禁用右键代码(禁止右键代码)

  关注「程序员大咖」

  简介

  Wannacry蠕虫勒索软件处置流程及工具包。

  1 背景

  5月12日晚,一款名为Wannacry 的蠕虫勒索软件袭击全球网络,这被认为是迄今为止最巨大的勒索交费活动,影响到近百个国家上千家企业及公共组织。 该软件被认为是一种蠕虫变种(也被称为“Wannadecrypt0r”、“wannacryptor”或“ wcry”)。 像其他勒索软件的变种一样,WannaCry也阻止用户访问计算机或文件,要求用户需付费解锁。

  该勒索软件利用ETERNALBLUE(永恒之蓝)发起病毒攻击。蠕虫软件正是利用 SMB服务器漏洞,通过渗透到未打补丁的Windows计算机中,实现大规模迅速传播。 一旦你所在组织中一台计算机受攻击,蠕虫会迅速寻找其他有漏洞的电脑并发起攻击。

  微软已经在三月份发布相关漏洞(MS17-010)修复补丁。如Windows系统未及时升级补丁,则可能存在被感染风险。

  参考链接:https://www.freebuf.com/news/134512.html

  2 处置流程

  Wannacry蠕虫勒索软件处置流程及工具包(含离线补丁)https://pan.baidu.com/s/1o8ludfk

  2.1 未感染主机

  1) 检测Windows电脑是否存在漏洞;

  2) 防火墙屏蔽445端口;

  3) 关闭共享打印机,SMB服务;

  4) 尽快备份电脑中的重要文件资料到存储设备上。提高安全意识,请不要打开陌生人可疑邮件。

  5) 升级系统补丁;

  详见第三、四章节。

  2.2 已感染主机

  一旦发现中毒机器,立即断网。组织内网检测,查找所有开放445 SMB服务端口的终端和服务器,一旦发现中毒机器,立即断网处置。并禁止在中毒机器使用u盘、移动硬盘等设备,防止移动传染。

  对于已被加密的计算机目前暂时没有实质的解决方案。以下是部分厂商或组织提供的工具,可进行部分文件恢复:

  1) https://www.nomoreransom.org/

  2) https://github.com/QuantumLiu/antiBTCHack

  3) https://dl.360safe.com/recovery/RansomRecovery.exe

  我们将持续跟进事件动态,更多信息请关注https://www.freebuf.com/。

  3 如何快速检测是否存在漏洞

  3.1 脚本检测

  IT 管理员,运维人员可以使用以下工具检测(工具见工具包)

  检测主机是否存在“永恒之蓝”漏洞(检测是否成功安装MS17-010补丁或成功添加对该漏洞的防御)

  工具名称: ms17_010.exe

  方法:ms17_010.exe IP地址或IP地址段

  图为检测到 IP为10.0.0.9的主机 存在该漏洞

  

  也可以指定单独IP:

  

  如果出现“Vulnerable to ms17-010” 则证明存在永恒之蓝漏洞。

  3.2 网藤风险感知

  网藤风险感知(www.riskivy.com)已支持检测检测该漏洞。

  

  详细信息见以下链接:

  https://t.cn/RaC4seG

  4 防御及修复建议

  根据实际情况选择任意一种方法

1) IT管理员:出口防火墙暂时屏蔽445,135,137,139端口 。

2) 个人电脑防火墙入站和出站规则屏蔽掉445端口。

  解压工具包,找到脚本“利用个人电脑防火墙屏蔽445端口.bat”,右键,以管理员身份运行,将会自动添加防火墙规则:

  

3)关闭电脑打印机共享

  解压工具包,找到“Windows 64位关闭smb.bat”右键,根据操作系统实际情况,以管理员身份运行,将会自动关闭打印共享服务:

  

禁用右键代码(禁止右键代码),禁用右键代码(禁止右键代码),禁用右键代码,第1张

4) 关闭SMBv1

适用于运行 Windows 8.1 或 Windows Server 2012 R2 及更高版本的客户

  对于客户端操作系统:

  打开“控制面板”,单击“程序”,然后单击“打开或关闭 Windows 功能”。

  在“Windows 功能”窗口中,清除“SMB 1.0/CIFS 文件共享支持”复选框,然后单击“确定”以关闭此窗口。重启系统。

  对于服务器操作系统:

  打开“服务器管理器”,单击“管理”菜单,然后选择“删除角色和功能”。在“功能”窗口中,清除“SMB 1.0/CIFS 文件共享支持”复选框,然后单击“确定”以关闭此窗口。重启系统。

适用于运行Windows 7、 Windows Server 2008 R2、 Windows Vista 和 Windows Server 2008,修改注册表

  注册表路径︰

  HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters

  新建项︰ SMB1,值0(DWORD)

  重新启动计算机

5) 在线/离线升级系统补丁

> 详见附录补丁下载地址。

6) 利用在线升级服务

以Windows8为例:

  下方任务栏,右键,设置

  

  搜索框输入,windows更新设置,并选择

  

  选择检测更新,点击检测更新

  附录:各版本系统补丁包下载

  Wannacry蠕虫勒索软件处置流程及工具包(含离线补丁)https://pan.baidu.com/s/1o8ludfk

  离线升级包:

  Windows 7 x64

  https://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu

  Windows 7 x86

  https://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x86_6bb04d3971bb58ae4bac44219e7169812914df3f.msu

  Windows 10 x64

  https://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4012606-x64_e805b81ee08c3bb0a8ab2c5ce6be5b35127f8773.msu

  Windows 10 x86

  https://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4012606-x86_8c19e23de2ff92919d3fac069619e4a8e8d3492e.msu

  Windows 8

  https://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows8-rt-kb4012598-x86_a0f1c953a24dd042acc540c59b339f55fb18f594.msu

  Windows 8 x64

  https://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows8-rt-kb4012598-x64_f05841d2e94197c2dca4457f1b895e8f632b7f8e.msu

  Windows Server 2008

  https://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.0-kb4012598-ia64_83a6f5a70588b27623b11c42f1c8124a25d489de.msu

  Windows Server 2008 x64

  https://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.0-kb4012598-x64_6a186ba2b2b98b2144b50f88baf33a5fa53b5d76.msu

  Windows Server2003

  https://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x86-custom-chs_b45d2d8c83583053d37b20edf5f041ecede54b80.exe

  Windows Server 2003 x64

  https://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-chs_68a2895db36e911af59c2ee133baee8de11316b9.exe

  Windows Vista

  https://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.0-kb4012598-x86_13e9b3d77ba5599764c296075a796c16a85c745c.msu

  Windows Vista x64

  https://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.0-kb4012598-x64_6a186ba2b2b98b2144b50f88baf33a5fa53b5d76.msu

  XP SP3

  https://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-chs_dca9b5adddad778cfd4b7349ff54b51677f36775.exe

  XP SP2 x64

  https://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-enu_f24d8723f246145524b9030e4752c96430981211.exe

  https://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-jpn_9d5318625b20faa41042f0046745dff8415ab22a.exe

  XP Embedded

  https://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-embedded-custom-chs_41935edbcd6fa88a69718bc85ab5fd336445e7f9.exe

  更多补丁请访问微软官方获取:https://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

  https://technet.microsoft.com/zh-cn/library/security/MS17-010

  Wannacry蠕虫勒索软件处置流程及工具包(含离线补丁)https://pan.baidu.com/s/1o8ludfk

  作者:TCC Group

  出处:漏洞盒子

  链接:https://www.vulbox.com/knowledge/detail/?id=10

推荐程序员必备微信号

  程序员大咖

  微信号:CodePush

  推荐理由:

  为程序员提供最优质的博文、最精彩的讨论、最实用的开发资源;提供最新最全的编程学习资料:PHP、Objective-C、Java、Swift、C/C++函数库、.NET Framework类库、J2SE API等等。并不定期奉送各种福利。

1、本网站名称:源码村资源网
2、本站永久网址:https://www.yuanmacun.com
3、本网站的文章部分内容可能来源于网络,仅供大家学习与参考,如有侵权,请联系站长进行删除处理。
4、本站一切资源不代表本站立场,并不代表本站赞同其观点和对其真实性负责。
5、本站一律禁止以任何方式发布或转载任何违法的相关信息,访客发现请向站长举报
6、本站资源大多存储在云盘,如发现链接失效,请联系我们我们会第一时间更新。
源码村资源网 » 禁用右键代码(禁止右键代码)

1 评论

您需要 登录账户 后才能发表评论

发表评论

欢迎 访客 发表评论