【操作】通过禁用端口预防WannaCry病毒

Posted on Posted in 计算机2,064 views

一、WannaCry病毒介绍

    2017年5 月12 日晚上20 时左右,全球爆发大规模蠕虫勒索软件感染事件,仅仅几个小时内,该勒索软件已经攻击了99个国家近万台电脑。英国、美国、俄罗斯、德国、土耳其、意大利、中国、菲律宾等国家都已中招,且攻击仍在蔓延。

    该病毒只能攻击windows平台,其利用的是一个名为“永恒之蓝”的系统漏洞(MS17-010)。早在2016年,黑客组织“影子破坏者”公开拍卖美国国家安全局(NSA)使用的部分攻击工具,而“永恒之蓝”就是这批攻击工具之一。

1494913003440625.png

1494916444152971.png

    该病毒利用微软 Microsoft Windows SMB 服务器通信协议进行传播,当病毒攻击进入能连接公网的用户机器后,会扫描其内网和公网的ip,若发现被扫描到的ip打开了445端口,则会利用“EnternalBlue”(蓝之永恒)漏洞向该机器发送精心设计的网络数据包文,实现远程代码执行以安装后门,然后释放一个名为Wana Crypt0r敲诈者病毒,来加密用户机器上所有的文档文件,进行勒索。

    03.png

    该病毒会加密常见的文档、图片和视频等文件,其加密方式采用的是非对称加密,所以在没有私钥的前提下很难进行解密。该病毒加密的文件后缀名如下:

.docx .docb .docm .dot .dotm .dotx .xls .xlsx .xlsm .xlsb .xlw .xlt .xlm .xlc .xltx .xltm .ppt
.pptx .pptm .pot .pps .ppsm .ppsx .ppam .potx .potm .pst .ost .msg .eml .edb .vsd .vsdx .txt .csv
.rtf .123 .wks .wk1 .pdf .dwg .onetoc2 .snt .hwp .602 .sxi .sti .sldx .sldm .sldm .vdi .vmdk .vmx
.gpg .aes .ARC .PAQ .bz2 .tbk .bak .tar .tgz .gz .7z .rar .zip .backup .iso .vcd .jpeg .jpg .bmp
.png .gif .raw .cgm .tif .tiff .nef .psd .ai .svg .djvu .m4u .m3u .mid .wma .flv .3g2 .mkv .3gp
.mp4 .mov .avi .asf .mpeg .vob .mpg .wmv .fla .swf .wav .mp3 .sh .class .jar .java .rb .asp .php
.jsp .brd .sch .dch .dip .pl .vb .vbs .ps1 .bat .cmd .js .asm .h .pas .cpp .c .cs .suo .sln .ldf
.mdf .ibd .myi .myd .frm .odb .dbf .db .mdb .accdb .sql .sqlitedb .sqlite3 .asc .lay6 .lay .mml
.sxm .otg .odg .uop .std .sxd .otp .odp .wb2 .slk .dif .stc .sxc .ots .ods .3dm .max .3ds .uot .stw
.sxw .ott .odt .pem .p12 .csr .crt .key .pfx .der

    

二、通过关闭端口预防WannaCry病毒

    安装并开启360等杀毒软件可以很好的预防该病毒,由于本人对电脑响应速度要求比较高,杀毒软件会占用很多电脑资源,所以直接通过禁用445端口来进行病毒预防。下面详细介绍整个设置步骤。

    1、打开电脑的“控制面板”,然后进入“windows防火墙”,没有开启防火墙的先启动防火墙,然后进入“高级设置”,如下图所示:

1494914697691933.png

    2、在高级设置页面,点击“入站规则”,然后在右侧点击“新建规则”,并在弹出的窗口中选择“端口”,最后单击“下一步”:

1494914922409948.png

    3、在新弹出的对话空中选择“TCP”,然后在“特定本地端口(S)”输入框内输入445,然后单击“下一步”:

1494915210978065.png

    4、在下一个页面中选择“阻止连接”,然后单击“下一步”,如下图所示:

1494915421839557.png

    5、在下一个页面中,将“域”、“专用”和“共用”三个规则都要选上,然后进行“下一步”:

1494915646930234.png

    6、最后为了方便区分,为该入站规则命名,然后点击完成:

1494915767383616.png

三、其他建议

    1、该病毒只能攻击windows平台,所以IOS手机平板、安卓手机平板、Mac以及*inux等平台不在攻击范围内。

    2、为了使电脑更安全,建议同样新建445的UDP入站规则,即步骤3中选择“UDP”,其他步骤一样。

    3、虽然该病毒利用的是445端口,为了安全建议利用同样的方式关闭其他高风险端口:135、137、138、139。

    4、对于未感染的机器,建议开机前先拔掉网线再进行如上操作,完成并重启电脑后再插入网线连接互联网。

    5、对于已经感染但电脑内没有重要文件的机器,建议先进行硬盘全部格式户,然后重装系统。

    6、对于已经感染且电脑内部有重要文件的机器,建议先换硬盘,然后再装系统,保留被感染的硬盘等待最后的解决方案出来。

    7、为了安全,不要将U盘和移动硬盘等设备插入已感染的机器,同样在已感染的机器上使用过的U盘等设备也不要接入未感染的机器。

    8、及时安装系统对应的补丁(微软也针对XP等系统发布了特别补丁)。

    9、平时要养成定期数据备份的习惯。

参考

  1. http://tech.sina.com.cn/it/2017-05-13/doc-ifyfeivp5658790.shtml

  2. http://tech.qq.com/a/20170513/018532.htm


转载标明出处:https://blog.evanxia.com/2017/05/1331