1勒索病毒Ransom:Win32/WannaCrypt防范及修复指南–版本1微软安全技术支持组2017年5月14日Copyright2017MicrosoftCorporation.
Allrightsreserved.
TheinformationcontainedinthisdocumentrepresentsthecurrentviewofMicrosoftCorporationontheissuesdiscussedasofthedateofpublication.
BecauseMicrosoftmusttimelyrespondtochangingmarketconditions,itshouldnotbeinterpretedtobeacommitmentonthepartofMicrosoft,andMicrosoftcannotguaranteetheaccuracyofanyinformationpresentedafterthedateofpublication.
MICROSOFTMAKESNOWARRANTIES,EXPRESS,IMPLIEDORSTATUTORY,ASTOTHEINFORMATIONINTHISDOCUMENT.
MicrosoftCorporationownsthecopyrighttothisdocument.
However,forthepurposetoreachoutandhelpmorecustomersandusers,youmaystore,copyandre-distributethisdocumentonlyinitsentirety(includingMicrosoft'slogoandcopyrightnotice)toothersforthesolepurposeofhelpingotherstoaddresstheissuesstatedinthetitleofthisdocument.
Allotheruseofthisdocument,includingeditingandre-distributingaportionofthisdocument,isnotlicensed.
Microsoftmayhavepatents,patentapplications,trademarks,copyrights,orotherintellectualpropertyrightscoveringsubjectmatterinthisdocument.
ExceptasexpresslyprovidedinanywrittenlicenseagreementfromMicrosoft,thefurnishingofthisdocumentdoesnotgiveyouanylicensetothesepatents,trademarks,copyrights,orotherintellectualproperty.
Thedescriptionsofothercompanies'productsinthisdocument,ifany,areprovidedonlyasaconveniencetoyou.
AnysuchreferencesshouldnotbeconsideredanendorsementorsupportbyMicrosoft.
Microsoftcannotguaranteetheiraccuracy,andtheproductsmaychangeovertime.
Also,thedescriptionsareintendedasbriefhighlightstoaidunderstanding,ratherthanasthoroughcoverage.
Forauthoritativedescriptionsoftheseproducts,pleaseconsulttheirrespectivemanufacturers.
MicrosoftandWindowsareeitherregisteredtrademarksofMicrosoftCorporationintheUnitedStatesand/orothercountries.
Thenamesofactualcompaniesandproductsmentionedhereinmaybethetrademarksoftheirrespectiveowners.
2目录1.
什么是勒索软件.
32.
为什么Ransom:Win32/WannaCrypt影响更大.
33.
感染以后的症状.
34.
如何应对.
44.
1没有被感染,预防防御办法(非常重要)44.
2如果已经被感染了怎么办64.
3如何确认安全更新已经安装成功.
75.
Q&A问答15版本号发布日期12017年5月14日31.
什么是勒索软件勒索软件是过去几年中较为流行的一种恶意软件,主要现象为加密所有当前用户有权限的文件.
以下几个因素使这类恶意软件较为特别:1.
恶意软件作者频繁的进行更新,生成各种新的变种以躲避杀毒软件的扫描.
2.
这些恶意软件对用户文件采用非对称加密,在没有私钥的情况下,无法对文件进行解密.
而加密所用的私钥不会保存在被感染计算机上.
3.
这些恶意软件会尝试加密任何当前执行用户有权限的本地或网络共享中的某些文档类型,破坏能力较大.
2.
为什么Ransom:Win32/WannaCrypt影响更大如同其他大多数勒索软件一样,Ransom:Win32/WannaCrypt通过社会工程学尝试感染目标组织的环境,通常为带有恶意宏的Office文档的钓鱼邮件.
一旦感染环境中的一台计算机后,该变种会尝试在内网中主动传播.
这一蠕虫行为是真正让这一变种带来如此巨大影响的原因.
3.
感染以后的症状当系统被该勒索软件感染后,弹出勒索对话框:文档被加密,后缀名被更改为WNCRY.
可被加密的文档类型参考44.
如何应对首先,一旦计算机被感染文档被加密,由于无法获取加密所用私钥,从技术角度无法解密这些文档.
唯一的恢复手段是通过已有的备份进行恢复.
确保对关键文档数据进行有效备份是保护数据的最主要方式.
4.
1没有被感染,预防防御办法(非常重要)(1)首要任务确定您的反病毒软件更新到最新并可以查杀该勒索软件.
Microsoft反病毒产品病毒库版本1.
243.
290.
0及以上可以查杀当前发现的这一变种.
如您使用其他反病毒软件,建议与相应厂商确认.
(2)确保终端用户理解他们不应打开任何可疑的,即使他们看到一个熟悉的图标(PDF或Office文档).
用户不应在任何情况下执行中包含的可执行文件.
如果有任何疑问,请用户联系IT管理部门.
(3)确保MS17-010在所有计算机上安装,推荐安装最新的Microsoft安全补丁,并将其他第三方软件更新到最新.
变通办法如暂时难以完成补丁安装,以下变通办法在您遇到的情形中可能会有所帮助:禁用SMBv1对于运行WindowsVista及更高版本的客户请参阅Microsoft知识库文章2696547适用于运行Windows8.
1或WindowsServer2012R2及更高版本的客户的替代方法对于客户端操作系统:1.
打开"控制面板",单击"程序",然后单击"打开或关闭Windows功能".
2.
在"Windows功能"窗口中,清除"SMB1.
0/CIFS文件共享支持"复选框,然后单击"确定"以关闭此窗口.
3.
重启系统.
对于服务器操作系统:1.
打开"服务器管理器",单击"管理"菜单,然后选择"删除角色和功能".
2.
在"功能"窗口中,清除"SMB1.
0/CIFS文件共享支持"复选框,然后单击"确定"以关闭此窗口.
3.
重启系统.
5变通办法的影响.
目标系统上将禁用SMBv1协议.
如何撤消变通办法.
回溯变通办法步骤,而不是将"SMB1.
0/CIFS文件共享支持"功能还原为活动状态.
这一方法也可以通过组策略部署注册表的方式进行.
组策略配置可参考文档https://technet.
microsoft.
com/zh-cn/library/cc753092(v=ws.
11).
aspx注册表信息可以在以下文档中找到,您需要重启计算机以使注册表生效.
digital-vm怎么样?digital-vm在今年1月份就新增了日本、新加坡独立服务器业务,但是不知为何,期间终止了销售日本服务器和新加坡服务器,今天无意中在webhostingtalk论坛看到Digital-VM在发日本和新加坡独立服务器销售信息。服务器硬件是 Supermicro、采用最新一代 Intel CPU、DDR4 RAM 和 Enterprise Samsung SSD内存,默认...
美得云怎么样?美得云好不好?美得云是第一次来推广软文,老板人脾气特别好,能感觉出来会用心对待用户。美得云这次为大家提供了几款性价比十分高的产品,美国cera 2核4G 15元/月 香港1核 1G 3M独享 15元/月,并且还提供了免费空间给大家使用。嘻嘻 我也打算去白嫖一个空间了。新用户注册福利-8折优惠码:H2dmBKbF 截止2021.10.1结束。KVM架构,99.99%高可用性,依托BGP...
IncogNet LLC是个由3个人运作的美国公司,主要特色是隐私保护,号称绝对保护用户的隐私安全。业务涵盖虚拟主机、VPS等,支持多种数字加密货币、PayPal付款。注册账号也很简单,输入一个姓名、一个邮箱、国家随便选,填写一个邮箱就搞定了,基本上不管资料的真假。当前促销的vps位于芬兰机房,全部都是AMD Ryzen系列的CPU,性能不会差的!5折优惠码:CRYPTOMONTH,支持:BTC,...