大家好,今天来为大家解答wannacry 2.0这个问题的一些问题点,包括don't wanna cry也一样很多人还不知道,因此呢,今天就来为大家分析分析,现在让我们一起来看看吧!如果解决了您的问题,还望您关注下本站哦,谢谢~
WannaCry2.0勒索病毒怎么预防 WannaCry2.0文件解锁恢复方法
目前wana系列勒索病毒已经被一定程度上控制,但病毒扔在持续对抗升级,有效预防此次Wanna勒索病毒可通过以下行为进行规避。
一是,临时关闭端口。Windows用户可以使用防火墙过滤个人电脑,并且临时关闭135、137、445端口3389远程登录(如果不想关闭3389远程登录,至少也是关闭智能卡登录功能),并注意更新安全产品进行防御,尽量降低电脑受攻击的风险。
二是,及时更新 Windows已发布的安全补丁。在3月MS17-010漏洞刚被爆出的时候,微软已经针对Win7、Win10等系统在内提供了安全更新;此次事件爆发后,微软也迅速对此前尚未提供官方支持的Windows XP等系统发布了特别补丁。
三是,利用“勒索病毒免疫工具”进行修复。用户通过其他电脑下载腾讯电脑管家“勒索病毒免疫工具”离线版,并将文件拷贝至安全、无毒的U盘;再将指定电脑在关闭WiFi,拔掉网线,断网状态下开机,并尽快备份重要文件;然后通过U盘使用“勒索病毒免疫工具”离线版,进行一键修复漏洞;联网即可正常使用电脑。
四是,利用“文件恢复工具”进行恢复。已经中了病毒的用户,可以使用电脑管家-文件恢复工具进行文件恢复,有一定概率恢复您的文档。
另外,企业网络管理员可使用“管理员助手”检测电脑设备安防情况。腾讯反病毒实验室安全团队经过技术攻关,于14日晚推出了针对易感的企业客户推出了一个电脑管家“管理员助手”诊断工具。企业网络管理员只要下载这一诊断工具,输入目标电脑的IP或者设备名称,即可诊断目标电脑是否存在被感染勒索病毒的漏洞;并可在诊断报告的指导下,对尚未打补丁的健康设备及时打补丁、布置防御。
注意:Windows用户近期尽量避免访问高危网页,同时若不幸中毒切勿支付赎金,联系安全厂商协助恢复有价数据,或者可以通过格式化硬盘彻底消灭病毒。
wannacry病毒怎么防范 wannacry2.0病毒预防方法
wannacry病毒预防方法:
1、为计算机安装最新的安全补丁,微软已发布补丁MS17-010修复了“永恒之蓝”攻击的系统漏洞,请尽快安装此安全补丁;对于windows
XP、2003等微软已不再提供安全更新的机器,可使用360“NSA武器库免疫工具”检测系统是否存在漏洞,并关闭受到漏洞影响的端口,可以避免遭到勒索软件等病毒的侵害。
2、关闭445、135、137、138、139端口,关闭网络共享。
3、强化网络安全意识:不明链接不要点击,不明文件不要下载,不明邮件不要打开……
4、尽快(今后定期)备份自己电脑中的重要文件资料到移动硬盘、U盘,备份完后脱机保存该磁盘。
5、建议仍在使用windows
xp,
windows
2003操作系统的用户尽快升级到
window
7/windows
10,或
windows
2008/2012/2016操作系统。
wannacry是什么梗
WannaCry是指一个叫WannaCry的勒索病毒想哭,叫“永恒之蓝”,非常嚣张的横扫全球Windows设备。2017年5月12日,WANNACRY勒索病毒全球爆发,150个国家至少30万用户感染,造成高达80亿美元的损失。奇怪;中国28388家机构被入侵,几乎覆盖中国所有地区。WannaCry通过MS17-010漏洞在全球传播,并感染了大量计算机。病毒感染电脑后,会在电脑中植入勒索软件,导致大量电脑文件被加密。受害者电脑被黑客锁定后,病毒提示支付相应赎金才能解密。勒索软件常见的后缀是:WNCRY,传播方式是:“永恒之蓝”漏洞。特征是:启动时连接一个不存在的URL创建系统服务MSSECSVC2.0发布路径是Windows目录。
WannaMine挖矿木马手工处理
关于病毒及木马的问题,都说老生常谈的了,这里就不讲逆向分析的东西,网上毕竟太多。就写一下WannaMine2.0到4.0的手工处理操作。确实,很多时候都被问的烦了。
WannaCry勒索与WannaMine挖矿,虽然首次发生的时间已经过去很久了,但依旧能在很多家内网见到这两个,各类杀毒软件依旧无法清除干净,但可以阻断外联及删除病毒主体文件,但依然会残留一些。此种情况下,全流量分析设备依旧可以监测到尝试外联,与445端口扫描行为。
WannaCry在使用杀毒软件及手动清除攻击组件所在目录后,仍需手动cmd命令删除两个系统服务sc delete mssecsvc2.0与mssecsvc2.1。
WannaMine全系使用“永恒之蓝”漏洞,在局域网内快速传播。且高版本会在执行成功后完全清除旧版本。
下图为WannaCry与WannaMine使用的永恒之蓝攻击组件相关文件。
WannaMine2.0版本
该版本释放文件参考如下:
C:\Windows\SpeechsTracing\Microsoft
C:\Windows\system32\wmassrv.dll
C:\Windows\system32\HalPluginsServices.dll
C:\Windows\System32\EnrollCertXaml.dll删除系统服务名与DLL文件对应的wmassrv。
WannaMine3.0版本
该版本释放文件参考如下:
C:\Windows\System32\MarsTraceDiagnostics.xmlC:\Windows\AppDiagnostics\C:\Windows\System32\TrustedHostex.exeC:\Windows\System32\snmpstorsrv.dll
需删除主服务snmpstorsrv与UPnPHostServices计划任务
WannaMine4.0版本
该版本释放文件参考如下:
C:\Windows\System32\rdpkax.xsl
C:\Windows\System32\dllhostex.exe
C:\Windows\System32\ApplicationNetBIOSClient.dll
C:\Windows\SysWOW64\ApplicationNetBIOSClient.dll
C:\Windows\SysWOW64\dllhostex.exe
C:\Windows\NetworkDistribution
<pre style="margin: 0px; padding: 0px; white-space: pre-wrap!important; overflow-wrap: break-word!important; max-width: 98%;">文件名随机组合参考•第一部分:Windows、Microsoft、Network、Remote、Function、Secure、Application•第二部分:Update、Time、NetBIOS、RPC、Protocol、SSDP、UPnP•第三部分:Service、Host、Client、Event、Manager、Helper、System•rdp压缩文件随机字符串后缀:xml、log、dat、xsl、ini、tlb、msc</pre>
关于Windows下计划任务与启动项查看方式,建议在使用PCHunter、Autoruns、ProcessHacker等工具无法发现异常的情况下,可以到注册表下查看。
注册表下排查可疑的计划任务
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Schedule\TaskCache\Tree
发现可疑项可至tasks下查看对应ID的Actions值
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\tasks[图片上传失败...(image-e8f3b4-1649809774433)]
计划任务文件物理目录
C:\Windows\System32\Tasks\Microsoft\Windows
新变种病毒有依靠 WMI类属性存储 ShellCode进行攻击,Autoruns可以用来检查WMI与启动项并进行删除,在手动删除病毒相关计划任务与启动项时,记得删除相应的文件与注册表ID对应项。
注册表下查看开机启动项
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run或runOnce [图片上传失败...(image-8a357b-1649809774432)]