比特币勒索 补丁
解读WCRY
此次侵略各大计算机的Wanna Decryptor是一种基于加密的勒索软件,也被称为WCRY,针对windows Vista,Windows
7和Windows 8的Windows版本,旨在通过持有数据文件乃至整个计算机来向受害者敲诈金钱(比特币形式)。
它使用AES和RSA加密方法,这意味着只能使用相应的唯一密钥来解密系统文件,由于这种勒索软件的加密强度很大,如果采用暴力破解,仍然需要极高的运算量,因此基本不可能成功解密。
该版本的WannaCry通过加密其所有文件来感染电脑,并通过SMB使用远程命令执行漏洞ms17-010,将其分发到同一网络上的其他Windows计算机上。虽然微软在今年三月已经发布了该漏洞的补丁,但是还有一些windows使用者没有及时更新。MS17-010也被称为“永恒之蓝”,与黑客组织Shadowbrokers有关。
(以上引用来自作者:MikaLeong 链接:https://www.zhihu.com/question/59765277/answer/168682746 来源:知乎)
影响范围
可以通过网站:https://intel.malwaretech.com/botnet/wcrypt 查看此次勒索病毒的影响范围
防护措施
针对未感染此病毒的用户,首先关闭 445 端口,然后安装补丁,关闭 445 端口只是暂时的缓解方法,是为了防止在安装补丁这段时间里感染病毒,最重要的还是要安装补丁,并且开启windows自动更新功能。如无特殊要求,建议安装Windows 10 系统。
- 安装检测工具
360已经针对周一上班日可能爆发病毒感染的情况,发布一款“离线救灾版”的360安全卫士(虽然现在不喜欢360,而且几乎没用任何他家的产品,不过360有时在安全方面还是很有实力的),具体详细步骤可以参考360安全卫士官方微博的文章:360紧急发布周一应对“勒索病毒”开机指南:http://weibo.com/ttarticle/p/show?id=2309404107352730142355
如果已经做了上一步,而且已经修复漏洞,那么下面就不用做了,这个病毒有效防御措施其实也就是打补丁就可好了。
如果不想使用360家的产品,也可以采用关闭 445 端口的方法先防御,然后到微软官网下载补丁的方式。
- 关闭 445 端口
依次打开控制面板-系统与安全-windows防火墙,点击左侧“启动或关闭windows防火墙”,都“启用windows防火墙”,然后点击“确定”。
点击“高级设置”
点击“入站规则”,然后点击“新建规则”
选择“端口”,然后点击“下一步”
选择“特定本地端口”,并输入445,然后点击“下一步”
选择“阻止连接”,然后点击“下一步”
默认全选即可,点击“下一步”
输入 名称,这里可以任意输入,尽量输入方便自从查看的名称,比如close 445,点击“完成”。
最后最好重启下电脑确保规则生效。
- 安装补丁
微软官方已经在2017年3月4日发布了这次漏洞的补丁:https://support.microsoft.com/zh-cn/help/4013389/title,所以如果是系统保持自动更新状态,并且已经更新了这个补丁,很大程度上会阻止这次病毒感染。
如果没有开启自动更新,或还没有安装这个补丁,建议到官网下载,MS17-010 补丁下载地址为:https://technet.microsoft.com/zh-cn/library/security/MS17-010 ,可以选择相应的版本进行下载安装。
感染后解决方案
如果不幸已经感染,以下是我所知的一些感染后的解决方案,选择适合自己的情况试试
- 交易欺骗
利用黑客在勒索赎金交易环节设计的疏忽,对其进行交易欺骗,具体操作步骤如下:
打开自己的那个勒索软件界面,点击 copy,复制黑客的比特币地址
把 copy 粘贴到 http://btc.com (区块链查询器)
在区块链查询器中找到黑客收款地址的交易记录,然后随意选择一个 txid(交易哈希值)
把 txid 复制粘贴到勒索软件中,并点击 connect us。
等黑客看到后,再点击勒索软件上的 check payment。
再点击 decrypt 解密文件即可。
- 使用开源脚本工具
使用开源的脚本(需要 Python 3 环境)来运行尝试恢复,本质与“交易欺骗”方法相同,需要 Python 3 环境,Python 3 下载地址:http://link.zhihu.com/?target=https%3A//www.python.org/ftp/python/3.6.1/python-3.6.1.exe ,
脚本下载地址:https://github.com/QuantumLiu/antiBTCHack
- 使用 360 勒索蠕虫病毒文件恢复工具
360 研发出一个紧急方案,可以部分恢复文件,具体使用方法可以参考链接:
http://weibo.com/ttarticle/p/show?id=2309404107129664487886&featurecode=20000180 ,里面已经给出了非常详细的使用步骤,可以试下。(经有人测试,此方法可以部分恢复甚至可以完全恢复被加密的文件,360应该也会继续更新这个工具,可以密切关注360的动态。因为我这里没有中毒而且没有安装360的安全工具,所以获得最新版本信息可能较迟。)
- 易我数据恢复工具
这是腾讯云鼎实验室推荐的恢复工具,具体效果未知,可以尝试下,具体使用方法参见:WannaCry 勒索病毒数据恢复指引:https://zhuanlan.zhihu.com/p/26896961?utm_source=qq&utm_medium=social
- 缴纳赎金
如果你的电脑里真的有非常重要的资料,价值超过赎金,并且没有备份,在尝试以上多种方法后都没有效果,而且需要急用,那么缴纳赎金试试吧,虽然也不一定会解密,但没有办法下也只好试试了。
- 重装系统
如对系统无特殊要求,建议安装 windows 10 系统,根据我自身使用 win XP,win 7、win 8 和 win 10 的体验而言,win 10 是最好用的,使用起来最方便好用,如果不想让 win 10 自动更新,可以安装 win 10 企业版,在策略组里设置更新频率,win 10 详细安装过程参考:http://blog.csdn.net/u012318074/article/details/54782984
建议
这次勒索病毒大规模泛滥,与一直存在的部分教育网安全意识差,使用系统版本老旧有关,而且普遍用户没有安全意识,使用老旧系统、关闭系统更新、重要数据不做备份。
对于普通用户的建议:
1. 使用 win 10 系统;
2. 及时更新系统,养成良好的安全意识;
3. 重要数据进行备份,可以是移动硬盘或网盘,网盘推荐百度云和坚果云。
相关阅读
现在很多用户都会使用迅雷下载工具,不过由于迅雷软件不兼容win10系统补丁,导致用户更新一些补丁后出现迅雷老是崩溃的情况,那么遇到w
进入版权时代后,很多追剧党因为种种原因无法观看到自己喜欢的热剧。一些剧质量不佳,好剧又被迫下架,一些列问题也引发不少追剧党的吐
本章内容提要软件配置管理的作用软件配置管理的相关概念建立软件配置管理环境版本控制系统集成分支管理变更管理配置审计和配置状
移动设备已成为我们生活中最重要的工具,力量越大,责任越大。由于移动端是一个私人媒介,对营销人员而言,在营销过程中如何避开哪些&ldq
上个月的一天,接