勒索軟件WannaCrypt病毒感染前后應(yīng)對措施

針對WannaCrypt勒索病毒的討論和技術(shù)文章是鋪天蓋地，大量的技術(shù)流派，安全廠家等紛紛獻(xiàn)計(jì)獻(xiàn)策，有安全廠家開發(fā)各種安全工具，對安全生態(tài)來說是一個(gè)好事，但對個(gè)人未必就是好事，我們國家很多用戶是普通用戶是安全小白，如果遭遇WannaCrypt勒索軟件，我們該怎么辦？是主動(dòng)積極應(yīng)對，還是被動(dòng)等待被病毒感染，這完全取決于您個(gè)人選擇，筆者戰(zhàn)斗在病毒對抗的第一線，將一些經(jīng)驗(yàn)跟大家分享，希望能對您有所幫助！本文收集了windowsxp-windows2012所有的補(bǔ)丁程序以及360等安全公司的安全工具程序供大家下載，下載地址：pan.baidu.com/s/1boBiHNx 

一.病毒危害

1.1病毒感染的條件

到互聯(lián)網(wǎng)上乃至技術(shù)專家都認(rèn)為WannaCrypt攻擊源頭來自于MS17-010漏洞，在現(xiàn)實(shí)中很多被感染網(wǎng)絡(luò)是內(nèi)網(wǎng)，mssecsvc.exe病毒文件大小只有3M多，其后續(xù)加密生成有多個(gè)文件，這些文件是從哪里來，內(nèi)網(wǎng)是跟外網(wǎng)隔離的！

筆者整理認(rèn)為病毒感染是有條件的： 

1. Windows7以上操作系統(tǒng)感染幾率較高 
   
2. 在感染的網(wǎng)絡(luò)上，如果系統(tǒng)開放了445端口，將被快速感染計(jì)算機(jī)。 
   
3. 內(nèi)網(wǎng)補(bǔ)丁更新不及時(shí)
   

1.2病毒感染的后果

WannaCrypt勒索病毒被定義為蠕蟲病毒，其傳播速度非?？欤坏┍桓腥?，只有兩種途徑來解決，一種是支付贖金，另外一種就是重裝系統(tǒng)，所有資料全部歸零。通過筆者分析，如果是在病毒W(wǎng)annaCrypt發(fā)作前，能夠成功清除病毒，將可以救回系統(tǒng)，減少損失！360也提供了一款勒索蠕蟲病毒文件恢復(fù)工具RansomRecovery ，其下載地址：dl.360safe.com/recovery/RansomRecovery.exe主要針對勒索病毒成功感染后的恢復(fù)，越早恢復(fù)，文件被恢復(fù)的幾率越高

二、 WannaCrypt勒索病毒原理分析

WannaCrypt勒索病毒原理分析筆者再次就不贅述了，詳細(xì)情況請參閱WanaCrypt0r勒索蠕蟲完全分析報(bào)告（bobao.#/learning/detail/3853.html）。 筆者要想說的是病毒感染的三個(gè)時(shí)間段： 

1. 病毒感染初階段，病毒從未知渠道進(jìn)入網(wǎng)絡(luò)，病毒開始攻擊內(nèi)網(wǎng)某臺(tái)主機(jī)，對計(jì)算機(jī)存在漏洞計(jì)算機(jī)進(jìn)行攻擊，成功后釋放mssecsvc.exe文件，并連接固定url（54.153.0.145）: www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com；
       a)如果連接成功,則退出程序 
       b)連接失敗則繼續(xù)攻擊 
2. 病毒感染中階段 接下來蠕蟲開始判斷參數(shù)個(gè)數(shù),小于2時(shí),進(jìn)入安裝流程;大于等于2時(shí),進(jìn)入服務(wù)流程 
   
3. 病毒感染后階段，對磁盤文件進(jìn)行加密處理，出現(xiàn)勒索軟件界面。
   

三、勒索病毒處理的黃金時(shí)間

筆者在實(shí)際病毒對抗過程中發(fā)現(xiàn)，加固是針對未感染的計(jì)算機(jī)有用，感染后的計(jì)算機(jī)加固也是無用的?。。。?在前面病毒運(yùn)行階段有兩個(gè)小時(shí)的黃金時(shí)間，我想明天大家上班了，如果個(gè)人人走關(guān)機(jī)，則意味做網(wǎng)絡(luò)是關(guān)閉的，計(jì)算機(jī)是安全的，這是時(shí)候第一時(shí)間是拔掉網(wǎng)線，然后再開啟計(jì)算機(jī)?。∪绻W(wǎng)絡(luò)中已經(jīng)存在病毒了，那么應(yīng)該以最快的速度來結(jié)束病毒，可以參考文章后面的結(jié)束病毒進(jìn)程，然后是備份文件，最后加固！如果有條件可以利用linux啟動(dòng)盤啟動(dòng)系統(tǒng)，先備份文件，然后再做其他事情！

整理了一下具體流程： 

1. 開機(jī)前拔掉網(wǎng)線，不使用網(wǎng)絡(luò)。 
   
2. 若熟悉linux，可以刻盤啟動(dòng)計(jì)算機(jī)，使用U盤對文件進(jìn)行備份。 
   
3. 使用本文提及的方法清理病毒。 
   
4. 使用安全優(yōu)盤進(jìn)行系統(tǒng)文件備份，如果沒有優(yōu)盤，則可以將需要備份的文件先行壓縮為rar文件，然后再修改為.exe文件。
   

四、安全處理建議

1.病毒感染前處理 

（1）采用后續(xù)部分135、139、445等端口加固方法加固。 

（2）也可使用360的NSA武器免疫工具檢測計(jì)算機(jī)是否存在漏洞，如圖1所示，在windows2003SP1虛擬機(jī)中進(jìn)行檢測顯示無漏洞。 

 圖1使用360的nsa武器庫免疫工具 

（3）使用安天免疫工具進(jìn)行檢測和設(shè)置，如圖2所示，按照運(yùn)行結(jié)果進(jìn)行設(shè)置即可。 

 圖2使用安天免疫工具進(jìn)行設(shè)置 

（4）根據(jù)系統(tǒng)實(shí)際情況安裝補(bǔ)丁，我已經(jīng)收集目前可用的安全工具以及相對應(yīng)當(dāng)漏洞補(bǔ)丁程序。

2.病毒正在感染，通過netstat-an命令查看，如果系統(tǒng)出現(xiàn)大量的445連接，說明肯定存在病毒，可以使用以下辦法進(jìn)行殺毒，同時(shí)拔掉網(wǎng)線?。硗庖环N方法就是通過kali等linux啟動(dòng)盤去清除病毒也可以，然后通過U盤直接備份資料） 

 （1）設(shè)置查看文件選項(xiàng)

由于病毒設(shè)置了隱藏屬性，正常情況下無法查看該文件，需要對文件查看進(jìn)行設(shè)置，即在資源管理器中單擊“工具”-“文件夾選項(xiàng)”，如圖3所示。

圖3 打開文件夾選項(xiàng)設(shè)置

去掉“隱藏受保護(hù)的操作系統(tǒng)文件（推薦）”、選擇“顯示隱藏的文件、文件夾和驅(qū)動(dòng)器”、去掉“隱藏已知文件類型的擴(kuò)展名”，如圖4所示，即可查看在windows目錄下的病毒隱藏文件。

圖4文件夾查看選項(xiàng)設(shè)置 

（2）結(jié)束進(jìn)程

通過任務(wù)管理器，在任務(wù)欄上右鍵單擊選擇“啟動(dòng)任務(wù)管理器”，如圖5所示，從進(jìn)程中去查找mssecsvc.exe和tasksche.exe文件，選中mssecsvc.exe和tasksche.exe，右鍵單擊選擇“結(jié)束進(jìn)程樹”將病毒程序結(jié)束，又可能會(huì)反復(fù)啟動(dòng)，結(jié)束動(dòng)作要快。以上三個(gè)文件一般位于c:\windows目錄。 

圖5結(jié)束進(jìn)程 

（3）刪除程序

到windows目錄將三個(gè)文件按照時(shí)間排序，一般會(huì)顯示今天或者比較新的時(shí)期，將其刪除，如果進(jìn)程結(jié)束后，又啟動(dòng)可來回刪除和結(jié)束。直到將這三個(gè)文件刪除為止，有可能到寫本文章的時(shí)候，已經(jīng)有病毒變體，但方法相同，刪除新生成的文件。 

（4）再次查看網(wǎng)絡(luò)

使用netstat –an命令再次查看網(wǎng)絡(luò)連接情況，無對外連接情況，一切恢復(fù)正常。 可以使用安全計(jì)算機(jī)下載安全工具Autoruns以及Proces**plorer，通過光盤刻錄軟件，到感染病毒計(jì)算機(jī)中進(jìn)行清除病毒！軟件下載地址： 

download.sysinternals.com/files/Autoruns.zip
download.sysinternals.com/files/Proces**plorer.zip 

注意，本文所指清除病毒是指勒索軟件還未對系統(tǒng)軟件進(jìn)行加密！如果在桌面出現(xiàn)黃色小圖標(biāo)，桌面背景有紅色英文字體顯示（桌面有窗口彈出帶鎖圖片，Wana Decryptor2.0），這表明系統(tǒng)已經(jīng)被感染了。 

3.病毒已經(jīng)感染

如果系統(tǒng)已經(jīng)被病毒感染，則下載RansomRecovery （dl.360safe.com/recovery/RansomRecovery.exe）進(jìn)行恢復(fù)。

五、病毒原始文件分析五、病毒原始文件分析

1. 文件名稱及大小

本次捕獲到病毒樣本文件三個(gè)，mssecsvc.exe、qeriuwjhrf、tasksche.exe，如圖6所示，根據(jù)其md5校驗(yàn)值，tasksche.exe和qeriuwjhrf文件大小為3432KB，mssecsvc.exe大小為3636KB。 

2. md5校驗(yàn)值

使用md5計(jì)算工具對以上三個(gè)文件進(jìn)行md5值計(jì)算，其md5校驗(yàn)值分別如下：

tasksche.exe 8b2d830d0cf3ad16a547d5b23eca2c6e
mssecsvc.exe 854455f59776dc27d4934d8979fa7e86
qeriuwjhrf: 8b2d830d0cf3ad16a547d5b23eca2c6e

圖6 勒索軟件病毒基本情況 

3. 查看病毒文件 

（1）系統(tǒng)目錄查看 文件一般位于系統(tǒng)盤下的windows目錄，例如c:\windows\，通過命令提示符進(jìn)入:

cd c:\windows\
dir /od /a *.exe

（2）全盤查找

dir /od /s /a tasksche.exe
dir /od /s /a mssecsvc.exe

4. 病毒現(xiàn)象

（1）通過netstat –an命令查看網(wǎng)絡(luò)連接，會(huì)發(fā)現(xiàn)網(wǎng)絡(luò)不停的對外發(fā)送SYN_SENT包，如圖7所示。

圖7對外不斷的發(fā)送445連接包 

（2）病毒服務(wù) 通過Autoruns安全分析工具，可以看到在服務(wù)中存在“fmssecsvc2.0”服務(wù)名稱，該文件的時(shí)間戳為2010年11月20日17:03分，如圖8所示。 

 圖8病毒啟動(dòng)的服務(wù)

六、安全加固

1. 關(guān)閉445端口

（1）手工關(guān)閉 在命令提示符下輸入“regedit”，依次打開“HKEY_LOCAL_MACHINE”-“System”-“Controlset”“Services”-“NetBT”-“Parameters”，在其中選擇“新建”——“DWORD值”，將DWORD值命名為“SMBDeviceEnabled”，并通過修改其值設(shè)置為“0”，如圖9所示，需要特別注意一定不要將SMBDeviceEnabled寫錯(cuò)了！否則沒有效果！ 

圖9注冊表關(guān)閉445端口

查看本地連接屬性，將去掉“Microsoft網(wǎng)絡(luò)的文件和打印機(jī)共享”前面的勾選，如圖10所示。 

圖10取消網(wǎng)絡(luò)文件以及打印機(jī)共享 

（2）使用錦佰安提供的腳本進(jìn)行關(guān)閉，在線下載腳本地址：www.secboot.com/445.zip，腳本代碼如下：

1. echo "歡迎使用錦佰安敲詐者防御腳本"
   echo "如果pc版本大于xp 服務(wù)器版本大于windows2003，請右鍵本文件，以管理員權(quán)限運(yùn)行。"
   netsh firewall set opmode enable
   netsh advfirewall firewall add rule name="deny445" dir=in protocol=tcp localport=445 action=block
   netsh firewall set portopening protocol=TCP port=445 mode=disable name=deny445

2. 關(guān)閉135端口 在運(yùn)行中輸入“dcomcnfg”，然后打開“組建服務(wù)”-“計(jì)算機(jī)”-“屬性”-“我的電腦屬性”-“默認(rèn)屬性”-“在此計(jì)算機(jī)上啟用分布式COM”去掉選擇的勾。然后再單擊“默認(rèn)協(xié)議”選項(xiàng)卡，選中“面向連接的TCP/IP”，單擊“刪除”或者“移除”按鈕，如圖11所示。

圖11關(guān)閉135端口 

3. 關(guān)閉139端口 139端口是為“NetBIOS Session Service”提供的，主要用于提供Windows文件和打印機(jī)共享以及Unix中的Samba服務(wù)。 單擊“網(wǎng)絡(luò)”-“本地屬性”，在出現(xiàn)的“本地連接屬性”對話框中，選擇“Internet協(xié)議版本4（TCP/IPv4）”-“屬性”，雙擊打開“高級(jí)TCP/IP設(shè)置”-“WINS”，在“NetBIOS設(shè)置”中選擇“禁用TCP/IP上的NetBIOS”，如圖12所示。 

圖12關(guān)閉139端口 

4. 查看端口是否開放 以后以下命令查看135、139、445已經(jīng)關(guān)閉。

1. netstat -an | find "445" netstat -an | find "139" netstat -an | find "135"

5. 開啟防火墻 啟用系統(tǒng)自帶的防火墻。

6. 更新系統(tǒng)補(bǔ)丁 通過360安全衛(wèi)士更新系統(tǒng)補(bǔ)丁，或者使用系統(tǒng)自帶的系統(tǒng)更新程序更新系統(tǒng)補(bǔ)丁。

七、安全啟示

這波勒索病毒使用的是今年3月爆發(fā)的NSA暴露的那些漏洞利用工具，當(dāng)時(shí)出來以后，如果及時(shí)對系統(tǒng)更新了漏洞補(bǔ)丁和加固后，系統(tǒng)基本不會(huì)被感染。 

1. 來歷不明的文件一定不要打開 

2. 謹(jǐn)慎使用優(yōu)盤，在優(yōu)盤中可以建立antorun.inf文件夾防止優(yōu)盤病毒自動(dòng)傳播 

3. 安裝殺毒軟件，目前升級(jí)過病毒庫的殺毒軟件都可以識(shí)別傳播的病毒。 

4. 打開防火墻 

5. ATScanner（WannaCry） www.antiy.com/response/wannacry/ATScanner.zip 

6. 蠕蟲勒索軟件免疫工具（WannaCry）www.antiy.com/response/wannacry/Vaccine_for_wannacry.zip 有關(guān)WannaCrypt勒索病毒軟件的進(jìn)一步分析，請關(guān)注我們的技術(shù)分析，【全新課程上線】WannaCry勒索病毒全解讀，權(quán)威修復(fù)指南大集合！ i春秋驗(yàn)證市面上可用的防范和解決方案，共享大家，沒中招的注意防護(hù)，已經(jīng)中招的，快去修復(fù)，越早修復(fù)，文件找回的概率越大。