1、Windows永恒之蓝勒索病毒(wannacry)处理指南一. 病毒说明近期互联网出现大量勒索软件感染情况,磁盘文件会被病毒加密,该勒索软件是此前活跃的勒索软件Wallet的一类变种,运用了高强度的加密算法难以破解,被攻击者除了支付高额赎金外,往往没有其他办法解密文件,对工作资料和个人数据造成严重损失。根据网络安全机构通报,这是不法分子利用NSA黑客武器库泄漏的“永恒之蓝”发起的病毒攻击事件。国家计算机病毒应急处理中心在5月13日发布了关于该病毒的紧急预警:关于“wannacry”勒索软件的紧急预警(2017.5.13)日前,国家计算机病毒应急处理中心通过对互联网的监测,发现一个名为“wann
2、acry”的勒索软件病毒正在全球大范围蔓延,截至目前,该病毒已经席卷包括中国、美国、俄罗斯及欧洲在内的100多个国家。我国部分高校内网、大型企业内网和政府机构专网遭受攻击。经紧急分析,判定该勒索软件是一个名为“wannacry”的新家族,基于445端口的SMB漏洞(MS17-101)进行传播,攻击者利用该漏洞,针对关闭防火墙的目标机器,通过445端口发送预先设计好的网络数据包文,实现远程代码执行。当系统被该勒索软件感染后,一是会弹出勒索对话框,采用AES和RSA加密算法加密系统中的照片、图片、文档、压缩包、音频、视频、可执行文件等类型的文件;二是会将自身复制到系统的每个文件夹下,并重命名为“W
3、anaDecryptor.exe”;三是生成随机IP并发起新的网络攻击。由于该勒索软件的加密强度大,目前被加密的文件还无法解密恢复。针对遭受攻击的情况,建议采取如下措施:1、在无法判断是否感染该勒索软件的情况下,立即断网,检查电脑主机,修复MS17-010漏洞、关闭445端口。2、对已经感染勒索软件攻击的机器建议立即隔离处置,防止感染范围进一步扩大。3、出于基于权限最小化的安全实践,建议用户关闭并非必需使用的Server服务。4、及时备份重要业务系统数据,针对重要业务终端进行系统镜像,制作足够的系统恢复盘或者设备进行替换。5、目前亚信、安天、360、北信源、瑞星5家公司已经研发出针对该病毒的最
4、新专杀工具。亚信专杀下载地址(32位):http:/support.asiainfo-亚信专杀下载地址(64位):http:/support.asiainfo-亚信专杀使用说明:http:/support.asiainfo-安天专杀下载地址:安天免疫下载地址:安天应对说明链接:360公司免疫工具下载链接:360公司专杀工具下载链接:北信源公司专杀免疫工具和说明下载链接:瑞星免疫工具下载链接:瑞星免疫工具+杀软下载链接:二. 解决办法该病毒主要通过windows的漏洞进行传播,对于这种情况,主要有以下解决办法:1、升级官方补丁,修复漏洞;2、关闭相应windows服务,阻断入侵;3、通过防火墙关
5、闭服务端口,阻止入侵;建议升级官方补丁治标治本,并且同时开启防火墙关闭不经常使用的端口,提高安全性。国内知名安全厂商360,针对本次事件推出了360 nsa武器库免疫工具包,可以提供检测及安装服务,如果检测不通过,会有如下提示:在安装完补丁后,再次检测就可以通过。360nsa武器库免疫工具下载地址:2.1、 升级补丁根据微软官方详细的补丁说明下载相应补丁,详细链接如下:针对windows XP、windows 2003、windows 8系统,微软虽然已经停止提供服务,但是因本次影响极大,官方仍然推出了补丁,顶下微软,下载链接如下:360也推出了“永恒之蓝”勒索蠕虫漏洞修复工具:针对不同的操作
6、系统版本,安装过程基本一致,但是有3点需要注意:1、确认操作系统版本,并注意操作系统是32位还是64位,对于服务器操作系统,还存在安腾版本,需下载指定的版本补丁,否则无法安装。2、对于部分版本的操作系统有Service Pack的要求,对于这种情况,需要先将操作系统升级至指定的Service Pack版本后,才可以打补丁,否则无法安装。3、补丁安装完毕后,需重启服务器生效。补丁对操作系统Service Pack要求及补丁号见下表:操作系统系统版本Service Pack要求补丁号备注Windows Vista32位SP24012598Windows Vista64位SP24012598Wind
7、ows Server 200832位SP24012598Windows Server 200864位SP24012598Windows Server 2008安腾SP24012598Windows 732位SP14012212Windows 764位SP14012212Windows Server 2008 R264位SP14012212Windows Server 2008 R2安腾SP14012212Windows 832位4012598Windows 864位4012598Windows 8.132位4012213Windows 8.164位4012213Windows Server 2
8、01264位4012214Windows Server 2012 R264位4012213Windows 1032位4012606Windows 1064位4012606Windows 10 1511版本32位4013198Windows 10 1511版本64位4013198Windows 10 1607版本32位4013429Windows 10 1607版本64位4013429Windows XP32位SP34012598Windows XP64位SP24012598Windows 200332位SP24012598Windows 200364位SP24012598Windows 200
9、3 R232位SP24012598Windows 2003 R264位SP24012598Service Pack版本升级过程,每次升级完成后需要重启才能进行下一步升级:当前系统版本升级目标版本Windows XPWindows XP x86Windows XP x86 SP3(先升级到SP2,然后升级到SP3)Windows XP x86 SP1Windows XP x86 SP3Windows XP x86 SP2Windows XP x86 SP3Windows Server 2003 x86Windows Server 2003 x86Windows Server 2003 x86 S
10、P2Windows Server 2003 x86 SP1Windows Server 2003 x86 SP2Windows VistaWindows Vista x86Windows Vista x86 SP2(先升级到SP1,然后升级到SP2)Windows Vista x86 SP1Windows Vista x86 SP2Windows 7Windows 7 x86Windows 7 x86 SP1Windows 7 x64Windows 7 x64 SP1Windows Server 2008Windows Server 2008 x86Windows Server 2008 x8
11、6 SP2Windows Server 2008 x86 SP1Windows Server 2008 x86 SP2Windows Server 2008 R2Windows Server 2008 R2 x64Windows Server 2008 R2 x64 SP12.2、 关闭服务及启用防火墙如果因其他原因无法安装操作系统补丁,建议关闭相关服务并启用防火墙。关闭服务具体操作办法见下:也可以参考下面,在我的电脑(或计算机、这台计算机)点右键,选择管理。在左侧菜单找到服务。点击服务后,在右侧窗口找到Server服务,单击Server服务,右键属性,先选择停止服务,接着将这个服务禁用。也可
12、以通过组策略来控制,具体办法如下:开启防火墙并阻止端口办法如下:a)、关闭从控制面板进入Windows防火墙,进入高级设置,在入站规则上单击右键新建入站规则,选择规则类型为端口如图,选择下一步。b)、在协议类型选择TCP,端口选择特定本地端口,填入 135,137,138,139,445端口用逗号分开如图,选择下一步。c)、在规则操作步骤,选择阻止连接,选择下一步,在配置文件步骤选择所有可以应用的网络,继续下一步,填写规则名称TCPXXXX并完成如图。1. 4d)、同理重复,创建名为UDPXXXX,且协议类型为UDP的规则(其他选项同前的步骤),并应用,可以看到防火墙中多了2条规则,如图。2.
13、3、 Windows 2000系统的处理对于windows 2000服务器系统,微软官方没有提供补丁,可以通过关闭服务、关闭端口、开启防火墙等办法解决,2.3.1、关闭服务过程和2.2类似2.3.2、开启防火墙Windows 2000没有自带防火墙,需要安装第三方防火墙软件,关闭相应端口的访问2.3.3、关闭端口关闭之前,使用netstat an | find “445”检查端口是否处于监听状态在运行窗口输入regedit,进入注册表,添加一个键值Hive: HKEY_LOCAL_MACHINEKey: SystemControlsetServicesNetBTParametersName:
14、SMBDeviceEnabledType: REG_DWORDvalue: 0修改完后重启机器,运行netstat an|find “445”,发现445端口已经没有监听。三. 常见系统补丁安装3.1 Windows xp 查看操作系统版本,右键单击桌面的“我的电脑”,然后单击“属性”如果未看到列出“64-Bit”,则表示运行的是 32 位版本的 Windows XP,根据下表,检查Service Pack是否符合要求,如果不符合要求,需先升级到指定Service Pack。操作系统系统版本SERVICE PACK要求补丁号备注Windows XP32位SP34012598Windows XP
15、64位SP24012598安装完毕后,重启计算机,通过控制面板中的添加删除程序并勾中显示更新,确认补丁已安装完毕。3.2 Windows7查看操作系统版本,右键单击桌面的“计算机”图标,然后单击“属性”通过系统类型判断是32位还是64位操作系统。根据下表,检查Service Pack是否符合要求,如果不符合要求,需先升级到指定Service Pack。操作系统系统版本Service Pack要求补丁号备注Windows 732位SP14012212Windows 764位SP14012212安装完毕后,重启计算机,通过控制面板中的程序-查看已安装的更新,确认补丁已安装完毕。3.3 Windwo
16、s 8查看操作系统版本,按如下操作(1)鼠标放在右下角就会出现如下图所示:点击【设置】(2)进入WIN8设置中再点击【更改电脑设置】(3)如下图所示:点击【电脑和设备】(4)在电脑和设备界面中点击【电脑信息】就可以看得到Win8的版本了操作系统版本为window 8 使用windows 8版本官方补丁,操作系统版本为windows 8.1使用windows 8.1版本官方补丁。通过系统类型判断是32位还是64位操作系统。Windwos 8:操作系统版本: 补丁号Windows 832位4012598Windows 864位4012598Windows 8.1 :操作系统版本: 补丁号Windo
17、ws 8.132位4012213Windows 8.164位4012213安装完毕后,重启计算机,通过控制面板中的程序-程序和功能-查看已安装的更新,确认补丁已安装完毕。3.4 Windows 10查看操作系统版本,点击桌面左下角windows图标-点击设置-系统-鼠标拖到最下点击关于显示:需要注意的win10有3个版本,通过以上的版本信息来确认使用哪个版本的补丁。通过系统类型判断是32位还是64位操作系统。操作系统系统版本Service Pack要求补丁号备注Windows 1032位4012606Windows 1064位4012606Windows 10 1511版本32位4013198
18、Windows 10 1511版本64位4013198Windows 10 1607版本32位4013429Windows 10 1607版本64位4013429安装完毕后,重启计算机,通过控制面板中的程序-程序和功能-查看已安装的更新,确认补丁已安装完毕。3.5 Windows 2008查看操作系统版本,右键单击桌面的“计算机”图标,然后单击“属性”需要注意的Windows 2008有2个版本,通过以上的版本信息来确认使用哪个版本的补丁。通过系统类型判断是32位还是64位操作系统。根据下表,检查Service Pack是否符合要求,如果不符合要求,需先升级到指定Service Pack。操作
19、系统系统版本Service Pack要求补丁号备注Windows Server 200832位SP24012598Windows Server 200864位SP24012598Windows Server 2008安腾SP24012598Windows Server 2008 R264位SP14012212Windows Server 2008 R2安腾SP14012212安装完毕后,重启计算机,通过控制面板中的程序-查看已安装的更新,确认补丁已安装完毕。3.6 Windows 2003查看操作系统版本,点击“开始”-“运行”,输入“winmsd.exe”并按回车键,即打开系统信息窗口,在系
20、统摘要栏目中找到项目“系统类型”,若对应的数值为“基于x86的PC”,则系统为32位,否则为64位。安装完毕后,重启计算机,通过控制面板中的添加删除程序并勾中显示更新,确认补丁已安装完毕。3.7 Windows 2012查看操作系统版本,右击“这台电脑”,选择属性。需要注意的windows 2012有2个版本,通过以上的版本信息来确认使用哪个版本的补丁。操作系统系统版本Service Pack要求补丁号备注Windows Server 201264位4012214Windows Server 2012 R264位4012213安装完毕后,重启计算机,通过控制面板中的程序-程序和功能-查看已安装的更新,确认补丁已安装完毕。
个人主页
