WannaCry勒索病毒处理指南
导语:北京时间2017年5月12日晚,勒索软件"WannaCry"感染事件在全球范围内爆发,被攻击者电脑中的文件被加密,被要求支付赎金以解密文件;本次事件影响范围广泛,为避免微信支付用户和商户遭受损失,微信支付携手腾讯安全云鼎实验室发布本处理指南,意在为微信支付用户和商户在遭受攻击前后,提供相关处理的参考方案。
事前预防
事前预防包含三招:“封堵漏洞、预防中毒”、“云端服务封堵漏洞”、以及“备份数据,安装安全软件。
封堵漏洞,预防中毒
本指南提供A、B两种方案,选择任意一种方案即可。如对操作系统不熟悉,推荐使用A方案。
>>>>方案A:(推荐方案)使用腾讯电脑管家勒索病毒免疫工具
下载地址: http://dlied6.qq.com/invc/xfspeed/qqpcmgr/download/VulDetector.exe
-
使用方案:下载后直接运行。如出现下图的操作系统用户账户控制,请选择“是”。
>>>>方案B:手动关闭端口,下载安装补丁
-
在微软官方页面下载操作系统补丁
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx
-
利用防火墙添加规则屏蔽入口
● 开始菜单 > 打开控制面板 > 选择Windows防火墙
● 如果防火墙没有开启,点击“启动或关闭 Windows防火墙”启用。● 点击“高级设置”,然后左侧点击“入站规则”,再点击右侧“新建规则”。
● 在打开窗口哦选择要创建的规则类型为“端口”,并点击“下一步”。
● 在“特定本地端口”处填入445并点击“下一步”,选择“阻止连接”,一直点击“下一步”,并给规则任意命名后点击完成即可。
注:不同系统可能有些差异,不过操作类似
云端服务、封堵漏洞
如果支付服务部署在腾讯云,请按照下述方法配置 安全组规则屏蔽445端口:
-
选择需要操作机器所属的安全组,点击“编辑规则”。
直接点击快捷配置按钮“封堵安全漏洞”就可以自动添加规则。
-
该快捷按钮将会添加“137、139、445”三个端口的屏蔽规则。
如果只想添加本次所影响的445端口,可以在保存前进行调整(请注意:如非业务需要,不建议调整)。
备份数据、安装安全软件、开启防护
对相关重要文件采用离线备份(即使用U盘等方式)等方式进行备份。
部分电脑带有系统还原功能,可以在未遭受攻击之前设置系统还原点,这样即使遭受攻击之后可以还原系统,找回被加密的原文件,不过还原点时间到遭受攻击期间的文件和设置将会丢失。
目前,大部分安全软件已经具有该勒索软件的防护能力或者其他免疫能力等,可以安装这些安全软件,如腾讯电脑管家,开启实时防护,避免遭受攻击。
可以采用一些文件防护工具,进行文件的备份、防护,如电脑管家的文档守护者(电脑管家工具箱内可下载使用)。
事后病毒处理
首先可以拔掉网线等方式隔离已遭受攻击电脑,避免感染其他机器。
病毒清理。相关安全软件(如电脑管家)的杀毒功能能直接查杀勒索软件,可以直接进行扫描清理(已隔离的机器可以通过U盘等方式下载离线包安装)。
-
也可以在备份了相关数据后直接进行系统重装,并在重装后参考"事前预防"进行预防操作。
参考链接
[1] 微软MS17-010漏洞公告及补丁下载
https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx
[2] 微软Windows XP/2003补丁下载
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
[3] 腾讯云事件预警
http://bbs.qcloud.com/thread-29948-1-1.html
[4] 勒索病毒”爆发 腾讯云安全专家教你来防范
http://v.qq.com/live/p/topic/29893/review.html
[5] 电脑管家下载及事件专题页面
https://guanjia.qq.com/wannacry/index2.html
[6] 腾讯电脑管家对于WannaCry蠕虫的详细分析
http://slab.qq.com/news/tech/1575.html
[7] 腾讯云针对方程式工具包预警及修复建议
http://bbs.qcloud.com/thread-28531-1-1.html
[8] 腾讯安全反病毒实验室解读“Wannacry”勒索软件
http://tech.qq.com/a/20170513/018532.html