用户
搜索
  • TA的每日心情
    无聊
    2017-5-25 10:08
  • 签到天数: 7 天

    连续签到: 2 天

    [LV.3]偶尔看看II

    i春秋签约作家

    Rank: 7Rank: 7Rank: 7

    34

    主题

    64

    帖子

    334

    魔法币
    收听
    0
    粉丝
    8
    注册时间
    2015-11-20

    签约作者

    发表于 2017-5-15 14:39:34 56206
    最新勒索软件WannaCrypt病毒感染前后应对措施
    simeon
    针对WannaCrypt勒索病毒的讨论和技术文章是铺天盖地,大量的技术流派,安全厂家等纷纷献计献策,有安全厂家开发各种安全工具,对安全生态来说是一个好事,但对个人未必就是好事,我们国家很多用户是普通用户是安全小白,如果遭遇WannaCrypt勒索软件,我们该怎么办?是主动积极应对,还是被动等待被病毒感染,这完全取决于您个人选择,笔者战斗在病毒对抗的第一线,将一些经验跟大家分享,希望能对您有所帮助!本文收集了windowsxp-windows2012所有的补丁程序以及360等安全公司的安全工具程序供大家下载,下载地址:http://pan.baidu.com/s/1boBiHNx

    .病毒危害1.1病毒感染的条件
    到互联网上乃至技术专家都认为WannaCrypt攻击源头来自于MS17-010漏洞,在现实中很多被感染网络是内网,mssecsvc.exe病毒文件大小只有3M多,其后续加密生成有多个文件,这些文件是从哪里来,内网是跟外网隔离的!笔者整理认为病毒感染是有条件的:
    1.Windows7以上操作系统感染几率较高
    2.在感染的网络上,如果系统开放了445端口,将被快速感染计算机。
    3.内网补丁更新不及时

    1.2病毒感染的后果
    WannaCrypt勒索病毒被定义为蠕虫病毒,其传播速度非常快,一旦被感染,只有两种途径来解决,一种是支付赎金,另外一种就是重装系统,所有资料全部归零。通过笔者分析,如果是在病毒WannaCrypt发作前,能够成功清除病毒,将可以救回系统,减少损失!360也提供了一款勒索蠕虫病毒文件恢复工具RansomRecovery ,其下载地址:http://dl.360safe.com/recovery/RansomRecovery.exe主要针对勒索病毒成功感染后的恢复,越早恢复,文件被恢复的几率越高
    二、 WannaCrypt勒索病毒原理分析
    WannaCrypt勒索病毒原理分析笔者再次就不赘述了,详细情况请参阅WanaCrypt0r勒索蠕虫完全分析报告(http://bobao.360.cn/learning/detail/3853.html)。

    笔者要想说的是病毒感染的三个时间段:
    1.病毒感染初阶段,病毒从未知渠道进入网络,病毒开始攻击内网某台主机,对计算机存在漏洞计算机进行攻击,成功后释放mssecsvc.exe文件,并连接固定url(54.153.0.145): http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com
    a)如果连接成功,则退出程序
    b)连接失败则继续攻击
    2.病毒感染中阶段
    接下来蠕虫开始判断参数个数,小于2时,进入安装流程;大于等于2时,进入服务流程

    3.病毒感染后阶段,对磁盘文件进行加密处理,出现勒索软件界面。

    三、勒索病毒处理的黄金时间
    笔者在实际病毒对抗过程中发现,加固是针对未感染的计算机有用,感染后的计算机加固也是无用的!!!!
    在前面病毒运行阶段有两个小时的黄金时间,我想明天大家上班了,如果个人人走关机,则意味做网络是关闭的,计算机是安全的,这是时候第一时间是拔掉网线,然后再开启计算机!!如果网络中已经存在病毒了,那么应该以最快的速度来结束病毒,可以参考文章后面的结束病毒进程,然后是备份文件,最后加固!如果有条件可以利用linux启动盘启动系统,先备份文件,然后再做其他事情!整理了一下具体流程:
    1.开机前拔掉网线,不使用网络。
    2.若熟悉linux,可以刻盘启动计算机,使用U盘对文件进行备份。
    3.使用本文提及的方法清理病毒。
    4.使用安全优盘进行系统文件备份,如果没有优盘,则可以将需要备份的文件先行压缩为rar文件,然后再修改为.exe文件。

    四、安全处理建议
    1.病毒感染前处理
    1)采用后续部分135139445等端口加固方法加固。
    2)也可使用360NSA武器免疫工具检测计算机是否存在漏洞,如图1所示,在windows2003SP1虚拟机中进行检测显示无漏洞。

    1-检测是否存在nsa漏洞.jpg
    1使用360nsa武器库免疫工具
    3)使用安天免疫工具进行检测和设置,如图2所示,按照运行结果进行设置即可。

    2-蠕虫勒索软件免疫工具.jpg
    2使用安天免疫工具进行设置
    4)根据系统实际情况安装补丁,我已经收集目前可用的安全工具以及相对应当漏洞补丁程序。下载地址:
    2.病毒正在感染,通过netstat-an命令查看,如果系统出现大量的445连接,说明肯定存在病毒,可以使用以下办法进行杀毒,同时拔掉网线!(另外一种方法就是通过kalilinux启动盘去清除病毒也可以,然后通过U盘直接备份资料)
      1)设置查看文件选项
    由于病毒设置了隐藏属性,正常情况下无法查看该文件,需要对文件查看进行设置,即在资源管理器中单击“工具”-“文件夹选项”,如图3所示。

    3-文件夹选项设置.jpg
    3 打开文件夹选项设置
      去掉“隐藏受保护的操作系统文件(推荐)”、选择“显示隐藏的文件、文件夹和驱动器”、去掉“隐藏已知文件类型的扩展名”,如图4所示,即可查看在windows目录下的病毒隐藏文件。

    4-设置文件查看.jpg
    4文件夹查看选项设置
    2)结束进程
       通过任务管理器,在任务栏上右键单击选择“启动任务管理器”,如图5所示,从进程中去查找mssecsvc.exetasksche.exe文件,选中mssecsvc.exetasksche.exe,右键单击选择“结束进程树”将病毒程序结束,又可能会反复启动,结束动作要快。以上三个文件一般位于c:\windows目录。


    5-结束进程.JPG
    5结束进程
    3)删除程序
    到windows目录将三个文件按照时间排序,一般会显示今天或者比较新的时期,将其删除,如果进程结束后,又启动可来回删除和结束。直到将这三个文件删除为止,有可能到写本文章的时候,已经有病毒变体,但方法相同,删除新生成的文件。
    4)再次查看网络
    使用netstat –an命令再次查看网络连接情况,无对外连接情况,一切恢复正常。
    可以使用安全计算机下载安全工具Autoruns以及Proces**plorer,通过光盘刻录软件,到感染病毒计算机中进行清除病毒!软件下载地址:
    注意,本文所指清除病毒是指勒索软件还未对系统软件进行加密!如果在桌面出现黄色小图标,桌面背景有红色英文字体显示(桌面有窗口弹出带锁图片,Wana Decryptor2.0),这表明系统已经被感染了。
    3.病毒已经感染
      如果系统已经被病毒感染,则下载RansomRecovery http://dl.360safe.com/recovery/RansomRecovery.exe)进行恢复。

    五、病毒原始文件分析
       1.文件名称及大小
    本次捕获到病毒样本文件三个,mssecsvc.exe、qeriuwjhrf、tasksche.exe,如图6所示,根据其md5校验值,tasksche.exe和qeriuwjhrf文件大小为3432KB,mssecsvc.exe大小为3636KB。
    2.md5校验值
    使用md5计算工具对以上三个文件进行md5值计算,其md5校验值分别如下:
    tasksche.exe  8b2d830d0cf3ad16a547d5b23eca2c6e
    mssecsvc.exe  854455f59776dc27d4934d8979fa7e86
    qeriuwjhrf:  8b2d830d0cf3ad16a547d5b23eca2c6e

    6-病毒文件.jpg
    6 勒索软件病毒基本情况
    3.查看病毒文件
    (1)系统目录查看
    文件一般位于系统盘下的windows目录,例如c:\windows\,通过命令提示符进入:
    cd c:\windows\
    dir /od /a *.exe
       2)全盘查找
    dir /od /s  /a tasksche.exe
    dir /od /s  /a  mssecsvc.exe
    4.病毒现象
    1)通过netstat –an命令查看网络连接,会发现网络不停的对外发送SYN_SENT包,如图7所示。

    7-病毒不断连接445端口.jpg
    7对外不断的发送445连接包
    2)病毒服务
       通过Autoruns安全分析工具,可以看到在服务中存在“fmssecsvc2.0”服务名称,该文件的时间戳为2010112017:03分,如图8所示。

    8-病毒服务.jpg
    8病毒启动的服务
    六、安全加固
    1.关闭445端口
    1)手工关闭
    在命令提示符下输入“regedit”,依次打开“HKEY_LOCAL_MACHINE”-“System”-“Controlset”“Services”-“NetBT”-“Parameters”,在其中选择“新建”——“DWORD值”,将DWORD值命名为“SMBDeviceEnabled”,并通过修改其值设置为“0”,如图9所示,需要特别注意一定不要将SMBDeviceEnabled写错了!否则没有效果!

    9-关闭445.jpg
    9注册表关闭445端口
    查看本地连接属性,将去掉“Microsoft网络的文件和打印机共享”前面的勾选,如图10所示。

    10-取消网络文件以及打印机共享.jpg
    图10取消网络文件以及打印机共享
    (2)使用锦佰安提供的脚本进行关闭,在线下载脚本地址:http://www.secboot.com/445.zip,脚本代码如下:
    echo "欢迎使用锦佰安敲诈者防御脚本"
    echo "如果pc版本大于xp 服务器版本大于windows2003,请右键本文件,以管理员权限运行。"
    netsh firewall set opmode enable
    netsh advfirewall firewall addrule name="deny445" dir=in protocol=tcp localport=445 action=block
    netsh firewall setportopening  protocol=TCP port=445mode=disable name=deny445
    2.关闭135端口
    在运行中输入“dcomcnfg”,然后打开“组建服务”-“计算机”-“属性”-“我的电脑属性”-“默认属性”-“在此计算机上启用分布式COM”去掉选择的勾。然后再单击“默认协议”选项卡,选中“面向连接的TCP/IP”,单击“删除”或者“移除”按钮,如图11所示。

    11-135端口关闭.jpg
    11关闭135端口
    3.关闭139端口
    139端口是为“NetBIOS Session Service”提供的,主要用于提供Windows文件和打印机共享以及Unix中的Samba服务。 单击“网络”-“本地属性”,在出现的“本地连接属性”对话框中,选择“Internet协议版本4(TCP/IPv4)”-“属性”,双击打开“高级TCP/IP设置”-“WINS”,在“NetBIOS设置”中选择“禁用TCP/IP上的NetBIOS”,如图12所示。

    12-139端口关闭.jpg
    12关闭139端口
    4.查看端口是否开放
    以后以下命令查看135139445已经关闭。
    netstat -an | find  "445"
    netstat -an | find  "139"
    netstat -an | find "135"
    5.开启防火墙
       启用系统自带的防火墙。
    6.更新系统补丁
       通过360安全卫士更新系统补丁,或者使用系统自带的系统更新程序更新系统补丁。
    七、安全启示
    这波勒索病毒使用的是今年3月爆发的NSA暴露的那些漏洞利用工具,当时出来以后,如果及时对系统更新了漏洞补丁和加固后,系统基本不会被感染。
    1.来历不明的文件一定不要打开
    2.谨慎使用优盘,在优盘中可以建立antorun.inf文件夹防止优盘病毒自动传播
    3.安装杀毒软件,目前升级过病毒库的杀毒软件都可以识别传播的病毒。
    4.打开防火墙
    5.ATScannerWannaCry
    6.蠕虫勒索软件免疫工具(WannaCryhttp://www.antiy.com/response/wannacry/Vaccine_for_wannacry.zip
      有关WannaCrypt勒索病毒软件的进一步分析,请关注我们的技术分析,欢迎加入安天365技术交流群(513833068)进行该技术的探讨。




    发表于 2017-5-16 21:32:44
    谢谢分享~~涨姿势
    http://blog.163.com/sy_butian/欢迎交流
    使用道具 举报 回复
    发表于 2017-5-16 21:33:22
    谢谢分享~~涨姿势
    http://blog.163.com/sy_butian/欢迎交流
    使用道具 举报 回复
    发表于 2017-5-16 21:37:15
    �°¢�°¢�ˆ†浜«~~�¶¨�§¿�Š¿
    http://blog.163.com/sy_butian/欢迎交流
    使用道具 举报 回复
    发表于 2017-5-21 20:07:48
    多谢分享
    使用道具 举报 回复
    发表于 2017-5-22 07:15:17
    感谢分享学习一下
    使用道具 举报 回复
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册