您好,登錄后才能下訂單哦!
一、勒索病毒-永恒之藍現(xiàn)狀簡介
2017年5月12日20時左右,國家網(wǎng)絡(luò)與信息安全信息中心緊急通報:新型病毒從5月12日起在全球范圍傳播擴散,已影響到包括我國用戶在內(nèi)的多個國家的用戶。該勒索病毒利用Windows操作系統(tǒng)445端口存在的漏洞進行傳播,并具有自我復(fù)制、主動傳播的特性。勒索病毒感染用戶計算機后,將對計算機中的文檔、圖片等實施高強度加密,并向用戶勒索贖金。
國內(nèi)多所院校和企業(yè)出現(xiàn)ONION勒索軟件感染情況,磁盤文件會被病毒加密為.onion后綴,只有支付高額贖金才能解密恢復(fù)文件,對學(xué)習(xí)資料和個人數(shù)據(jù)造成嚴重損失。
國家網(wǎng)絡(luò)與信息安全中心連接:
http://www.cert.org.cn/publish/main/9/2017/20170513170143329476057/20170513170143329476057_.html
二、中毒原因分析
1、135/137/138/139/445這些常用端口以及共享服務(wù)沒有關(guān)閉;
端口簡介:
135端口:135端口就是RPC通信中的橋梁,該端口被***者采用了一種DCOM技術(shù),可以直接對其他工作站的DCOM程序進行遠程控制。DCOM技術(shù)與對方計算機進行通信時,會自動調(diào)用目標主機中的RPC服務(wù),而RPC服務(wù)將自動詢問目標主機中的135端口,并且獲取當(dāng)前有哪些端口可以被用來通信。
137端口:137端口的主要作用是在局域網(wǎng)中提供計算機的名字或IP地址查詢服務(wù),一般安裝了NetBIOS協(xié)議后,該端口會自動處于開放狀態(tài)。
要是非法***者知道目標主機的IP地址,并向該地址的137端口發(fā)送一個連接請求時,就可能獲得目標主機的相關(guān)名稱信息。例如目標主機的計算機名稱,注冊該目標主機的用戶信息,目標主機本次開機、關(guān)機時間等。
138端口:138端口都屬于UDP端口,主要作用就是提供NetBIOS環(huán)境下的計算機名瀏覽功能。
非法***者要是與目標主機的138端口建立連接請求的話,就能輕松獲得目標主機所處的局域網(wǎng)網(wǎng)絡(luò)名稱以及目標主機的計算機名稱。有了計算機名稱,其對應(yīng)的IP地址也就能輕松獲得。如此一來,就為***進一步***系統(tǒng)帶來了便利。
139端口:139端口是一種TCP端口,主要作用是通過網(wǎng)上鄰居訪問局域網(wǎng)中的共享文件或共享打印機。
***要是與目標主機的139端口建立連接的話,就很有可能瀏覽到指定網(wǎng)段內(nèi)所有工作站中的全部共享信息,甚至可以對目標主機中的共享文件夾進行各種編輯、刪除*作,倘若***者還知道目標主機的IP地址和登錄帳號的話,還能輕而易舉地查看到目標主機中的隱藏共享信息。
445端口:是一種TCP端口,功能與139端口幾乎一致,也是提供局域網(wǎng)中文件或打印機共享服務(wù)。
區(qū)別就是該端口是基于CIFS協(xié)議(通用因特網(wǎng)文件系統(tǒng)協(xié)議)工作的,而139端口是基于SMB協(xié)議(服務(wù)器協(xié)議族)對外提供共享服務(wù),所以要關(guān)閉文件共享,那么需要同時關(guān)閉139和445端口。
2、個人網(wǎng)絡(luò)安全意識淡漠(不明鏈接不要點擊,不明文件不要下載,不明網(wǎng)站不要訪問);
3、沒有定期跨本機以外其他渠道備份文檔的習(xí)慣(比如移動硬盤,網(wǎng)盤等備份渠道);
病毒防范與避免:
公司技術(shù)防護層面:
a、出口防火墻上禁止135/137/138/139/445端口,隔絕內(nèi)部與外部的端口開放;
b、交換機上禁止135/137/138/139/445端口,隔絕內(nèi)部這些高危端口互通;
c、行為管理上禁止135/137/138/139/445端口,隔絕內(nèi)部這些高危端口互通;
d、IT部制定員工本機關(guān)閉135/137/138/139/445端口的腳本,避免員工感染并傳播;
e、IT部將windows核心數(shù)據(jù),跨機器渠道保存;
f、增強員工的安全防范意識的宣導(dǎo)力度;
3.2 員工防護層面:
a、及時升級Windows操作系統(tǒng),目前微軟公司已發(fā)布相關(guān)補丁程序MS17-010,可通過微軟公司正規(guī)渠道進行升級。
b、安裝并及時更新殺毒軟件。
c、不要輕易打開來源不明的電子郵件。
d、及時關(guān)閉計算機、網(wǎng)絡(luò)設(shè)備上的445端口。
e、定期在不同的存儲介質(zhì)上備份計算機上的重要文件。
f、養(yǎng)成良好的網(wǎng)絡(luò)瀏覽習(xí)慣。不要輕易下載和運行未知網(wǎng)頁上的軟件,減少計算機被***的可能。
g、使用360“NSA武器庫免疫工具”檢測系統(tǒng)是否存在漏洞,并關(guān)閉受到漏洞影響的端口,可以避免遭到勒索軟件等病毒的侵害。免疫工具下載地址:http://dl.360safe.com/nsa/nsatool.exe
針對目前刷爆整個網(wǎng)絡(luò)的勒索病毒,我看到網(wǎng)上有很多人在指點怎么防御,但是很多人還是不一定能看明白具體怎么操作,我寫了兩個簡單粗暴的一鍵執(zhí)行的腳本,大家有需要的可以找我,免費使用。
一鍵關(guān)閉危險端口和服務(wù):
@echo off
color 0A
title 您正在使用一鍵屏蔽危險端口和服務(wù)
echo 您正在使用一鍵屏蔽危險端口和服務(wù)
echo “Powered by情感iT人--高哥制作,歡迎使用,按任意鍵繼續(xù)”
pause
echo"正在幫您關(guān)閉這些危險端口,請稍等"
echo “正在開啟防火墻服務(wù)”
net startMpsSvc
echo ”正在幫您開啟防火墻自啟動“
sc configMpsSvc start= auto
echo ”正在啟用防火墻“
netshadvfirewall set allprofiles state on
echo"正在幫您屏蔽端口,請稍后...."
netshadvfirewall firewall add rule name="deny udp 135 " dir=in protocol=udplocalport=135 action=block
pause
netshadvfirewall firewall add rule name="deny tcp 135" dir=in protocol=tcplocalport=135 action=block
netshadvfirewall firewall add rule name="deny udp 137 " dir=inprotocol=udp localport=137 action=block
netshadvfirewall firewall add rule name="deny tcp 137" dir=in protocol=tcplocalport=137 action=block
netshadvfirewall firewall add rule name="deny udp 138" dir=in protocol=udplocalport=138 action=block
netshadvfirewall firewall add rule name="deny tcp 138" dir=in protocol=tcplocalport=138 action=block
netshadvfirewall firewall add rule name="deny udp 139" dir=in protocol=udplocalport=139 action=block
netshadvfirewall firewall add rule name="deny tcp 139" dir=in protocol=tcplocalport=139 action=block
netshadvfirewall firewall add rule name="deny udp 445" dir=in protocol=udplocalport=445 action=block
netshadvfirewall firewall add rule name="deny tcp 445" dir=in protocol=tcplocalport=445 action=block
echo"恭喜您,危險端口已經(jīng)屏蔽成功"
echo"下面將幫您關(guān)閉勒索病毒相關(guān)的危險服務(wù),請稍后...."
echo ”正在關(guān)閉Computer Browser的服務(wù)“
netstop Browser
echo ”正在關(guān)閉共享服務(wù)的服務(wù)“
netstop LanmanServer
echo ”TCP/IP NetBIOS Helper共享服務(wù)“
net stoplmhosts
echo ”正在關(guān)閉Workstation瀏覽服務(wù)“
net stopLanmanWorkstation
echo"恭喜您,危險端口已經(jīng)關(guān)閉,請您盡快使用360的nsatool工具進行漏洞圍堵,然后再執(zhí)行一鍵服務(wù)和端口的開啟腳本"
echo “Powered by情感iT人--高哥制作,感謝您的使用,按任意鍵退出 ”
pause
一鍵開啟共享端口和服務(wù):
@echo off
color 0A
title 正在開啟之前關(guān)閉的危險端口和服務(wù)
echo title您正在使用一鍵關(guān)閉危險端口和服務(wù)
echo “Powered by情感iT人--高哥制作,歡迎使用,按任意鍵繼續(xù)”
pause
echo"正在幫您開啟之前關(guān)閉的危險端口,請稍等"
echo “正在開啟防火墻服務(wù)”
net startMpsSvc
echo ”開啟防火墻自啟動“
sc configMpsSvc start= auto
echo ”啟用防火墻“
netshadvfirewall set allprofiles state on
echo"正在幫您解禁勒索病毒相關(guān)的防火墻規(guī)則"
netshadvfirewall firewall delete rule name="deny udp 135 "
netshadvfirewall firewall delete rule name="deny tcp 135"
netshadvfirewall firewall delete rule name="deny udp 137 "
netshadvfirewall firewall delete rule name="deny tcp 137"
netshadvfirewall firewall delete rule name="deny udp 138"
netshadvfirewall firewall delete rule name="deny tcp 138"
netshadvfirewall firewall delete rule name="deny udp 139"
netshadvfirewall firewall delete rule name="deny tcp 139"
netshadvfirewall firewall delete rule name="deny udp 445"
netshadvfirewall firewall delete rule name="deny tcp 445"
echo"恭喜您,共享服務(wù)的端口已經(jīng)打開"
echo"下面將幫您開啟共享的服務(wù)"
echo ”正在開啟Computer Browser的服務(wù)“
netstart Browser
echo ”正在開啟共享服務(wù)的服務(wù)“
netstart LanmanServer
echo ”TCP/IP NetBIOS Helper共享服務(wù)“
net startlmhosts
echo ”正在開啟Workstation瀏覽服務(wù)“
net startLanmanWorkstation
echo"恭喜您,相關(guān)服務(wù)已經(jīng)全部啟動"
echo “Powered by情感iT人--高哥制作,感謝您的使用,按任意鍵退出”
echo 按任意鍵退出
pause>nul
免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點不代表本網(wǎng)站立場,如果涉及侵權(quán)請聯(lián)系站長郵箱:is@yisu.com進行舉報,并提供相關(guān)證據(jù),一經(jīng)查實,將立刻刪除涉嫌侵權(quán)內(nèi)容。