关于勒索软件(Wannacry)E之助(www.e4work.com)给你三个忠告:
开机前先断开网络;
有线网请拔网线,无线网先请关闭无线路由器。
断网开机后,先关闭139和445端口;
开机后,如果中招了,不要付钱,付钱了也不能解密。中招后不要连网,不要做病毒传播者。
防护措施
请依次执行下面三个步骤,切记连网前关闭139和445端口。
一、关闭139和445端口
关闭139端口。操作步骤如下:
从控制面板,打开网络连接。选择当前连网的网络连接,如本地连接、以太网、WLAN等,然后点击右键-属性。
或者直接在桌面右下角的网络连接图标上,点击查看网络连接状态,点击属性按钮。
在打开的属性页,选中Internet协议版本(TCP/IP),或Internet协议版本(TCP/IPv4)。并双击,查看详情。
在TCP/IP协议页,点击“高级”按钮。
在高级TCP/IP设置中,切换至WIN页,禁用NetBIOS。
确认139端口关闭。
在CMD中运行命令netstat -ano | findstr ":139"确认139端口是否已关闭。关闭前。
关闭后
关闭445端口,关闭网络共享。步骤如下:
[运行]输入“regedit”,打开注册表。
确定后定位到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
NetBT\Parameters目录。
、新建名为“SMBDeviceEnabled”的DWORD值,并将其设置为0。
确认445端口已经关闭
在CMD界面输入netstat -ano | findstr ":445",如果什么也不出现,则445端口已经关闭。
至此,你可以放心上网了。
二、安装补丁
下载安装微软已发布修复“永恒之蓝”攻击的系统漏洞补丁MS17-010。补丁网址为:https://technet.microsoft.com/zh-cn/library/security/MS17-010
Windows XP和2003的特别补丁:
https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/
三、打开Windows自动更新
Windows的用户可以通过[设置]-[Windows更新]启用WindowsUpdates安装最新的更新。
后记:
5月12日,Wannacry永恒之蓝勒索蠕虫病毒爆发,国内高校成为重灾区。勒索木马来源于美国NAS机构,交付赎金未必能成功解密文件。
微软使用445端口提供文件共享服务,但是存在一个漏洞。美国的NAS发现了这个漏洞,通过这个漏洞,它做了远程攻击的工具,只要能打开455端口,就可以控制你的电脑,让你执行我的指令。这个工具后来被黑客组织偷走并改造成了勒索病毒。
我国高校的教育网存在这个漏洞的情况比较多,外网容易攻击进去,所以此次病毒高校是重灾区。甚至可能会影响到大批毕业生的正常毕业。有人调侃,“老师,我的以后作业被偷了”终于可以换成“老师,我的作业被病毒删除了”。
国内某著名安全论坛对此次事件进行了另类思考,它们借助感染样本,测试19款主流杀软的主动防御能力,涵盖卡巴斯基、比特梵德、ESET、AVAST、国内数字卫士/杀毒等知名产品。测试方法为锁库+断网,系统为未打补丁的Win7 SP1,其中多数软件的病毒库锁在2016年12月12日。结果是国际大厂如卡巴斯基和BitDefender的超一流再次得到事实验证,而国内的免费杀毒除了杀自家散步的病毒外,还真没什么用。
国内Windows用户盗版用户太多,而且有些是人为切换至盗版,比如购买一台笔记本电脑,随机的正版操作系统一般是Windows Home版,平时工作娱乐完全已经够用。可是很多人还是非得去安装盗版的ghost版Windows Professional/Ultimate,而网上很多修改后的ghost是会默认把Windows自动更新关闭的。所以就算微软早在今年3月份就已经发布了漏洞补丁包,由于没有更新,此次国内用户仍然被大量感染。
对于企业用户来说,自己维护公司内部的IT不仅成本高,而且风险也大。目前SASS模式应用越来越广泛,各中小企业不妨尝试把自己公司内部的OA、ERP、PROJECT等全部转换至E之助(e4work.com)。