群联科技公司欢迎您,请谨防冒充诈骗!
群联科技
主页 > 帮助中心 > 公司新闻 >

Wannacry 勒索蠕虫病毒用户修复指引

作者:群联科技 2018-03-01 20:28

一、Wannacry 勒索蠕虫病毒事件背景
北京时间2017年5月12日晚,勒索软件"WannaCry"感染事件爆发,全球范围内150个国家遭到大规模网络攻击,被攻击者电脑中的文件被加密,被要求支付比特币以解密文件;众多行业受到影响,比如英国的NHS服务,导致至少40家医疗机构内网被攻陷,电脑被加密勒索;而我国众多行业的也是如此,其中又以教育网最为显著,导致部分教学系统无法正常运行,相关学子毕业论文被加密等。截止到北京时间5月15日09点,目前事件趋势已经蔓延到更多行业,包含金融、能源、医疗、交通等行业均受到影响。
今年4月14日黑客组织Shadow Brokers(影子经纪人)公布了Equation Group(方程式组织)使用的"网络军火",其中包含了一些Windows漏洞(微软编号为MS17-010)和利用工具,这些漏洞利用中以Eternalblue(永恒之蓝)最为方便利用,并且网上出现的相关攻击脚本和利用教程也以该漏洞为主,而在4月14日后我们监控捕获的多起Windows主机入侵事件均是以利用Eternalblue进行入侵;Eternalblue可以远程攻击Windows的445端口,该端口主要用于基于SMB协议的文件共享和打印机共享服务。在以往捕获的利用Eternalblue进行入侵攻击的事件,黑客主要进行挖矿、DDoS等行为,而本次事件则是利用该漏洞进行勒索病毒的植入和传播。
本次事件影响范围广泛,本指引意在指导云上用户在遭受攻击前后进行相关处理,个人用户也可参考部分章节。  
二、云用户主机应急修复及安全防范指引
2.1 确认机器是否已感染 WannaCry 蠕虫病毒
检查主机是否存在如下类似红色赎金支付界面:
        
2.2 已感染主机应急修复指引
如存在以上类似红色勒索界面,则说明主机已经感染蠕虫病毒,您可以采取如下措施进行修复:
步骤 1: 及时止损并离线备份重要数据

云用户可以以去掉绑定的外网 IP 等方式隔离已遭受攻击电脑,避免感染其他机器,同时可以在云内网通过 ftp 方式拷贝还未被加密的文件到内网其他安全服务器。
部分电脑带有系统还原功能,可以在未遭受攻击之前设置系统还原点,这样即使遭受攻击之后可以还原系统,找回被加密的原文件,不过还原点时间到遭受攻击期间的文件和设置将会丢失。
与此同时,大部分安全软件已经具有该勒索软件的防护能力或者其他免疫能力等,可以安装这些安全软件,开启实时防护,避免遭受攻击。

    步骤 2: 开展病毒清理
     安装安全软件,利用杀软的杀毒功能可直接查杀勒索软件,同时进行扫描清理(已隔离的机器可以通过U 盘等方式下载离线包安装)。步骤 3: 尝试解密方案
尝试方案 1:尝试通过已解密的交易记录进行解密
     打开勒索软件界面,点击 copy(复制黑客的比特币地址)
把 copy 粘贴到 btc.com (区块链查询器);
在区块链查询器中找到黑客收款地址的交易记录,然后随意选择一个 txid(交易哈希值);
把 txid 复制粘贴给 勒索软件界面按钮 connect us;
等黑客看到后,再点击勒索软件上的 check payment;
再点击 decrypt 解密文件即可;
尝试方案 2:尝试开源的脚本(需 python3 环境)来运行尝试恢复
下载链接:
https://github.com/QuantumLiu/antiBTCHack
尝试方案 3:尝试使用勒索软件自带恢复功能恢复已被蠕虫病毒删除的文件
勒索软件带有恢复部分加密文件的功能,可以直接通过勒索软件恢复部分文件,不过该恢复有限;直接点击勒索软件界面上的"Decrypt"可弹出恢复窗口,显示可免费恢复的文件列表,然后点击"Start"即可恢复列表中文。
上一篇:没有了
下一篇:Intel CPU漏洞为何如此恐怖?