最新勒索軟件病毒感染前清除處理及加固


    昨天、今天、乃至最近一段時間,安全圈甚至全中國將聚焦在勒索病毒“WannaCrypt”,很多人都以為安全離我很遠,其實不然,過去病毒可能僅僅是在線攻擊,而今天出現的“WannaCrypt”勒索病毒達到一定條件後,將感染內網,注意是內網!當然外網也是感染對象,目前國內很多高校、政府、企業和個人均出現了大麵積的感染。

    很多安全公司將其定義為“蠕蟲”病毒,其危害相當巨大,一旦被感染,隻有兩種途徑來解決,一種是支付贖金,另外一種就是重裝係統,所有資料全部歸零。通過筆者分析,如果是在病毒WannaCrypt發作前,能夠成功清除病毒,將可以救回係統,減少損失!

一、最重要的事情

先進行本文的第三部分,對係統進行查看有無病毒,如果有則可以參考以下步驟:

1.第一時間徹底清除病毒。

2.拔掉網線,防止再次被感染!

3.使用安全優盤進行係統文件備份,如果沒有優盤,則可以將需要備份的文件先行壓縮為rar文件,然後再修改為.exe文件。

4.WannaCrypt目前不對exe文件進行加密,文件處理好以後再進行加固!

二、病毒原始文件分析

 1.文件名稱及大小

本次捕獲到病毒樣本文件三個,mssecsvc.exe、qeriuwjhrf、tasksche.exe,如圖1所示,根據其md5校驗值,tasksche.exe和qeriuwjhrf文件大小為3432KB,mssecsvc.exe大小為3636KB。

2.md5校驗值

使用md5計算工具對以上三個文件進行md5值計算,其md5校驗值分別如下:

tasksche.exe  8b2d830d0cf3ad16a547d5b23eca2c6e

mssecsvc.exe  854455f59776dc27d4934d8979fa7e86

qeriuwjhrf:   8b2d830d0cf3ad16a547d5b23eca2c6e

圖1 勒索軟件病毒基本情況

3.查看病毒文件

(1)係統目錄查看

文件一般位於係統盤下的windows目錄,例如c:\windows\,通過命令提示符進入:

cd c:\windows\

dir /od /a *.exe

   (2)全盤查找

dir /od /s tasksche.exe

dir /od /s mssecsvc.exe

4.病毒現象

(1)通過netstat –an命令查看網絡連接,會發現網絡不停的對外發送SYN_SENT包,如圖2所示。

圖2對外不斷的發送445連接包

(2)病毒服務

   通過Autoruns安全分析工具,可以看到在服務中存在“fmssecsvc2.0”服務名稱,該文件的時間戳為2010年11月20日17:03分。

三、殺毒方法

   1.設置查看文件選項

由於病毒設置了隱藏屬性,正常情況下無法查看該文件,需要對文件查看進行設置,即在資源管理器中單擊“工具”-“文件夾選項”,如圖4所示。

圖4 打開文件夾選項設置

去掉“隱藏受保護的操作係統文件(推薦)”、選擇“顯示隱藏的文件、文件夾和驅動器”、去掉“隱藏已知文件類型的擴展名”,如圖5所示,即可查看在windows目錄下的病毒隱藏文件。

圖5文件夾查看選項設置

2.結束進程

   通過任務管理器,在任務欄上右鍵單擊選擇“啟動任務管理器”,從進程中去查找mssecsvc.exe和tasksche.exe文件,選中mssecsvc.exe和tasksche.exe,右鍵單擊選擇“結束進程樹”將病毒程序結束,又可能會反複啟動,結束動作要快。

3.刪除程序

到windows目錄將三個文件按照時間排序,一般會顯示今天或者比較新的時期,將其刪除,如果進程結束後,又啟動可來回刪除和結束。直到將這三個文件刪除為止,有可能到寫本文章的時候,已經有病毒變體,但方法相同,刪除新生成的文件。

4.再次查看網絡

使用netstat –an命令再次查看網絡連接情況,無對外連接情況,一切恢複正常。

可以使用安全計算機下載安全工具Autoruns以及ProcessExplorer,通過光盤刻錄軟件,到感染病毒計算機中進行清除病毒!軟件下載地址:

https://download.sysinternals.com/files/Autoruns.zip

https://download.sysinternals.com/files/ProcessExplorer.zip

注意,本文所指清除病毒是指勒索軟件還未對係統軟件進行加密!如果在桌麵出現黃色小圖標,桌麵背景有紅色英文字體顯示(桌麵有窗口彈出帶鎖圖片,Wana Decryptor2.0),這表明係統已經被感染了。

四、安全加固

1.關閉445端口

(1)手工關閉

在命令提示符下輸入“regedit”,依次打開“HKEY_LOCAL_MACHINE”-“System”-“Controlset”“Services”-“NetBT”-“Parameters”,在其中選擇“新建”——“DWORD值”,將DWORD值命名為“SMBDeviceEnabled”,並通過修改其值設置為“0”,如圖6所示,需要特別注意一定不要將SMBDeviceEnabled寫錯了!否則沒有效果!

圖6注冊表關閉445端口

查看本地連接屬性,將去掉“Microsoft網絡的文件和打印機共享”前麵的勾選,如圖7所示。

圖7取消網絡文件以及打印機共享

(2)使用錦佰安提供的腳本進行關閉,在線下載腳本地址:http://www.secboot.com/445.zip,腳本代碼如下:

echo "歡迎使用錦佰安敲詐者防禦腳本"

echo "如果pc版本大於xp 服務器版本大於windows2003,請右鍵本文件,以管理員權限運行。"

netsh firewall set opmode enable

netsh advfirewall firewall add rule name="deny445" dir=in protocol=tcp localport=445 action=block

netsh firewall set portopening  protocol=TCP port=445 mode=disable name=deny445

2.關閉135端口

在運行中輸入“dcomcnfg”,然後打開“組建服務”-“計算機”-“屬性”-“我的電腦屬性”-“默認屬性”-“在此計算機上啟用分布式COM”去掉選擇的勾。然後再單擊“默認協議”選項卡,選中“麵向連接的TCP/IP”,單擊“刪除”或者“移除”按鈕,如圖8所示。

圖8關閉135端口

3.關閉139端口

139端口是為“NetBIOS Session Service”提供的,主要用於提供Windows文件和打印機共享以及Unix中的Samba服務。 單擊“網絡”-“本地屬性”,在出現的“本地連接屬性”對話框中,選擇“Internet協議版本4(TCP/IPv4)”-“屬性”,雙擊打開“高級TCP/IP設置”-“WINS”,在“NetBIOS設置”中選擇“禁用TCP/IP上的NetBIOS”,如圖9所示。

圖9關閉139端口

4.查看端口是否開放

以後以下命令查看135、139、445已經關閉。

netstat -an | find  "445"

netstat -an | find  "139"

netstat -an | find "135"

5.開啟防火牆

   啟用係統自帶的防火牆。

6.更新係統補丁

   通過360安全衛士更新係統補丁,或者使用係統自帶的係統更新程序更新係統補丁。

五、安全提示

1.來曆不明的文件一定不要打開

2.謹慎使用優盤,在優盤中可以建立antorun.inf文件夾防止優盤病毒自動傳播

3.安裝殺毒軟件

4.打開防火牆

5.ATScanner(WannaCry)

http://www.antiy.com/response/wannacry/ATScanner.zip

6.蠕蟲勒索軟件免疫工具(WannaCry)http://www.antiy.com/response/wannacry/Vaccine_for_wannacry.zip




關於《安全智庫》


安全源於分享,智庫重在傳播。

《安全智庫》,旨在傳播全新、獨特、範產業的網絡空間安全視角與信息安全精華文章,建立小兵與大咖的橋梁、學術與產業的紐帶、創新與分享的平台,沉澱網絡安全行業視角的知識庫,推進網安創新與分享。


長按二維碼輕鬆關注!







下一篇 : 勒索病毒“永恒之藍”席卷全球,已有74國中槍!(後附抗毒攻略)


微信掃一掃
分享文章到朋友圈