勒索病毒应对方案

1.      病毒特征:

a)       该病毒的运作方式完全不需要用户点击某个不安全的网站或者邮件,如果局域网内有1台被感染的电脑,这台电脑就会主动传播给其他开启了445端口的电脑;

b)       病毒会将系统上的大量文件加密,并向用户勒索赎金。这种勒索病毒加密文件使用的是2048RSA加密,目前的计算机没有办法解密,所以可以说无解。

2.      中毒症状

中毒后,您看到的是这样的:

 

3.      处理方案:

a)       预防:该病毒基本上可以理解为,可防不可解。 所以防御非常非常重要!!!! 

首先,要确保您的计算机已经开启了Windows 自动更新和防火墙,确保已经更新到了最新版。

其次,请确定你的反病毒软件更新到最新并可以查杀该勒索软件。Microsoft反病毒产品病毒库版本1.243.290.0及以上可以查杀当前发现的这一变种

第三,提高防范意识,确保终端用户理解他们不应打开任何可疑的附件,即使他们看到一个熟悉的图标。

第四,确保MS17-010补丁在所有计算机上安装,推荐安装最新的Microsoft安全补丁,并将其他第三方软件更新到最新。

第五,强烈建议,按照正版的操作系统和Office。并且一定要确认Windows的自动更新和防火墙始终处于开启状态。(这点360及部分安全软件用户要特别注意:  因为360和部分安全软件安装上去以后,它会自动关闭系统的自动更新!!!!“优化”掉许多Windows的安全机制,用他们自己的防火墙代替windows的防火墙。所以,360等安全软件用户请确保您的windows防火墙是开启状态。)

第六、如果因为某些原因,暂时无法安装补丁,可以通过以下方法临时处理:

如果是个人计算机您可以:

l  打开"控制面板",单击"程序",然后单击"打开或关闭 Windows 功能"

l  然后在"Windows 功能"窗口中,清除"SMB 1.0/CIFS 文件共享支持"复选框,然后单击"确定"以关闭此窗口。

l  重启系统

如果是服务器,您可以:

l  打开"服务器管理器",单击"管理"菜单,然后选择"删除角色和功能"

l  在"功能"窗口中,清除"SMB 1.0/CIFS 文件共享支持复选框,然后单击确定以关闭此窗口。

l  重启系统

 

最后,补丁版本及下载地址,

       注意:必须满足“安装先决条件”才能安装更新。

l  对于Windows Server 2012 R2,需要先安装KB3021910,然后才能安装KB2919355

l  对于Windows 7 SP1/ Windows Server 2008 R2, 如果没有安装过任何更新,请先安装KB3125574(兼容性已知问题,请参考知识库文章https://support.microsoft.com/en-us/help/3125574/convenience-rollup-update-for-windows-7-sp1-and-windows-server-2008-r2-sp1)。否则可能需要花费56小时索引系统,才能开始安装安全更新。

补丁包列表:

操作系统

版本号

系统位数

下载链接

桌面操作系统

Windows XP

SP3

32Bit

下载地址1http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-enu_eceb7d5023bbb23c0dc633e46b9c2f14fa6ee9dd.exe

下载地址2http://wsus.ds.download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-cht_a84b778a7caa21af282f93ea0cdada0f7abb7d6a.exe

下载地址3:http://wsus.ds.download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-chs_dca9b5adddad778cfd4b7349ff54b51677f36775.exe

SP2

64Bit

http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-enu_f24d8723f246145524b9030e4752c96430981211.exe

Windows Vista

 

32Bit

http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-enu_eceb7d5023bbb23c0dc633e46b9c2f14fa6ee9dd.exe

 

64Bit

http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.0-kb4012598-x64_6a186ba2b2b98b2144b50f88baf33a5fa53b5d76.msu

Windows 7

 

32Bit

http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x86_6bb04d3971bb58ae4bac44219e7169812914df3f.msu

 

64Bit

http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu

Windows 8

 

32Bit

http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows8-rt-kb4012598-x86_a0f1c953a24dd042acc540c59b339f55fb18f594.msu

 

64Bit

http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows8-rt-kb4012598-x64_f05841d2e94197c2dca4457f1b895e8f632b7f8e.msu

Windows 8.1

 

32Bit

http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/02/windows8.1-kb4012213-x86_e118939b397bc983971c88d9c9ecc8cbec471b05.msu

 

64Bit

http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/02/windows8.1-kb4012213-x64_5b24b9ca5a123a844ed793e0f2be974148520349.msu

Windows 10

版本1511

32Bit

http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows10.0-kb4019473-x86_5e2b7bce2f1b116288b4f1f78449c66ecc7c7a53.msu

64Bit

http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows10.0-kb4019473-x64_c23b6f55caf1b9d6c14161b66fe9c9dfb4ad475c.msu

版本1607

32Bit

http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows10.0-kb4019472-x64_dda304140351259fcf15ca7b1f5b51cb60445a0a.msu

64Bit

http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows10.0-kb4019472-x86_9bf106e898b57c20917cd98fd8b8d250333015a5.msu

版本1703

32Bit

http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows10.0-kb4016871-x86_5901409e58d1c6c9440e420d99c42b08f227356e.msu

64Bit

http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows10.0-kb4016871-x64_27dfce9dbd92670711822de2f5f5ce0151551b7d.msu

版本1705

32Bit

http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows10.0-kb4019474-x86_259adeed4a4037f749afab211ff1bc6a771ff7f6.msu

64Bit

http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows10.0-kb4019474-x64_4ed033d1c2af2daea1298d10da1fad15a482f726.msu

服务器操作系统

Windows Server 2003

 

32Bit

下载地址1http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x86-custom-enu_f617caf6e7ee6f43abe4b386cb1d26b3318693cf.exe

下载地址2http://wsus.ds.download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x86-custom-chs_b45d2d8c83583053d37b20edf5f041ecede54b80.exe

下载地址3http://wsus.ds.download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x86-custom-cht_71a7359d308c8bda7638b4dc4ea305e7e22cc4c2.exe

 

64Bit

下载地址1http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-enu_f24d8723f246145524b9030e4752c96430981211.exe

下载地址2http://wsus.ds.download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-chs_68a2895db36e911af59c2ee133baee8de11316b9.exe

下载地址3http://wsus.ds.download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-cht_23a0e14eee3320955b6153ed7fab2dd069d39874.exe

Windows Server 2008

 

32Bit

http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.0-kb4012598-x86_13e9b3d77ba5599764c296075a796c16a85c745c.msu

 

64Bit

http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.0-kb4012598-x64_6a186ba2b2b98b2144b50f88baf33a5fa53b5d76.msu

安腾Windows Server 2008

 

64Bit

http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.0-kb4012598-ia64_83a6f5a70588b27623b11c42f1c8124a25d489de.msu

Windows Server 2008 R2

 

64Bit

http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu

安腾Windows Server 2008 R2

 

64Bit

http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-ia64_93a42b16dbea87fa04e2b527676a499f9fbba554.msu

Windows Server 2012

 

64Bit

http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/02/windows8-rt-kb4012214-x64_b14951d29cb4fd880948f5204d54721e64c9942b.msu

Windows Server 2012 R2

 

64Bit

http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/02/windows8.1-kb4012213-x64_5b24b9ca5a123a844ed793e0f2be974148520349.msu

Windows Server 2016

 

64Bit

http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows10.0-kb4019472-x64_dda304140351259fcf15ca7b1f5b51cb60445a0a.msu

嵌入式操作系统

Windows XP

SP3

 

下载地址1
http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-embedded-custom-enu_8f2c266f83a7e1b100ddb9acd4a6a3ab5ecd4059.exe

下载地址2
http://wsus.ds.download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-embedded-custom-chs_41935edbcd6fa88a69718bc85ab5fd336445e7f9.exe

下载地址3
http://wsus.ds.download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-embedded-custom-cht_c3696d39aab12713c4bd4e30b8e17f0a03fd8089.exe

Windows XP嵌入式

WES09以及
POSReady 2009

 

下载地址1
http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windowsxp-kb4012598-x86-embedded-enu_9515c11bc77e39695b83cb6f0e41119387580e30.exe

下载地址2
http://wsus.ds.download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windowsxp-kb4012598-x86-embedded-chs_8789d2232a3d43c44d4d293dc37b4bc06c997e9b.exe

下载地址3
http://wsus.ds.download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windowsxp-kb4012598-x86-embedded-cht_a827a40579d7de4c78efeca91d25ec0762e1c5be.exe

Windows Embedded 7嵌入式标准版

 

32

http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x86_6bb04d3971bb58ae4bac44219e7169812914df3f.msu

Windows Embedded 7嵌入式标准版

 

64

http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu

Windows Embedded 8 嵌入式标准版

 

32

http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/02/windows8-rt-kb4012214-x86_5e7e78f67d65838d198aa881a87a31345952d78e.msu

Windows Embedded 8嵌入式标准版

 

64

http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/02/windows8-rt-kb4012214-x64_b14951d29cb4fd880948f5204d54721e64c9942b.msu

 

 

b)       如果您的计算机已经中毒,您需要:

1.      拔掉中毒计算机网线,将中毒计算机单独隔离,并使用专杀工具查杀病毒。

2.      局域网内其他计算机可以考虑暂时关闭 445端口或者禁用server服务。

注意:445135等端口是Windows系统服务正常运行所需要的端口,正常情况下不能轻易关闭,关闭极有可能引起严重的次生故障。在安装微软官方修复补丁之后,无需关闭这些端口。

如何关闭445端口:

第一步:以管理员身份登录计算机(或以管理员身份运行),打开“开始”-“运行启动运行窗口,输入cmd并执行,打开命令行操作窗口,输入命令:netstat -an

*用于检测445端口是否开启(如图)


       

        第二步:如445端口开启(如上图),依次输入以下命令进行关闭:

net stop rdr / net stop srv / net stop netbt

功后的效果如下:

                    

第三步:c. 在安装补丁之后需要将445端口恢复打开状态以确保Windows服务正常运行,在命令行中依次输入以下命令进行打开:

net start rdr / net start srv / net start netbt

                           

3.      这种病毒是可防不可解的,所以,若存在该计算机备份,则启动备份恢复程序。若没有重要文件,可通过对磁盘全盘进行格式化,重装系统恢复使用。

 

说到最后:关于Win10在此次事件中表现良好。不过根据微软安全公告,只有最新的Windows 10 1703 Creators Update创意者更新才完全不存在此次攻击利用的漏洞,此前的Windows 10 RTM原始版、1511十一月更新版、1607周年更新版依然需要打补丁。