一鍵屏蔽135、137、138、139、445危險端口和服務(wù)

一、勒索病毒-永恒之藍現(xiàn)狀簡介

2017年5月12日20時左右，國家網(wǎng)絡(luò)與信息安全信息中心緊急通報：新型病毒從5月12日起在全球范圍傳播擴散，已影響到包括我國用戶在內(nèi)的多個國家的用戶。該勒索病毒利用Windows操作系統(tǒng)445端口存在的漏洞進行傳播，并具有自我復(fù)制、主動傳播的特性。勒索病毒感染用戶計算機后，將對計算機中的文檔、圖片等實施高強度加密，并向用戶勒索贖金。

國內(nèi)多所院校和企業(yè)出現(xiàn)ONION勒索軟件感染情況，磁盤文件會被病毒加密為.onion后綴，只有支付高額贖金才能解密恢復(fù)文件，對學(xué)習(xí)資料和個人數(shù)據(jù)造成嚴重損失。

國家網(wǎng)絡(luò)與信息安全中心連接：

http://www.cert.org.cn/publish/main/9/2017/20170513170143329476057/20170513170143329476057_.html

二、中毒原因分析

1、135/137/138/139/445這些常用端口以及共享服務(wù)沒有關(guān)閉；

端口簡介：

135端口：135端口就是RPC通信中的橋梁，該端口被***者采用了一種DCOM技術(shù)，可以直接對其他工作站的DCOM程序進行遠程控制。DCOM技術(shù)與對方計算機進行通信時，會自動調(diào)用目標主機中的RPC服務(wù)，而RPC服務(wù)將自動詢問目標主機中的135端口，并且獲取當(dāng)前有哪些端口可以被用來通信。

137端口：137端口的主要作用是在局域網(wǎng)中提供計算機的名字或IP地址查詢服務(wù)，一般安裝了NetBIOS協(xié)議后，該端口會自動處于開放狀態(tài)。

要是非法***者知道目標主機的IP地址，并向該地址的137端口發(fā)送一個連接請求時，就可能獲得目標主機的相關(guān)名稱信息。例如目標主機的計算機名稱，注冊該目標主機的用戶信息，目標主機本次開機、關(guān)機時間等。

138端口：138端口都屬于UDP端口，主要作用就是提供NetBIOS環(huán)境下的計算機名瀏覽功能。

非法***者要是與目標主機的138端口建立連接請求的話，就能輕松獲得目標主機所處的局域網(wǎng)網(wǎng)絡(luò)名稱以及目標主機的計算機名稱。有了計算機名稱，其對應(yīng)的IP地址也就能輕松獲得。如此一來，就為***進一步***系統(tǒng)帶來了便利。

139端口：139端口是一種TCP端口，主要作用是通過網(wǎng)上鄰居訪問局域網(wǎng)中的共享文件或共享打印機。

***要是與目標主機的139端口建立連接的話，就很有可能瀏覽到指定網(wǎng)段內(nèi)所有工作站中的全部共享信息，甚至可以對目標主機中的共享文件夾進行各種編輯、刪除*作，倘若***者還知道目標主機的IP地址和登錄帳號的話，還能輕而易舉地查看到目標主機中的隱藏共享信息。

445端口：是一種TCP端口，功能與139端口幾乎一致，也是提供局域網(wǎng)中文件或打印機共享服務(wù)。

區(qū)別就是該端口是基于CIFS協(xié)議（通用因特網(wǎng)文件系統(tǒng)協(xié)議）工作的，而139端口是基于SMB協(xié)議（服務(wù)器協(xié)議族）對外提供共享服務(wù)，所以要關(guān)閉文件共享，那么需要同時關(guān)閉139和445端口。

2、個人網(wǎng)絡(luò)安全意識淡漠（不明鏈接不要點擊，不明文件不要下載，不明網(wǎng)站不要訪問）；

3、沒有定期跨本機以外其他渠道備份文檔的習(xí)慣（比如移動硬盤，網(wǎng)盤等備份渠道）；

• 病毒防范與避免：

• 公司技術(shù)防護層面：

a、出口防火墻上禁止135/137/138/139/445端口，隔絕內(nèi)部與外部的端口開放；

b、交換機上禁止135/137/138/139/445端口，隔絕內(nèi)部這些高危端口互通；

c、行為管理上禁止135/137/138/139/445端口，隔絕內(nèi)部這些高危端口互通；

d、IT部制定員工本機關(guān)閉135/137/138/139/445端口的腳本，避免員工感染并傳播；

e、IT部將windows核心數(shù)據(jù)，跨機器渠道保存；

f、增強員工的安全防范意識的宣導(dǎo)力度；

3.2  員工防護層面：

a、及時升級Windows操作系統(tǒng)，目前微軟公司已發(fā)布相關(guān)補丁程序MS17-010，可通過微軟公司正規(guī)渠道進行升級。

b、安裝并及時更新殺毒軟件。

c、不要輕易打開來源不明的電子郵件。

d、及時關(guān)閉計算機、網(wǎng)絡(luò)設(shè)備上的445端口。

e、定期在不同的存儲介質(zhì)上備份計算機上的重要文件。

f、養(yǎng)成良好的網(wǎng)絡(luò)瀏覽習(xí)慣。不要輕易下載和運行未知網(wǎng)頁上的軟件，減少計算機被***的可能。

g、使用360“NSA武器庫免疫工具”檢測系統(tǒng)是否存在漏洞，并關(guān)閉受到漏洞影響的端口，可以避免遭到勒索軟件等病毒的侵害。免疫工具下載地址：http://dl.360safe.com/nsa/nsatool.exe

針對目前刷爆整個網(wǎng)絡(luò)的勒索病毒，我看到網(wǎng)上有很多人在指點怎么防御，但是很多人還是不一定能看明白具體怎么操作，我寫了兩個簡單粗暴的一鍵執(zhí)行的腳本，大家有需要的可以找我，免費使用。

一鍵關(guān)閉危險端口和服務(wù)：

@echo off

color 0A

title 您正在使用一鍵屏蔽危險端口和服務(wù)

echo 您正在使用一鍵屏蔽危險端口和服務(wù)

echo “Powered by情感iT人--高哥制作，歡迎使用，按任意鍵繼續(xù)”

pause

echo"正在幫您關(guān)閉這些危險端口，請稍等"

echo “正在開啟防火墻服務(wù)”

net startMpsSvc

echo ”正在幫您開啟防火墻自啟動“

sc configMpsSvc start= auto

echo ”正在啟用防火墻“

netshadvfirewall set allprofiles state on

echo"正在幫您屏蔽端口，請稍后...."

netshadvfirewall firewall add rule name="deny udp 135 " dir=in protocol=udplocalport=135 action=block

pause

netshadvfirewall firewall add rule name="deny tcp 135" dir=in protocol=tcplocalport=135 action=block

netshadvfirewall firewall add rule name="deny udp 137 " dir=inprotocol=udp localport=137 action=block

netshadvfirewall firewall add rule name="deny tcp 137" dir=in protocol=tcplocalport=137 action=block

netshadvfirewall firewall add rule name="deny udp 138" dir=in protocol=udplocalport=138 action=block

netshadvfirewall firewall add rule name="deny tcp 138" dir=in protocol=tcplocalport=138 action=block

netshadvfirewall firewall add rule name="deny udp 139" dir=in protocol=udplocalport=139 action=block

netshadvfirewall firewall add rule name="deny tcp 139" dir=in protocol=tcplocalport=139 action=block

netshadvfirewall firewall add rule name="deny udp 445" dir=in protocol=udplocalport=445 action=block

netshadvfirewall firewall add rule name="deny tcp 445" dir=in protocol=tcplocalport=445 action=block

echo"恭喜您，危險端口已經(jīng)屏蔽成功"

echo"下面將幫您關(guān)閉勒索病毒相關(guān)的危險服務(wù)，請稍后...."

echo ”正在關(guān)閉Computer Browser的服務(wù)“

netstop  Browser

echo ”正在關(guān)閉共享服務(wù)的服務(wù)“

netstop  LanmanServer

echo ”TCP/IP NetBIOS Helper共享服務(wù)“

net stoplmhosts

echo ”正在關(guān)閉Workstation瀏覽服務(wù)“

net stopLanmanWorkstation

echo"恭喜您，危險端口已經(jīng)關(guān)閉，請您盡快使用360的nsatool工具進行漏洞圍堵，然后再執(zhí)行一鍵服務(wù)和端口的開啟腳本"

echo “Powered by情感iT人--高哥制作，感謝您的使用，按任意鍵退出 ”

pause

一鍵開啟共享端口和服務(wù)：

@echo off

color 0A

title 正在開啟之前關(guān)閉的危險端口和服務(wù)

echo title您正在使用一鍵關(guān)閉危險端口和服務(wù)

echo “Powered by情感iT人--高哥制作，歡迎使用，按任意鍵繼續(xù)”

pause

echo"正在幫您開啟之前關(guān)閉的危險端口，請稍等"

echo “正在開啟防火墻服務(wù)”

net startMpsSvc

echo ”開啟防火墻自啟動“

sc configMpsSvc start= auto

echo ”啟用防火墻“

netshadvfirewall set allprofiles state on

echo"正在幫您解禁勒索病毒相關(guān)的防火墻規(guī)則"

netshadvfirewall firewall delete rule name="deny udp 135 "

netshadvfirewall firewall delete rule name="deny tcp 135"

netshadvfirewall firewall delete rule name="deny udp 137 "

netshadvfirewall firewall delete rule name="deny tcp 137"

netshadvfirewall firewall delete rule name="deny udp 138"

netshadvfirewall firewall delete rule name="deny tcp 138"

netshadvfirewall firewall delete rule name="deny udp 139"

netshadvfirewall firewall delete rule name="deny tcp 139"

netshadvfirewall firewall delete rule name="deny udp 445"

netshadvfirewall firewall delete rule name="deny tcp 445"

echo"恭喜您，共享服務(wù)的端口已經(jīng)打開"

echo"下面將幫您開啟共享的服務(wù)"

echo ”正在開啟Computer Browser的服務(wù)“

netstart  Browser

echo ”正在開啟共享服務(wù)的服務(wù)“

netstart  LanmanServer

echo ”TCP/IP NetBIOS Helper共享服務(wù)“

net startlmhosts

echo ”正在開啟Workstation瀏覽服務(wù)“

net startLanmanWorkstation

echo"恭喜您，相關(guān)服務(wù)已經(jīng)全部啟動"

echo “Powered by情感iT人--高哥制作，感謝您的使用，按任意鍵退出”

echo 按任意鍵退出

pause>nul