关于windows操作系统勒索病毒攻击的防护操作手册
发布时间:2017-05-15 浏览次数:

针对近期爆发的WannaCry/Wcry的勒索蠕虫病毒,信息管理中心为校园网用户制定了详细的防范勒索病毒攻击的操作手册,供大家参考。

1、 安装安全防护软件,开启安全防御功能

目前常用的安全防护软件有金山毒霸、360安全卫士、腾讯电脑管家等,微软自带的Windows Defender也可以。

金山毒霸离线版

下载地址:

http://cd002.www.duba.net/duba/install/2011/ever/duba170514_100_50.exe

360安全卫士离线救灾版

下载地址:

http://down.360safe.com/setup_jiuzai.exe

腾讯电脑管家

下载地址:

http://dlied6.qq.com/invc/xfspeed/qqpcmgr/data/qudao/qqpcmgr_v12.5.18746.501_1453_0_4219.exe

2、 下载针对本次勒索病毒的防御攻击工具;

目前安全厂商发布的病毒防御攻击工具包括但不限于以下几种:

金山毒霸比特币勒索病毒免疫工具

下载地址:

http://cd002.www.duba.net/duba/install/2011/ever/knsatool_20170514.exe

360NSA武器库免疫工具

下载地址:

http://dl.360safe.com/nsa/nsatool.exe

检查结果:

金山毒霸免疫工具成功免疫比特币勒索病毒结果如下图:

点击查看原图

 

360NSA武器库免疫工具检测结果如下图:

点击查看原图

3、 及时升级操作系统、更新补丁。

建议使用360安全卫士、腾讯安全管家可以开启系统修复(漏洞扫描)等功能。或者打开Windows Update自动更新,及时升级系统。

微软已经针对NSA泄漏的漏洞发布了MS17-010升级补丁,包括本次被敲诈者蠕虫病毒利用的永恒之蓝漏洞,同时针对停止支持的Windows XPWindows Server 2003Windows 8也发布了专门的修复补丁。

最新版的Windows 10 1703创意者更新已经不存在此漏洞,不需要补丁。

各系统补丁官方下载地址如下:

KB4012598】:http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

适用于Windows XP 32/64/嵌入式、Windows Vista 32/64位、Windows Server 2003 SP2 32/64位、Windows 8 32/64位、Windows Server 2008 32/64/安腾

KB4012212】:http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212

适用于Windows 7 32/64/嵌入式、Windows Server 2008 R2 32/64

KB4012213】:http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4012213

适用于Windows 8.1 32/64位、Windows Server 2012 R2 32/64

KB4012214】:http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4012214

适用于Windows 8嵌入式、Windows Server 2012

KB4012606】:http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012606

适用于Windows 10 RTM 32/64/LTSB

KB4013198】:http://www.catalog.update.microsoft.com/Search.aspx?q=KB4013198

适用于Windows 10 1511十一月更新版32/64

KB4013429】:http://www.catalog.update.microsoft.com/Search.aspx?q=KB4013429 

 

友情提示:如何查看自己的操作系统版本?

桌面我的电脑->右键选择属性,弹出的窗口如下图

点击查看原图

 

4、 由于微软已经停止对Windows XPWindows Server 2003系统的更新维护,这类系统用户可以自行关闭445端口,规避遭遇此次敲诈者蠕虫病毒的感染攻击。

(1)、开启系统防火墙保护。控制面板->安全中心->Windows防火墙->启用。

点击查看原图

开启系统防火墙保护

(2)、关闭系统445端口。

(a)、快捷键WIN+R启动运行窗口,输入cmd并执行,打开命令行操作窗口,输入命令netstat -an,检测445端口是否开启。

点击查看原图

(b)、如上图假如445端口开启,依次输入以下命令进行关闭:  

首先执行net stop rdr

然后执行net stop srv

最后执行net stop netbt  

备注:当系统提示“是否继续此操作?<Y/N>”时:输入“y 

关闭后的效果如下,445端口已关闭:

点击查看原图

 

5、谨慎打开不明来源的网址和邮件,打开Office文档的时候禁用宏开启,网络挂马和钓鱼邮件一直是国内外勒索病毒传播的重要渠道。

点击查看原图

钓鱼邮件文档中暗藏勒索者病毒,诱导用户开启宏运行病毒

6养成良好的备份习惯,及时使用网盘或移动硬盘备份个人重要文件。

本次勒索病毒爆发事件中,国内很多高校和企业都遭遇攻击,关键重要资料都被病毒加密勒索,希望广大用户由此提高定期备份重要文件的安全意识。

7、被病毒加密的文件恢复

那些已经被加密的数据文件,在没有取得密钥的情况下,解密基本没有可能。但在了解到病毒加密的原理之后,我们发现仍有一定机会找回原始文件。

因为此次勒索病毒的原理是:复制并加密文件,然后删除未加密的原文件,被简单删除文件的硬盘只要未进行大量写入操作,就存在成功恢复的可能。因此,如果有不幸中招的情况,不要对硬盘做任何写入操作,先通过以下的工具进行恢复,以最大程度减小损失。

金山毒霸比特币勒索病毒免费文件恢复工具及教程

下载地址:http://bbs.duba.net/thread-23406770-1-1.html

360 “勒索病毒”恢复工具

下载地址:http://dl.360safe.com/recovery/RansomRecovery.exe

信息管理中心

2017515