【逐日科技网】
5月12日晚,勒索病毒"WannaCry"熏染事宜发作,全球局限近百个国家遭到大规模网络攻击,被攻击者电脑中的文件被加密,被要求支付比特币以解密文件。在英国,至少有40家医疗机构内网被攻陷;而在我国,以教育网最为显著,导致部门教学系统无法正常运行,大量学生毕业论文被加密等。腾讯平安团结实验室云鼎实验室负责人董志强提醒宽大用户,勒索病毒“WannaCry”还在连续蔓延中,需要做好防护事情,谨防中招。
据了解,此次勒索病毒“Wannacry”事宜是黑客行使了去年被盗的美国国家平安局(NSA)自主设计的Windows系统黑客工具Eternal Blue“永恒之蓝”,网上泛起的相关攻击剧本和行使教程也以该破绽为主。与以往相比最大的区别在于,勒索病毒连系了蠕虫的方式举行流传。
本次事宜影响局限普遍,董志强针对事前提防、事后病毒清算和事后文件恢复三种情形向宽大用户提出处置建议:
事前预防
1. 关闭破绽端口,安装系统补丁
a) 可以接纳一些免疫工具举行自动化的补丁安装和端口屏障,好比电脑管家勒索病毒免疫工具
b) 手动关闭端口,下载安装补丁
i. 补丁下载地址
ii. 行使防火墙添加规则屏障端口
1. 开始菜单-打开控制面板-选择Windows防火墙
2. 若是防火墙没有开启,点击"启动或关闭 Windows防火墙"启用防火墙后点击" 确定"
3. 点击" 高级设置",然后左侧点击"入站规则",再点击右侧" 新建规则"
4. 在打开窗口选择选摘要确立的规则类型为"端口",并点击下一步
5. 在"特定内陆端口"处填入445并点击"下一步",选择"阻止毗邻",然后一直下一步,并给规则随意命名后点击完成即可。
注:差别系统可能有些差异,不外操作类似
iii. 腾讯云机械也可以通过设置平安组规则屏障445端口
1. 选择需要操作机械所属的平安组,点击"编辑规则"
2. 直接点击快捷设置按钮"封堵平安破绽"就可以自动添加规则
3. 该快捷按钮将会添加"137、139、445"三个端口的屏障规则,若是只想添加本次所影响的445端口,可以在保留前举行调整(如非营业需要,不建议调整)
2. 备份数据,安装平安软件,开启防护
a) 对相关重要文件接纳离线备份(纵然用U盘等方式)等方式举行备份
b) 部门电脑带有系统还原功效,可以在未遭受攻击之前设置系统还原点,这样纵然遭受攻击之后可以还原系统,找回被加密的原文件,不外还原点时间到遭受攻击时代的文件和设置将会丢失
c) 现在,大部门平安软件已经具有该勒索软件的防护能力或者其他免疫能力等,可以安装这些平安软件,如腾讯电脑管家,开启实时防护,制止遭受攻击
d) 可以接纳一些文件防护工具,举行文件的备份、防护,如电脑管家的文档守护者(电脑管家工具箱内可下载使用:工具箱-系统-文档守护者)
3. 确立灭活域名实现免疫
凭据对已有样本剖析,勒索软件存在触发机制,若是可以乐成接见,则电脑在中了勒索病毒后不会举行文件加密而直接退出。现在该域名已被平安职员注册,可以正常接见。
a) 普通用户在可以联网状态下,保证对该网址的可接见,则可以制止在遭受攻击后制止被加密(仅限于已知勒索病毒)
b) 企业用户可以通过在内网搭建Web Server,然后通过内网DNS的方式将域名解析到Web Server IP的方式来实现免疫;通过该域名的接见情形也可以监控内网病毒熏染的情形
事后病毒清算
1. 首先可以拔掉网线等方式隔离已遭受攻击电脑,制止熏染其他机械
2. 病毒清算
相关平安软件(如电脑管家)的杀毒功效能直接查杀勒索软件,可以直接举行扫描清算(已隔离的机械可以通过U盘等方式下载离线包安装);
3. 也可以在备份了相关数据后直接举行系统重装,并在重装后参考"事前预防"举行预防操作
事后文件恢复
基于现在已知的情形,当前没有完善的文件恢复方案,可以通过以下的方式恢复部门文件:
1. 勒索软件带有恢复部门加密文件的功效,可以直接通过勒索软件恢复部门文件,不外该恢复有限;直接点击勒索软件界面上的"Decrypt"可弹出恢复窗口,显示可免费恢复的文件列表,然后点击"Start"即可恢复列表中文件
2. 凭据对勒索病毒剖析,勒索软件在加密文件后会删除源文件,以是通过数据恢复软件可以有一定概率恢复已被加密的部门文件,可以使用第三方数据恢复工具实验数据恢复,云上用户可直接联系腾讯平安云鼎实验室协助处置。
现在,腾讯平安职员正时刻关注勒索病毒“WannaCry”生长情形,建议宽大用户增强网络平安意识,开启腾讯电脑管家对电脑举行实时珍爱,谨防勒索病毒扰乱。