【救急】勒索軟體最全解決方案

2021-02-13 OTPUB權威IT學習平臺

說到5月12日全球爆發的大規模勒索軟體攻擊事件,仍讓人心有餘悸。wana Decrypt0r 2.0的前身是之前洩露的 NSA 黑客武器庫中的「永恆之藍」攻擊程序,在被不法分子改造之後變成了一款「勒索軟體」。

由於 wana Decrypt0r 2.0 基於之前的 NSA 黑客武器「永恆之藍」攻擊程序,因此其攻擊方式均為通過向 Windows SMBv1 伺服器發送特殊設計的消息,從而允許執行遠程的攻擊代碼。黑客會在公網掃描開放 445 埠的 Windows 設備並植入勒索軟體,而這一過程無需用戶的任何操作,這也是其可以快速在全球傳播的原因。

開啟 Windows 安全更新

本次遭到攻擊的設備絕大部分是因為這些設備並未及時安裝系統更新。早在今年三月份,微軟就已經針對 Windows 設備推出了月度安全更新,其中就已經包括了本次勒索軟體 wana Decrypt0r 2.0 所利用漏洞的安全修補程序。因此,你可以在 Windwos 中檢查並下載安裝,防範勒索軟體。

另外,你也可以單獨下載安全修補程序 KB4012212 進行更新,並通過 MS17-010 了解更多相關安全問題。

安全修補程序:

http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212

臨時解決方式:禁用 SMBv1


a、對於客戶端作業系統:

1、打開「控制面板」,單擊「程序」,然後單擊「打開或關閉 Windows 功能」。

2、在「Windows 功能」窗口中,清除「SMB 1.0/CIFS 文件共享支持」複選框,然後單擊「確定」以關閉此窗口。

3、重啟系統。

b、對於伺服器作業系統:

1、打開「伺服器管理器」,單擊「管理」菜單,然後選擇「刪除角色和功能」。

2、在「功能」窗口中,清除「SMB 1.0/CIFS 文件共享支持」複選框,然後單擊「確定」以關閉此窗口。

3、重啟系統。

臨時解決方式:使用系統防火牆封禁 445 埠

如果你使用系統自帶的防火牆,那麼你可以通過以下步驟封禁 445 埠:

1、打開「控制面板」中選擇「Windows 防火牆」

2、點擊左側的「高級設置」,在彈出的「高級安全 Windows 防火牆」中選擇「入站規則」

3、新建規則,點擊「埠」,點下一步;選中「TCP 」埠中的特定的本地埠,填寫 445 埠後,再點下一步;然後點擊「阻止連接」再點擊下一步後;將所有網絡選中,然後輸入規則名稱4、點擊完成即可。

臨時解決方式:關閉 445 埠(適用於 Windows XP 等)

對於 Windows 2000 / XP 用戶而言,因為目前微軟已經結束了對這兩款作業系統的支持,因此可以通過修改註冊表的方式關閉:

1、通過 Windows + R 打開「運行」;

2、輸入 regedit,點擊確定後定位到 HKEY_LOCAL_MACHIN;E\SYSTEM\CurrentControlSet\Servi ces\NetBT\Parameters。

3、新建名為「SMBDeviceEnabled」的 DWORD 值,並將其設置為 0;

4、重啟電腦。

(1) 隔離已感染計算機,在工作域裡脫域,拔掉網線,關閉受感染計算機; 

(2) 考慮通過 Windows 防火牆阻止 445 埠入站通訊,或禁用 Server 服務;

(3) 如果您的反病毒軟體暫時無法查殺該變種,您可以使用 Microsoft Safety Scanner https://www.microsoft.com/security/scanner/en-us/default.aspx 對受感染計算機進行 完全掃描;

(4) 從備份中恢復文件;

(5) 同樣實施以上防禦措施。

1、對於重要文件請及時備份至行動裝置、 NAS 或者其他雲存儲中。

2、無論是什麼樣的網絡環境,請及時對系統進行安全更新,尤其是微軟每月的安全更新,往往可以讓你避免數據丟失所造成的災難性後果。

3、開啟 Windows 防火牆避免類似的埠攻擊。

因此,應對勒索軟體,需要大家迅速做以下幾件事:1、備份數據;2、打補丁(MS17-010);3、關掉受影響的埠。

此外

5月16日14 : 00

「老闆等等,微軟專家找你聊轉型」

微軟攜手OTPUB

跟您聊聊數位化轉型那些事兒

並針對此次全球勒索事件進行案例分析

5月18日14 : 00

「用Power BI展現數據的魅力」

數據也要講究「顏值正義」

跟大神學

Power BI數據可視化

世界財富五百強工作法

看直播

🔻

方法一:識別下方二維碼,即可觀看直播!

老闆等等,微軟專家找你聊轉型

用Power BI展現數據的魅力 

🔻

🔻

方法二:猛戳「閱讀原文」,立即觀看直播!

往期精彩:

· 老闆等等,微軟專家找你聊轉型!

· 用Power BI展現數據魅力,就這樣動了心!

· 多少人哭暈在廁所?勒索軟體肆虐全球!

有溫度有態度、有高度、有深度

IT在線學習&直播平臺

相關焦點

  • 清除勒索軟體作戰方案
    英特爾安全歐洲中東和亞洲業務首席技術官拉傑·薩瑪尼認為,至少有400種勒索軟體泛濫,甚至有些是針對 Mac OS 和Linux的。Datto的一份調查發現,CryptoLocker,一種通過限時加密劫持個人文檔的勒索軟體,是目前為止最廣為流行的。但勒索軟體各有不同。
  • 專題|勒索軟體簡史
    勒索軟體的本質是木馬,下面以幾個典型勒索軟體家族為例,詳細地介紹其勒索過程,力求揭開勒索軟體的真面目。該家族的另一個特點是使用洋蔥路由(Tor),通過完全匿名的比特幣交易方式獲取贖金,這使得該勒索軟體的作者難以追蹤。3.勒索軟體即服務模式Cerber自2016年開始,採用勒索軟體即服務(Ransomware-as-a-Service)模式,名為Cerber的勒索軟體開始爆發。
  • DarkSide勒索黑客攻擊美最大燃油管道商,騰訊安全專家解讀勒索黑客行為
    上周六,Colonial Pipeline將網絡攻擊歸咎於DarkSide勒索軟體,並表示其某些信息技術系統受到了影響。 根據以往掌握的資料,DarkSide勒索黑客的攻擊動輒索要數百萬美元。勒索病毒團夥在利用多種技術手段入侵目標系統後,會留置後門、安裝多種遠程控制軟體(如TeamView破解版、RemoteUtilities商業遠控軟體破解版、RemcosRAT、AgentTesla、SnakeKeylogger、AsyncRAT、Nanocore等商業木馬),勒索黑客會使用此類工具將失陷網絡的機密數據上傳到該團夥控制的伺服器上。
  • 【每日安全資訊】2018網絡安全大事件盤點 | 數據洩露史無前例,勒索軟體改行挖礦
    雖然技術在隨著時代而發展,但安全策略卻並未與時俱進,這很大程度上是因為實際支出與最有效的數據保護方法錯配所致。77%的受訪者表示在預防數據洩露方面靜態數據安全解決方案最為有效,緊隨其後的是網絡安全(75%)和動態數據(75%)解決方案。儘管如此,57%的受訪者卻仍將大多數支出用於端點和移動安全技術上,其次是分析與關聯工具(50%)。
  • Medusalocker勒索團夥破解RemoteUtilities商業遠控軟體實施竊密勒索
    分析發現,Medusalocker勒索團夥除使用CobaltStrike竊密木馬外。還對商業遠程控制軟體RemoteUtilities(類Teamviwer軟體)進行了破解重打包(系對官方版本的窗口、託盤、模塊完整校驗位置進行Patch)。
  • 勒索軟體的新木馬:智能咖啡機
    上面這個視頻展示了一個被Avast逆向工程師Martin Hron入侵的智能咖啡機,不但會發出巨大的蜂鳴聲、噴灑熱水,還能顯示勒索軟體贖金勒索信息。這個視頻讓所有人更直觀地看到,一臺智能咖啡機不但可以被黑,而且還能成為勒索軟體的一個「落腳點」。
  • 2019勒索病毒專題報告
    2019年10月,全球最大的助聽器製造商之一Demant遭受勒索病毒入侵,該公司是目前聽力行業唯一產品線涵蓋助聽器、人工中耳、骨導助聽器、電子耳蝸及調頻語訓系統的全面聽力解決方案提供者,全球聽力檢測設備領域的領先者,攻擊導致的造成的損失高達9500W美元。
  • 獨家深度分析 | REvil利用Kaseya VSA發起供應鏈勒索軟體攻擊
    中文翻譯:CISA正在採取行動來了解和解決最近針對Kaseya VSA和使用VSA軟體的多個託管服務提供商 (MSP) 的供應鏈勒索軟體攻擊。CISA鼓勵組織查看Kaseya建議並立即按照他們的指導關閉VSA伺服器。
  • 中文誘餌Gandcrab勒索軟體肆虐五月初
    奇安信威脅情報中心紅雨滴安全研究團隊(RedDrip)對此次攻擊進行樣本分析和關聯分析後,得到大量GandCrab勒索軟體最新變種的IOC,此外我們對該家族的攻擊技術和傳播方式進行分析匯總,並提出了一些解決方案以供讀者參考。
  • 心靈捕手:勒索軟體是如何運用心理戰術達到攻擊目的?
    對於用戶來說,勒索軟體是網絡攻擊者使用的最可怕的一種武器。據估計,僅在美國,因勒索軟體造成的損失就達到了75億美元,而在加拿大,因勒索軟體造成的損失就也達到了23億美元,毫無疑問,全球都能感受到勒索軟體的存在,而造成的損失更是難以估量。但除了直接和間接的經濟損失外,勒索軟體還運用了深層的心理犯罪機制來攫取最大利益,這讓它區別於其他形式的網絡攻擊。
  • FB視頻:紀錄片《暗網》之勒索軟體篇
    本集的開端,我們與一名為Detox的人進行了文字交流。Detox是誰?他是藏身與暗網之中的一名黑客。具體詳情請看視頻:http://v.qq.com/page/w/n/b/w0191xukznb.html論勒索軟體的崛起2016年初,卡巴斯基就發布報告指出勒索軟體將來會掀起一場風暴。風暴來的太過突然,這才3月就發生了勒索軟體的井噴。
  • 重磅發布 | Veeam 重磅推出新一代數據備份解決方案,全新 Veeam Availability Suite v10正式發布
    Veeam 的旗艦備份解決方案 Veeam Availability Suite 於2008年作為 Veeam Backup&Replication™ 首次推出,現為網絡連接存儲(NAS)提供現代文件數據保護,通過多虛擬機即時恢復(Multi-VM Instant Recovery™)自動執行災難恢復,大大強化了勒索軟體保護。
  • 卡巴斯基安全報告:2017年勒索攻擊大事件匯總及趨勢預測
    推測這些襲擊活動的始作俑者不太可能是小偷小摸的勒索小販,三例攻擊中,至少有一個勒索軟體帶有明顯的缺陷,存在一個可以快速關閉的「開關「;有一個是通過感染商業軟體進行傳播的;兩次勒索攻擊之間似乎存在一定關聯;兩次最大的勒索攻擊活動的真正目標似乎是破壞數據,所謂「勒索」只是一個障眼法。
  • 【安全圈】賽門鐵克確定了勒索軟體(WastedLocker)針對美國組織的攻擊浪潮
    攻擊者已經破壞了目標組織的網絡,並且正在為進行勒索軟體攻擊奠定基礎。WastedLocker是一種相對較新的定向勒索軟體,在NCC Group發布之前就已記錄在案,而Symantec正在對受影響的網絡進行擴展。WastedLocker被歸因於臭名昭著的「 Evil Corp」網絡犯罪組織。
  • 橫掃全球的勒索病毒被破!免費解密工具在這裡,中招的快來!!!
    5月13日6:00發布分析報告,2017年05月14日 05:22更新《安天緊急應對新型「蠕蟲」式勒索軟體「WannaCry」全球爆發》 http://www.antiy.com/response/wannacry.html 綜合深度分析該事件、運行流程、解決方案、結論等,微信公眾號閱讀量在一天之內突破
  • WannaCry勒索病毒呼喚新型安全技術,藍盾防火牆利用人工智慧實現抵禦
    WannaCry勒索病毒是由NSA洩漏的「永恆之藍」黑客武器傳播的,「永恆之藍」可遠程攻擊windows的445埠(文件共享),如果系統沒有安裝今年3月的微軟補丁,無需用戶任何操作,只要開機上網,「永恆之藍」就能在電腦裡執行任意代碼,植入勒索病毒等惡意程序。
  • 銘說 | 用ATT&CK框架分析Ryuk家族勒索軟體
    ATT&CK中定義了戰術、技術、組織、軟體等關鍵對象,用於描述相關安全問題及其安全過程。以下以一個近期發現的Ryuk家族勒索軟體為例,研究下究竟在ATT&CK的世界中是怎樣進行的。一般的勒索軟體是通過大規模垃圾郵件植入受害者計算機的,而Ryuk家族勒索軟體則更傾向於定製化的攻擊,但其植入手段也是利用郵件釣魚,本次獲取的Ryuk勒索軟體樣本亦如此。通過分析可以看出,最初植入是攻擊者通過電子郵件發送給受害者的。
  • Formjacking已超越勒索軟體和挖礦攻擊,成為2018年的頂級威脅
    可以是對合作夥伴公司的僱員進行網絡釣魚獲取本公司登錄憑證,比如近幾年影響最重大的兩起數據洩露:美國零售商塔吉特百貨和美國人事管理局(OPM)數據洩露事件,就是經由合作公司失竊的登錄憑證。也可以是往合法軟體中植入惡意軟體,比如著名的NotPetya勒索軟體,就是烏克蘭流行會計軟體M.E.Doc被感染而引起的。英國國家網絡安全中心(NCSC) 對供應鏈攻擊的總結如下:
  • 原來,WannaCry勒索病毒是這麼一回事
    按理說,勒索病毒只是一個「鎖」,其本身並沒有大規模傳播的能力。這次病毒的洩露與爆發,跟美國國家安全局(NSA)有關。NSA是美國政府機構中最大的情報部門,隸屬於美國國防部,專門負責收集和分析外國及本國通訊資料,而為了研究入侵各類電腦網路系統,NSA或多或少會跟各種黑客組織有合作,這些黑客中肯定有人能夠入侵各種電腦。
  • 雷達數位訊號處理的解決方案
    在電子對抗設備中,可以在最短的時間內對多個威脅目標進行快速分析和響應,同樣需要數位訊號處理的相關算法具備高實時,高動態範圍和自適應的特點。如何在寬頻噪聲的環境中尋找到目標的特徵數據,如何在寬帶範圍內製造虛假目標實現全覆蓋,數位訊號的處理性能是至關重要的設計因素。圖1.