1 背景

5月12日晚，一款名為Wannacry 的蠕蟲勒索軟件襲擊全球網(wǎng)絡(luò)，這被認(rèn)為是迄今為止最巨大的勒索交費(fèi)活動(dòng)，影響到近百個(gè)國(guó)家上千家企業(yè)及公共組織。 該軟件被認(rèn)為是一種蠕蟲變種(也被稱為“Wannadecrypt0r”、“wannacryptor”或“ wcry”)。 像其他勒索軟件的變種一樣，WannaCry也阻止用戶訪問(wèn)計(jì)算機(jī)或文件，要求用戶需付費(fèi)解鎖。

該勒索軟件利用ETERNALBLUE(永恒之藍(lán))發(fā)起病毒攻擊。蠕蟲軟件正是利用 SMB服務(wù)器漏洞，通過(guò)滲透到未打補(bǔ)丁的Windows計(jì)算機(jī)中，實(shí)現(xiàn)大規(guī)模迅速傳播。 一旦你所在組織中一臺(tái)計(jì)算機(jī)受攻擊，蠕蟲會(huì)迅速尋找其他有漏洞的電腦并發(fā)起攻擊。

微軟已經(jīng)在三月份發(fā)布相關(guān)漏洞(MS17-010)修復(fù)補(bǔ)丁。如Windows系統(tǒng)未及時(shí)升級(jí)補(bǔ)丁，則可能存在被感染風(fēng)險(xiǎn)。

2 處置流程

Wannacry勒索軟件工具包(含離線補(bǔ)丁)可以從以下信息得到

點(diǎn)擊這個(gè)http://www.linuxidc.com/Linux/2013-12/93755.htm?鏈接關(guān)注 Linux公社官方微信，關(guān)注后回復(fù)數(shù)字143779。即可得到網(wǎng)友的分享密碼。

如果取消關(guān)注Linux公社公眾號(hào)，即使再次關(guān)注，也將無(wú)法提供本服務(wù)！

------------------------------------------分割線------------------------------------------

2.1 未感染主機(jī)

1) 檢測(cè)Windows電腦是否存在漏洞；

2) 防火墻屏蔽445端口；

3) 關(guān)閉共享打印機(jī)，SMB服務(wù)；

4) 盡快備份電腦中的重要文件資料到存儲(chǔ)設(shè)備上。提高安全意識(shí)，請(qǐng)不要打開陌生人可疑郵件。

5) 升級(jí)系統(tǒng)補(bǔ)丁；

詳見第三、四章節(jié)。

2.2 已感染主機(jī)

一旦發(fā)現(xiàn)中毒機(jī)器，立即斷網(wǎng)。組織內(nèi)網(wǎng)檢測(cè)，查找所有開放445 SMB服務(wù)端口的終端和服務(wù)器，一旦發(fā)現(xiàn)中毒機(jī)器，立即斷網(wǎng)處置。并禁止在中毒機(jī)器使用u盤、移動(dòng)硬盤等設(shè)備，防止移動(dòng)傳染。

對(duì)于已被加密的計(jì)算機(jī)目前暫時(shí)沒有實(shí)質(zhì)的解決方案。

3 如何快速檢測(cè)是否存在漏洞

3.1 腳本檢測(cè)

IT 管理員，運(yùn)維人員可以使用以下工具檢測(cè)(工具見工具包)

檢測(cè)主機(jī)是否存在“永恒之藍(lán)”漏洞(檢測(cè)是否成功安裝MS17-010補(bǔ)丁或成功添加對(duì)該漏洞的防御)

工具名稱： ms17_010.exe

方法：ms17_010.exe IP地址或IP地址段

圖為檢測(cè)到 IP為10.0.0.9的主機(jī) 存在該漏洞

也可以指定單獨(dú)IP:

如果出現(xiàn)“Vulnerable to ms17-010” 則證明存在永恒之藍(lán)漏洞。

4 防御及修復(fù)建議

根據(jù)實(shí)際情況選擇任意一種方法

1) IT管理員：出口防火墻暫時(shí)屏蔽445，135，137，139端口 。

2) 個(gè)人電腦防火墻入站和出站規(guī)則屏蔽掉445端口。

解壓工具包，找到腳本“利用個(gè)人電腦防火墻屏蔽445端口.bat”，右鍵，以管理員身份運(yùn)行，將會(huì)自動(dòng)添加防火墻規(guī)則：

3)關(guān)閉電腦打印機(jī)共享

解壓工具包，找到“Windows 64位關(guān)閉smb.bat”右鍵，根據(jù)操作系統(tǒng)實(shí)際情況，以管理員身份運(yùn)行，將會(huì)自動(dòng)關(guān)閉打印共享服務(wù)：

4) 關(guān)閉SMBv1

適用于運(yùn)行 Windows 8.1 或 Windows Server 2012 R2 及更高版本的客戶

對(duì)于客戶端操作系統(tǒng)：

打開“控制面板”，單擊“程序”，然后單擊“打開或關(guān)閉 Windows 功能”。

在“Windows 功能”窗口中，清除“SMB 1.0/CIFS 文件共享支持”復(fù)選框，然后單擊“確定”以關(guān)閉此窗口。重啟系統(tǒng)。

對(duì)于服務(wù)器操作系統(tǒng)：

打開“服務(wù)器管理器”，單擊“管理”菜單，然后選擇“刪除角色和功能”。在“功能”窗口中，清除“SMB 1.0/CIFS 文件共享支持”復(fù)選框，然后單擊“確定”以關(guān)閉此窗口。重啟系統(tǒng)。

適用于運(yùn)行Windows 7、 Windows Server 2008 R2、 Windows Vista 和 Windows Server 2008，修改注冊(cè)表

注冊(cè)表路徑︰

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

新建項(xiàng)︰ SMB1，值0(DWORD)

重新啟動(dòng)計(jì)算機(jī)

5) 在線/離線升級(jí)系統(tǒng)補(bǔ)丁

> 詳見附錄補(bǔ)丁下載地址。

6) 利用在線升級(jí)服務(wù)

以Windows8為例：

下方任務(wù)欄，右鍵，設(shè)置

搜索框輸入，Windows更新設(shè)置，并選擇

選擇檢測(cè)更新，點(diǎn)擊檢測(cè)更新

附錄：各版本系統(tǒng)補(bǔ)丁包下載

離線升級(jí)包:

Windows 7 x64

Windows 7 x86

Windows 10 x64

Windows 10 x86

Windows 8

Windows 8 x64

Windows Server 2008

Windows Server 2008 x64

Windows Server2003

Windows Server 2003 x64

Windows Vista

Windows Vista x64

XP SP3

XP SP2 x64

XP Embedded

總結(jié)

以上是生活随笔為你收集整理的linux版本wannacry,Wannacry勒索软件解决方案的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。