剛需|Wannacry 勒索蠕蟲病毒用戶修復指引
目錄
一、Wannacry 勒索蠕蟲病毒事件背景
北京時間2017年5月12日晚,勒索軟件"WannaCry"感染事件爆發,全球範圍內150個國家遭到大規模網絡攻擊,被攻擊者電腦中的文件被加密,被要求支付比特幣以解密文件;眾多行業受到影響,比如英國的NHS服務,導致至少40家醫療機構內網被攻陷,電腦被加密勒索;而我國眾多行業的也是如此,其中又以教育網最為顯著,導致部分教學系統無法正常運行,相關學子畢業論文被加密等。截止到北京時間5月15日09點,目前事件趨勢已經蔓延到更多行業,包含金融、能源、醫療、交通等行業均受到影響。
今年4月14日黑客組織Shadow Brokers(影子經紀人)公佈了Equation Group(方程式組織)使用的"網絡軍火",其中包含了一些Windows漏洞(微軟編號為MS17-010)和利用工具,這些漏洞利用中以Eternalblue(永恆之藍)最為方便利用,並且網上出現的相關攻擊腳本和利用教程也以該漏洞為主,而在4月14日後我們監控捕獲的多起Windows主機入侵事件均是以利用Eternalblue進行入侵;Eternalblue可以遠程攻擊Windows的445端口,該端口主要用於基於SMB協議的文件共享和打印機共享服務。在以往捕獲的利用Eternalblue進行入侵攻擊的事件,黑客主要進行挖礦、DDoS等行為,而本次事件則是利用該漏洞進行勒索病毒的植入和傳播。
本次事件影響範圍廣泛,騰訊雲安全團隊發佈本指引意在指導雲上用戶在遭受攻擊前後進行相關處理,個人用戶也可參考部分章節。
二、 騰訊雲用戶主機應急修復及安全防範指引
2.1 確認機器是否已感染 WannaCry 蠕蟲病毒
檢查主機是否存在如下類似紅色贖金支付界面:
2.2 已感染主機應急修復指引
如存在以上類似紅色勒索界面,則說明主機已經感染蠕蟲病毒,您可以採取如下措施進行修復:
步驟 1: 及時止損並離線備份重要數據
雲用戶可以以去掉綁定的外網 IP 等方式隔離已遭受攻擊電腦,避免感染其他機器,同時可以在雲內網通過 ftp 方式拷貝還未被加密的文件到內網其他安全服務器。
部分電腦帶有系統還原功能,可以在未遭受攻擊之前設置系統還原點,這樣即使遭受攻擊之後可以還原系統,找回被加密的原文件,不過還原點時間到遭受攻擊期間的文件和設置將會丟失。
與此同時,大部分安全軟件已經具有該勒索軟件的防護能力或者其他免疫能力等,可以安裝這些安全軟件,如騰訊電腦管家,開啟實時防護,避免遭受攻擊。
步驟 2:開展病毒清理
安裝安全軟件(如電腦管家),利用殺軟的殺毒功能可直接查殺勒索軟件,同時進行掃描清理(已隔離的機器可以通過 U 盤等方式下載離線包安裝)。
步驟 3: 嘗試解密方案
嘗試方案 1:嘗試通過已解密的交易記錄進行解密
1>打開勒索軟件界面,點擊 copy(複製黑客的比特幣地址)
2>把 copy 粘貼到 btc.com (區塊鏈查詢器);
3>在區塊鏈查詢器中找到黑客收款地址的交易記錄,然後隨意選擇一個 txid(交易哈希值);
4> 把 txid 複製粘貼給 勒索軟件界面按鈕 connect us;
5> 等黑客看到後,再點擊勒索軟件上的 check payment;
6>再點擊 decrypt 解密文件即可;
嘗試方案 2:嘗試開源的腳本(需 python3 環境)來運行嘗試恢復
下載鏈接:
https://github.com/QuantumLiu/antiBTCHack
嘗試方案 3:嘗試使用勒索軟件自帶恢復功能恢復已被蠕蟲病毒刪除的文件
勒索軟件帶有恢復部分加密文件的功能,可以直接通過勒索軟件恢復部分文件,不過該恢復有限;直接點擊勒索軟件界面上的"Decrypt"可彈出恢復窗口,顯示可免費恢復的文件列表,然後點擊"Start"即可恢復列表中文。
嘗試方案 4:嘗試使用第三方數據恢復工具恢復已被蠕蟲病毒刪除的文件。
根據對勒索病毒分析,勒索軟件在加密文件後會刪除源文件,所以通過數據恢復軟件有一定概率恢復已被加密的部分文件,可以使用第三方數據恢復工具嘗試數據恢復,如 easyrecovery 等工具可幫助用戶恢復部分已經刪除的數據,但可能無法恢復加密數據。
如以上方式均無效,建議您重新安裝系統(騰訊雲官網鏡像已在 4 月 20 日修復蠕蟲利用漏洞,默認無法被利用)。
2.3 未感染主機安全防範指引
如暫未出現類似被勒索紅色彈框,建議及時進行自查和加固,避免被感染,您可以採取如下措施進行:
方式 1:通過安全組防火牆進行屏蔽蠕蟲傳播端口
1> 登錄官網【CVM 控制檯】 -【安全組】 -【編輯規則】:
2> 使用官網工具“封堵安全漏洞” 一鍵屏蔽 137、 139、 445 端口
3> 至此,已自動完成封堵蠕蟲傳播端口的防火牆配置
具體操作方法可參考:
http://bbs.qcloud.com/thread-28531-1-1.html
方式 2:利用 Windows Update 進行系統更新
利用系統自帶的 Windows Update 進行系統更新,更新到最新即可。
對於離線用戶,亦可以通過如下補丁下載地址進行安裝:
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
下載後,點擊“下一步” 進行安裝。
方式 3:關閉受影響 SMBv1 服務
3.1 對於運行 Windows 8.1 或 Windows Server 2012 R2 及更高版本的客戶
對於 Windows 8.1 客戶端操作系統:
1> 打開“控制面板”,單擊“程序”,然後單擊“打開或關閉 Windows 功能”。
2> 在“Windows 功能”窗口中,清除“SMB 1.0/CIFS 文件共享支持”複選框,然後單擊“確定”以關閉此窗口。
3> 重啟系統,使配置生效。
對於 Windows Server 2012 及以上服務器操作系統:
a> 打開“服務器管理器”,單擊“管理”菜單,然後選擇“刪除角色和功能”。
b> 在“功能”窗口中,清除“SMB 1.0/CIFS 文件共享支持”複選框,然後單擊“確定”以關閉此窗口。
c> 重啟系統。
3.2 對於運行 Windows 7、 Windows Server 2008 R2、 Windows Vista 和Windows Server 2008 的用戶:
1> 在命令行界面打開並修改註冊表
2> 打開註冊表路徑︰
HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\LanmanServer\\Parameters
3> 新建項︰ SMB1,值 0(DWORD)
4> 重新啟動計算機
方式 4:安裝騰訊電腦管家病毒免疫工具
可採用一些免疫工具進行自動化的補丁安裝和端口屏蔽,如騰訊電腦管家勒索病毒免疫工具,下載地址:
http://guanjia.qq.com/wannacry/
方式 5:建立滅活域名免疫機制
根據騰訊雲安全團隊對已有樣本分析,勒索軟件存在觸發機制,如果可以成功訪問
www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com和www.ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.com(目前已監控到的wannacry變種木馬開關域名),則電腦在中了勒索病毒後不會進行文件加密而直接退出。目前該域名已被安全人員註冊,可以正常訪問。
企業用戶可以通過在內網搭建 Web Server,然後通過內網 DNS 的方式將域名解析到 Web Server IP 的方式來實現免疫;通過該域名的訪問情況也可以監控內網病毒感染的情況。
三、普通用戶電腦應急修復及安全防範指引
3.1 已感染主機應急修復指引
如存在上述類似紅色勒索界面,則說明主機已經感染蠕蟲病毒,您可以採取如下措施進行修復:
步驟 1: 及時止損並離線備份重要數據
a> 普通用戶可以以拔掉網線等方式隔離已遭受攻擊電腦,避免感染其他機器,對相關重要文件採用離線備份(即使用 U 盤等方式)等方式進行備份。
b> 部分電腦帶有系統還原功能,可以在未遭受攻擊之前設置系統還原點,這樣即使遭受攻擊之後可以還原系統,找回被加密的原文件,不過還原點時間到遭受攻擊期間的文件和設置將會丟失。
c> 同時,大部分安全軟件已經具有該勒索軟件的防護能力或者其他免疫能力等,可以安裝這些安全軟件,如騰訊電腦管家,開啟實時防護,避免遭受攻擊。
d> 對於個人用戶,可以採用一些文件防護工具,進行文件的備份、防護,如電腦管家的文檔守護者(電腦管家工具箱內可下載使用)。
步驟 2: 開展病毒清理
安裝安全軟件(如電腦管家),利用殺軟的殺毒功能可直接查殺勒索軟件,同時進行掃描清理(已隔離的機器可以通過 U 盤等方式下載離線包安裝)。
步驟 3: 嘗試解密方案
嘗試方案1:打開勒索軟件界面,點擊 copy(複製黑客的比特幣地址)
1> 把 copy 粘貼到 btc.com (區塊鏈查詢器);
2> 在區塊鏈查詢器中找到黑客收款地址的交易記錄,然後隨意選擇一個 txid(交易哈希值);
3> 把 txid 複製粘貼給 勒索軟件界面按鈕 connect us;
4> 等黑客看到後,再點擊勒索軟件上的 check payment;
5> 再點擊 decrypt 解密文件即可;
嘗試方案 2:嘗試開源的腳本(需 python3 環境)來運行嘗試恢復
下載鏈接:
https://github.com/QuantumLiu/antiBTCHack
嘗試方案 3:嘗試使用第三方數據恢復工具恢復已被蠕蟲病毒刪除的文件
如 easyrecovery 等工具可幫助用戶恢復部分已經刪除的數據,但可能無法恢復加密數據。
如以上方式均無效,建議您重新安裝系統。
3.2 未感染主機安全防範指引
如暫未出現類似被勒索紅色彈框,建議及時進行自查和加固,避免被感染,
您可以採取如下措施進行:
方式 1:利用 Windows 防火牆添加規則屏蔽端口
點擊開始菜單-打開控制面板-選擇 Windows 防火牆
如果防火牆沒有開啟,點擊"啟動或關閉 Windows 防火牆"啟用防火牆後點擊" 確定
點擊"高級設置",然後左側點擊"入站規則",再點擊右側" 新建規則"
在"特定本地端口"處填入 445 並點擊"下一步",選擇"阻止連接",然後一直下一步,並給規則隨意命名後點擊完成即可。
注:不同系統可能有些差異,不過操作類似
方式 2:利用 Windows Update 進行系統更新
利用 Windows 系統自帶的 Windows Update 進行系統更新,更新到最新即可。
如確認已安裝 5 月份 KB4012264 補丁,則說明系統默認不受此次蠕蟲病毒影響,確認方法可參考:
Windows 7 :KB4012215 或 KB4015549 或 KB4019264;
Windows 8.1:KB4012216 或 KB4015550 或 KB4019215;
Windows 10去 Windows 更新即可;
Windows 8 暫無更新補丁,需升級至 Windows 8.1
Windows 8.1 64 補丁鏈接:
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows8.1-kb4019215-x64_d06fa047afc97c445c69181599e3a66568964b23.msu
Windows 8.1 32 補丁鏈接:
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows8.1-kb4019215-x86_fe1cafb988ae5db6046d6e389345faf7bac587d7.msu
Windows 7 64 補丁鏈接:
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/windows6.1-kb4019264-x64_c2d1cef74d6cb2278e3b2234c124b207d0d0540f.msu
Windows 7 32 補丁鏈接:
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/05/
方式 3:安裝騰訊電腦管家病毒免疫工具
騰訊電腦管家在蠕蟲爆發當晚已支持對蠕蟲病毒的檢測和查殺,目前已發佈加固免疫工具,官方下載地址:
http://guanjia.qq.com/wannacry/
方式 4:建立滅活域名免疫機制
根據騰訊雲安全團隊對已有樣本分析,勒索軟件存在觸發機制,如果可以成功訪問
iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com和www.ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.com(目前已監控到的wannacry變種木馬開關域名),則電腦在中了勒索病毒後不會進行文件加密而直接退出。目前該域名已被安全人員註冊,可以正常訪問。
普通用戶在可以聯網狀態下,保證對該網址的可訪問,則可以避免在遭受攻擊後避免被加密(僅限於已知勒索病毒)。
參考鏈接:
[1] 微軟 MS17-010 漏洞公告及補丁下載
https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx
[2] 微軟 Windows XP/2003 補丁下載
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
[3] 騰訊雲事件預警
http://bbs.qcloud.com/thread-29948-1-1.html
[4]勒索病毒” 爆發 騰訊雲安全專家教你來防範
http://v.qq.com/live/p/topic/29893/review.html
[5] 電腦管家下載及事件專題頁面
https://guanjia.qq.com/wannacry/index2.html
[6] 騰訊電腦管家對於 WannaCry 蠕蟲的詳細分析
http://slab.qq.com/news/tech/1575.html
[7] 騰訊雲針對方程式工具包預警及修復建議
http://bbs.qcloud.com/thread-28531-1-1.html
[8] 騰訊安全反病毒實驗室解讀“Wannacry” 勒索軟件
https://www.qcloud.com/community/article/634316
溫馨提醒
此次勒索蠕蟲病毒在互聯網上的傳播範圍極廣,影響範圍巨大,建議針對您的重要業務數據或個人數據進行數據備份,同時針對雲用戶,可針對 Windows 製作系統鏡像,以做好災難應急恢復工作。
騰訊雲安全
2017 年 5 月 14 日