勒索软件WannaCrypt病毒感染前后应对措施

针对WannaCrypt勒索病毒的讨论和技术文章是铺天盖地，大量的技术流派，安全厂家等纷纷献计献策，有安全厂家开发各种安全工具，对安全生态来说是一个好事，但对个人未必就是好事，我们国家很多用户是普通用户是安全小白，如果遭遇WannaCrypt勒索软件，我们该怎么办？是主动积极应对，还是被动等待被病毒感染，这完全取决于您个人选择，笔者战斗在病毒对抗的第一线，将一些经验跟大家分享，希望能对您有所帮助！本文收集了windowsxp-windows2012所有的补丁程序以及360等安全公司的安全工具程序供大家下载，下载地址：pan.baidu.com/s/1boBiHNx 

一.病毒危害

1.1病毒感染的条件

到互联网上乃至技术专家都认为WannaCrypt攻击源头来自于MS17-010漏洞，在现实中很多被感染网络是内网，mssecsvc.exe病毒文件大小只有3M多，其后续加密生成有多个文件，这些文件是从哪里来，内网是跟外网隔离的！

笔者整理认为病毒感染是有条件的： 

1. Windows7以上操作系统感染几率较高 
   
2. 在感染的网络上，如果系统开放了445端口，将被快速感染计算机。 
   
3. 内网补丁更新不及时
   

1.2病毒感染的后果

WannaCrypt勒索病毒被定义为蠕虫病毒，其传播速度非常快，一旦被感染，只有两种途径来解决，一种是支付赎金，另外一种就是重装系统，所有资料全部归零。通过笔者分析，如果是在病毒WannaCrypt发作前，能够成功清除病毒，将可以救回系统，减少损失！360也提供了一款勒索蠕虫病毒文件恢复工具RansomRecovery ，其下载地址：dl.360safe.com/recovery/RansomRecovery.exe主要针对勒索病毒成功感染后的恢复，越早恢复，文件被恢复的几率越高

二、 WannaCrypt勒索病毒原理分析

WannaCrypt勒索病毒原理分析笔者再次就不赘述了，详细情况请参阅WanaCrypt0r勒索蠕虫完全分析报告（bobao.360.cn/learning/detail/3853.html）。 笔者要想说的是病毒感染的三个时间段： 

1. 病毒感染初阶段，病毒从未知渠道进入网络，病毒开始攻击内网某台主机，对计算机存在漏洞计算机进行攻击，成功后释放mssecsvc.exe文件，并连接固定url（54.153.0.145）: www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com；
       a)如果连接成功,则退出程序 
       b)连接失败则继续攻击 
2. 病毒感染中阶段 接下来蠕虫开始判断参数个数,小于2时,进入安装流程;大于等于2时,进入服务流程 
   
3. 病毒感染后阶段，对磁盘文件进行加密处理，出现勒索软件界面。
   

三、勒索病毒处理的黄金时间

笔者在实际病毒对抗过程中发现，加固是针对未感染的计算机有用，感染后的计算机加固也是无用的！！！！ 在前面病毒运行阶段有两个小时的黄金时间，我想明天大家上班了，如果个人人走关机，则意味做网络是关闭的，计算机是安全的，这是时候第一时间是拔掉网线，然后再开启计算机！！如果网络中已经存在病毒了，那么应该以最快的速度来结束病毒，可以参考文章后面的结束病毒进程，然后是备份文件，最后加固！如果有条件可以利用linux启动盘启动系统，先备份文件，然后再做其他事情！

整理了一下具体流程： 

1. 开机前拔掉网线，不使用网络。 
   
2. 若熟悉linux，可以刻盘启动计算机，使用U盘对文件进行备份。 
   
3. 使用本文提及的方法清理病毒。 
   
4. 使用安全优盘进行系统文件备份，如果没有优盘，则可以将需要备份的文件先行压缩为rar文件，然后再修改为.exe文件。
   

四、安全处理建议

1.病毒感染前处理 

（1）采用后续部分135、139、445等端口加固方法加固。 

（2）也可使用360的NSA武器免疫工具检测计算机是否存在漏洞，如图1所示，在windows2003SP1虚拟机中进行检测显示无漏洞。 

 图1使用360的nsa武器库免疫工具 

（3）使用安天免疫工具进行检测和设置，如图2所示，按照运行结果进行设置即可。 

 图2使用安天免疫工具进行设置 

（4）根据系统实际情况安装补丁，我已经收集目前可用的安全工具以及相对应当漏洞补丁程序。

2.病毒正在感染，通过netstat-an命令查看，如果系统出现大量的445连接，说明肯定存在病毒，可以使用以下办法进行杀毒，同时拔掉网线！（另外一种方法就是通过kali等linux启动盘去清除病毒也可以，然后通过U盘直接备份资料） 

 （1）设置查看文件选项

由于病毒设置了隐藏属性，正常情况下无法查看该文件，需要对文件查看进行设置，即在资源管理器中单击“工具”-“文件夹选项”，如图3所示。

图3 打开文件夹选项设置

去掉“隐藏受保护的操作系统文件（推荐）”、选择“显示隐藏的文件、文件夹和驱动器”、去掉“隐藏已知文件类型的扩展名”，如图4所示，即可查看在windows目录下的病毒隐藏文件。

图4文件夹查看选项设置 

（2）结束进程

通过任务管理器，在任务栏上右键单击选择“启动任务管理器”，如图5所示，从进程中去查找mssecsvc.exe和tasksche.exe文件，选中mssecsvc.exe和tasksche.exe，右键单击选择“结束进程树”将病毒程序结束，又可能会反复启动，结束动作要快。以上三个文件一般位于c:\windows目录。 

图5结束进程 

（3）删除程序

到windows目录将三个文件按照时间排序，一般会显示今天或者比较新的时期，将其删除，如果进程结束后，又启动可来回删除和结束。直到将这三个文件删除为止，有可能到写本文章的时候，已经有病毒变体，但方法相同，删除新生成的文件。 

（4）再次查看网络

使用netstat –an命令再次查看网络连接情况，无对外连接情况，一切恢复正常。 可以使用安全计算机下载安全工具Autoruns以及Proces**plorer，通过光盘刻录软件，到感染病毒计算机中进行清除病毒！软件下载地址： 

download.sysinternals.com/files/Autoruns.zip
download.sysinternals.com/files/Proces**plorer.zip 

注意，本文所指清除病毒是指勒索软件还未对系统软件进行加密！如果在桌面出现黄色小图标，桌面背景有红色英文字体显示（桌面有窗口弹出带锁图片，Wana Decryptor2.0），这表明系统已经被感染了。 

3.病毒已经感染

如果系统已经被病毒感染，则下载RansomRecovery （dl.360safe.com/recovery/RansomRecovery.exe）进行恢复。

五、病毒原始文件分析五、病毒原始文件分析

1. 文件名称及大小

本次捕获到病毒样本文件三个，mssecsvc.exe、qeriuwjhrf、tasksche.exe，如图6所示，根据其md5校验值，tasksche.exe和qeriuwjhrf文件大小为3432KB，mssecsvc.exe大小为3636KB。 

2. md5校验值

使用md5计算工具对以上三个文件进行md5值计算，其md5校验值分别如下：

tasksche.exe 8b2d830d0cf3ad16a547d5b23eca2c6e
mssecsvc.exe 854455f59776dc27d4934d8979fa7e86
qeriuwjhrf: 8b2d830d0cf3ad16a547d5b23eca2c6e

图6 勒索软件病毒基本情况 

3. 查看病毒文件 

（1）系统目录查看 文件一般位于系统盘下的windows目录，例如c:\windows\，通过命令提示符进入:

cd c:\windows\
dir /od /a *.exe

（2）全盘查找

dir /od /s /a tasksche.exe
dir /od /s /a mssecsvc.exe

4. 病毒现象

（1）通过netstat –an命令查看网络连接，会发现网络不停的对外发送SYN_SENT包，如图7所示。

图7对外不断的发送445连接包 

（2）病毒服务 通过Autoruns安全分析工具，可以看到在服务中存在“fmssecsvc2.0”服务名称，该文件的时间戳为2010年11月20日17:03分，如图8所示。 

 图8病毒启动的服务

六、安全加固

1. 关闭445端口

（1）手工关闭 在命令提示符下输入“regedit”，依次打开“HKEY_LOCAL_MACHINE”-“System”-“Controlset”“Services”-“NetBT”-“Parameters”，在其中选择“新建”——“DWORD值”，将DWORD值命名为“SMBDeviceEnabled”，并通过修改其值设置为“0”，如图9所示，需要特别注意一定不要将SMBDeviceEnabled写错了！否则没有效果！ 

图9注册表关闭445端口

查看本地连接属性，将去掉“Microsoft网络的文件和打印机共享”前面的勾选，如图10所示。 

图10取消网络文件以及打印机共享 

（2）使用锦佰安提供的脚本进行关闭，在线下载脚本地址：www.secboot.com/445.zip，脚本代码如下：

1. echo "欢迎使用锦佰安敲诈者防御脚本"
   echo "如果pc版本大于xp 服务器版本大于windows2003，请右键本文件，以管理员权限运行。"
   netsh firewall set opmode enable
   netsh advfirewall firewall add rule name="deny445" dir=in protocol=tcp localport=445 action=block
   netsh firewall set portopening protocol=TCP port=445 mode=disable name=deny445

2. 关闭135端口 在运行中输入“dcomcnfg”，然后打开“组建服务”-“计算机”-“属性”-“我的电脑属性”-“默认属性”-“在此计算机上启用分布式COM”去掉选择的勾。然后再单击“默认协议”选项卡，选中“面向连接的TCP/IP”，单击“删除”或者“移除”按钮，如图11所示。

图11关闭135端口 

3. 关闭139端口 139端口是为“NetBIOS Session Service”提供的，主要用于提供Windows文件和打印机共享以及Unix中的Samba服务。 单击“网络”-“本地属性”，在出现的“本地连接属性”对话框中，选择“Internet协议版本4（TCP/IPv4）”-“属性”，双击打开“高级TCP/IP设置”-“WINS”，在“NetBIOS设置”中选择“禁用TCP/IP上的NetBIOS”，如图12所示。 

图12关闭139端口 

4. 查看端口是否开放 以后以下命令查看135、139、445已经关闭。

1. netstat -an | find "445" netstat -an | find "139" netstat -an | find "135"

5. 开启防火墙 启用系统自带的防火墙。

6. 更新系统补丁 通过360安全卫士更新系统补丁，或者使用系统自带的系统更新程序更新系统补丁。

七、安全启示

这波勒索病毒使用的是今年3月爆发的NSA暴露的那些漏洞利用工具，当时出来以后，如果及时对系统更新了漏洞补丁和加固后，系统基本不会被感染。 

1. 来历不明的文件一定不要打开 

2. 谨慎使用优盘，在优盘中可以建立antorun.inf文件夹防止优盘病毒自动传播 

3. 安装杀毒软件，目前升级过病毒库的杀毒软件都可以识别传播的病毒。 

4. 打开防火墙 

5. ATScanner（WannaCry） www.antiy.com/response/wannacry/ATScanner.zip 

6. 蠕虫勒索软件免疫工具（WannaCry）www.antiy.com/response/wannacry/Vaccine_for_wannacry.zip 有关WannaCrypt勒索病毒软件的进一步分析，请关注我们的技术分析，【全新课程上线】WannaCry勒索病毒全解读，权威修复指南大集合！ i春秋验证市面上可用的防范和解决方案，共享大家，没中招的注意防护，已经中招的，快去修复，越早修复，文件找回的概率越大。