勒索者源头来自暗 ,攻击具备兼容性、多语言支持,多个行业受到影响,国内的ATM机、火车站、自助终端、邮政、医院、政府办事终端、视频监控都可能遭受攻击。据 道,今日全国多地的中石油加油站无法进行 络支付,只能进行现金支付。中石油有关负责人表示,怀疑受到病毒攻击,具体情况还在核查。而截至目前,一些公安系统已经遭到入侵。
Wana-Decrypt0r-WannaCry-勒索软件
来自英国、西班牙、意大利等多个国家的用户在 上分享了被攻击的截图。据 道,Wannacry相关的比特币钱包已经开始填充现金。
西班牙计算机应急组织还针对WannaCry发布了警告:”WannaCry勒索软件侵入计算机,将文件加密并通过SMB执行远程命令。现在已经侵入了其他Windows系统的机器。”
目前还不清楚WannaCry的幕后黑手到底是谁。但大部分攻击来自钓鱼邮件,或是受害者访问的含有恶意软件的 站。早在今年二月,WannaCry的前身WeCry就已发起过攻击,向用户勒索比特币。
解决方案
该攻击涉及MS17-010漏洞,我们可以采用以下方案进行解决
漏洞名称:
Microsoft Windows SMB远程任意代码执行漏洞 (MS17-010)
包含如下CVE:
CVE-2017-0143 严重 远程命令执行
CVE-2017-0144 严重 远程命令执行
CVE-2017-0145 严重 远程命令执行
CVE-2017-0146 严重 远程命令执行
CVE-2017-0147 重要 信息泄露
CVE-2017-0148 严重 远程命令执行
漏洞描述:
SMBv1 server是其中的一个服务器协议组件。
Microsoft Windows中的SMBv1服务器存在远程代码执行漏洞。
远程攻击者可借助特制的数据包利用该漏洞执行任意代码。
以下版本受到影响:
Microsoft Windows Vista SP2
Windows Server 2008 SP2和R2 SP1
Windows 7 SP1
Windows 8.1
Windows Server 2012 Gold和R2
Windows RT 8.1
Windows 10 Gold
1511和1607
Windows Server 2016
解决方法:
1.防火墙屏蔽445端口
2.利用 Windows Update 进行系统更新
3.关闭 SMBv1 服务
3.1 适用于运行 Windows 8.1 或 Windows Server 2012 R2 及更高版本的客户
对于客户端操作系统:
打开“控制面板”,单击“程序”,然后单击“打开或关闭 Windows 功能”。
在“Windows 功能”窗口中,清除“SMB 1.0/CIFS 文件共享支持”复选框,然后单击“确定”以关闭此窗口。
重启系统。
3.2 对于服务器操作系统:
打开“服务器管理器”,单击“管理”菜单,然后选择“删除角色和功能”。
在“功能”窗口中,清除“SMB 1.0/CIFS
文件共享支持”复选框,然后单击“确定”以关闭此窗口。
重启系统。
3.3适用于运行Windows 7、 Windows Server 2008 R2、 Windows Vista 和 Windows Server 2008,修改注册表
注册表路径︰ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
新建项︰ SMB1,值0(DWORD)
重新启动计算机
关于影响的操作系统范围和对应的补丁 码详情请见:https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
勒索病毒中招尝试解决方案
方法一:
1:打开自己的那个勒索软件界面,点击copy. (复制黑客的比特币地址)
2:把copy粘贴到btc.com (区块链查询器)
3:在区块链查询器中找到黑客收款地址的交易记录,然后随意选择一个txid(交易哈希值)
4:把txid 复制粘贴给 勒索软件界面按钮connect us.
5:等黑客看到后 你再点击勒索软件上的check payment.
6:再点击decrypt 解密文件即可。
方法二:
下载开源的脚本(需要python3环境)来运行尝试恢复。
下载链接:https://github.com/QuantumLiu/antiBTCHack
原文发布时间为:2017-5-14
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!