更新旗下安全軟件。金山毒霸也特別針對本次敲詐者蠕蟲�,給出了詳細的安全防御方案、傳播分析��,以及其他安全建議�。
我們也匯總了所有Windows系統(tǒng)版本的補丁,請大家務(wù)必盡快安裝更新��。
【傳播感染背景】
本輪敲詐者蠕蟲病毒傳播主要包括Onion�����、WNCRY兩大家族變種�����,首先在英國�����、俄羅斯等多個國家爆發(fā)���,有多家企業(yè)��、醫(yī)療機構(gòu)的系統(tǒng)中招�����,損失非常慘重����。
安全機構(gòu)全球監(jiān)測已經(jīng)發(fā)現(xiàn)目前多達74個國家遭遇本次敲詐者蠕蟲攻擊�。
從5月12日開始,國內(nèi)的感染傳播量也開始急劇增加��,在多個高校和企業(yè)內(nèi)部集中爆發(fā)并且愈演愈烈��。
全球74個國家遭遇Onion���、WNCRY敲詐者蠕蟲感染攻擊
24小時內(nèi)監(jiān)測到的WNCRY敲詐者蠕蟲攻擊次數(shù)超過10W+
本次感染急劇爆發(fā)的主要原因在于其傳播過程中使用了前段時間泄漏的美國國家安全局(NSA)黑客工具包中的“永恒之藍”漏洞(微軟3月份已經(jīng)發(fā)布補丁����,漏洞編號MS17-010)��。
和歷史上的“震蕩波”�、“沖擊波”等大規(guī)模蠕蟲感染類似�����,本次傳播攻擊利用的“永恒之藍”漏洞可以通過445端口直接遠程攻擊目標主機����,傳播感染速度非常快���。
本次敲詐者蠕蟲病毒變種通過“永恒之藍”漏洞進行網(wǎng)絡(luò)攻擊
雖然國內(nèi)部分網(wǎng)絡(luò)運營商已經(jīng)屏蔽掉個人用戶的445網(wǎng)絡(luò)端口����,但是在教育網(wǎng)、部分運行商的大局域網(wǎng)、校園企業(yè)內(nèi)網(wǎng)依舊存在大量暴漏的攻擊目標��。
對于企業(yè)來說尤其嚴重�,一旦內(nèi)部的關(guān)鍵服務(wù)器系統(tǒng)遭遇攻擊,帶來的損失不可估量��。
從檢測到反饋情況看�����,國內(nèi)多個高校都集中爆發(fā)了感染傳播事件����,甚至包括機場航班信息���、加油站等終端系統(tǒng)遭受影響�,預(yù)計近期由本次敲詐者蠕蟲病毒造成的影響會進一步加劇����。
全國各地的高校內(nèi)網(wǎng)的敲詐者蠕蟲感染攻擊爆發(fā)
某高校機房全部遭遇WNCRY敲詐者蠕蟲攻擊
國內(nèi)某地加油站系統(tǒng)遭遇本次敲詐者蠕蟲變種攻擊
某機場航班信息終端同樣遭遇了敲詐者蠕蟲攻擊
【敲詐蠕蟲病毒感染現(xiàn)象】
中招系統(tǒng)中的文檔����、圖片、壓縮包����、影音等常見文件都會被病毒加密,然后向用戶勒索高額比特幣贖金����。
WNCRY變種一般勒索價值300-600美金的比特幣,Onion變種甚至要求用戶支付3個比特幣��,以目前的比特幣行情�,折合人民幣在3萬左右。
此類病毒一般使用RSA等非對稱算法���,沒有私鑰就無法解密文件�。WNCRY敲詐者病毒要求用戶在3天內(nèi)付款�����,否則解密費用翻倍,并且一周內(nèi)未付款將刪除密鑰導(dǎo)致無法恢復(fù)�。
從某種意義上來說,這種敲詐者病毒“可防不可解”�,需要安全廠商和用戶共同加強安全防御措施和意識。
感染W(wǎng)NCRY勒索病毒的用戶系統(tǒng)彈出比特幣勒索窗口
用戶文件資料被加密,后綴改為“wncry”��,桌面被改為勒索恐嚇
對部分變種的比特幣支付地址進行追蹤發(fā)現(xiàn)���,目前已經(jīng)有少量用戶開始向病毒作者支付勒索贖金����。
從下圖中我們可以看到這個變種的病毒作者已經(jīng)收到19個用戶的比特幣贖金����,累計3.58個比特幣�����,市值約人民幣4萬元�����。
某個敲詐者蠕蟲的比特幣支付信息追蹤
【防御措施建議】
1��、安裝殺毒軟件���,保持安全防御功能開啟����,比如金山毒霸已可攔截(下載地址http://www.duba.net)�,微軟自帶的Windows Defender也可以。
金山毒霸查殺WNCRY敲詐者蠕蟲病毒
金山毒霸敲詐者病毒防御攔截WNCRY病毒加密用戶文件
2、打開Windows Update自動更新�,及時升級系統(tǒng)。
微軟在3月份已經(jīng)針對NSA泄漏的漏洞發(fā)布了MS17-010升級補丁�,包括本次被敲詐者蠕蟲病毒利用的“永恒之藍”漏洞,同時針對停止支持的Windows XP����、Windows Server 2003、Windows 8也發(fā)布了專門的修復(fù)補丁���。
最新版的Windows 10 1703創(chuàng)意者更新已經(jīng)不存在此漏洞,不需要補丁����。
各系統(tǒng)補丁官方下載地址如下:
【KB4012598】:http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
適用于Windows XP 32位/64位/嵌入式、Windows Vista 32/64位�、Windows Server 2003 SP2 32位/64位���、Windows 8 32位/64位、Windows Server 2008 32位/64位/安騰
【KB4012212】:http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212
適用于Windows 7 32位/64位/嵌入式�、Windows Server 2008 R2 32位/64位
【KB4012213】:http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4012213
適用于Windows 8.1 32位/64位、Windows Server 2012 R2 32位/64位
【KB4012214】:http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4012214
適用于Windows 8嵌入式�����、Windows Server 2012
【KB4012606】:http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012606
適用于Windows 10 RTM 32位/64位/LTSB
【KB4013198】:http://www.catalog.update.microsoft.com/Search.aspx?q=KB4013198
適用于Windows 10 1511十一月更新版32/64位
【KB4013429】:http://www.catalog.update.microsoft.com/Search.aspx?q=KB4013429
適用于Windows 10 1607周年更新版32/64位��、Windows Server 2016 32/64位
3�����、Windows XP���、Windows Server 2003系統(tǒng)用戶還可以關(guān)閉445端口�,規(guī)避遭遇此次敲詐者蠕蟲病毒的感染攻擊���。
步驟如下:
(1)�����、開啟系統(tǒng)防火墻保護���。控制面板->安全中心->Windows防火墻->啟用���。
開啟系統(tǒng)防火墻保護
(2)、關(guān)閉系統(tǒng)445端口����。
(a)、快捷鍵WIN+R啟動運行窗口�����,輸入cmd并執(zhí)行�,打開命令行操作窗口,輸入命令“netstat -an”����,檢測445端口是否開啟��。
(b)���、如上圖假如445端口開啟,依次輸入以下命令進行關(guān)閉:
net stop rdr / net stop srv / net stop netbt
功后的效果如下:
4、謹慎打開不明來源的網(wǎng)址和郵件�,打開Office文檔的時候禁用宏開啟,網(wǎng)絡(luò)掛馬和釣魚郵件一直是國內(nèi)外勒索病毒傳播的重要渠道�����。
釣魚郵件文檔中暗藏勒索者病毒�����,誘導(dǎo)用戶開啟宏運行病毒
5����、養(yǎng)成良好的備份習(xí)慣,及時使用網(wǎng)盤或移動硬盤備份個人重要文件��。
本次敲詐者蠕蟲爆發(fā)事件中�����,國內(nèi)很多高校和企業(yè)都遭遇攻擊�,很多關(guān)鍵重要資料都被病毒加密勒索,希望廣大用戶由此提高重要文件備份的安全意識�。
2017-05-14更新:金山毒霸發(fā)布比特幣勒索病毒免疫工具:免費恢復(fù)文件
面對肆虐的Onion、WNCRY兩類勒索病毒變種在全國范圍內(nèi)出現(xiàn)爆發(fā)的情況����,金山毒霸中心已緊急發(fā)布比特幣勒索病毒免疫工具及應(yīng)急處置方案。
據(jù)悉�,勒索病毒變種增加了NSA黑客工具包中的“永恒之藍”0day漏洞利用,可在局域網(wǎng)內(nèi)蠕蟲式主動傳播����,未修補漏洞的系統(tǒng)會被迅速感染,勒索高額的比特幣贖金折合人民幣2000~50000不等。
目前已證實受感染的電腦集中在企事業(yè)單位�����、政府機關(guān)����、高校等內(nèi)網(wǎng)環(huán)境���。毒霸安全專家指出����,病毒加密用戶文檔后會刪除原文件�,所以,存在一定機會恢復(fù)部分或全部被刪除的原文件�。建議電腦中毒后,盡量減少操作����,及時使用專業(yè)數(shù)據(jù)恢復(fù)工具,恢復(fù)概率較高�。
金山毒霸11下載(推薦!攔截敲詐病毒):戳此
專殺免疫工具:戳此直接下載
詳細教程:
檢測當前電腦是否有免疫比特幣勒索病毒攻擊
已成功免疫效果如下圖
我們知道����,那些已經(jīng)被加密的數(shù)據(jù)文件,在沒有取得密鑰的情況下���,解密基本沒有可能���。但在了解到病毒加密的原理之后,發(fā)現(xiàn)仍有一定機會找回原始文件:病毒加密原文件時����,會刪除原文件,被簡單刪除文件的硬盤只要未進行大量寫入操作�,就存在成功恢復(fù)的可能�����。
使用金山毒霸數(shù)據(jù)恢復(fù)找回受損前的文檔
請使用免費帳號ksda679795862����,密碼:kingsoft�����,來啟用金山毒霸的數(shù)據(jù)恢復(fù)功能�����。
1.選擇刪除文件恢復(fù)
2.選擇掃描對象:在界面中選擇文件丟失前所在的磁盤或文件夾����,然后點擊“開始掃描”。
3.掃描過程:文件數(shù)量越多���,掃描時間越長����,請耐心等待���。(一般掃描速度2分鐘3G)
4.掃描完結(jié)果預(yù)覽:點擊文件可進行預(yù)覽����,可預(yù)覽的就是可有機會成功恢復(fù)的。勾選需要恢復(fù)文件(夾)����,點擊開始恢復(fù)即可恢復(fù)文件。
5.選擇恢復(fù)路徑:恢復(fù)的文件將保存再您選擇的文件夾路徑��,請選擇您要恢復(fù)到哪個文件夾��。(強烈建議將要恢復(fù)的文件保存到其他硬盤���,而非丟失文件的硬盤,以避免造成二次損傷�。)
6.查看恢復(fù)結(jié)果:恢復(fù)的文件夾將保存在您選擇的文件夾路徑���,打開目錄可檢查恢復(fù)的文件。
以下幾種情況需要注意:
1.掃描出來的照片、office文檔��,顯示不可預(yù)覽的�,是無法恢復(fù)的����。(無法預(yù)覽office文檔���,表示文檔已部分受損)
2.不支持預(yù)覽的文件類型�����,只能恢復(fù)后才能知道是否可以正常使用
3.使用誤刪除文件功能��,掃描完后�,每個文件會有恢復(fù)概率顯示���,恢復(fù)概率高����,恢復(fù)成功率就高
4.視頻文件極易產(chǎn)生碎片和數(shù)據(jù)覆蓋���,所以視頻文件完全恢復(fù)的可能性很小��。
5.物理損壞的硬盤或其他存儲介質(zhì)�����,恢復(fù)后的文件可能是已損壞的文件����。
