一个Windows敲诈勒索病毒这两天在全国乃至全世界范围内大规模爆发蔓延,企业、高校等内网环境尤其成为重灾区。
该病毒主要利用了美国国家安全局(NSA)黑客工具包中的“永恒之蓝”0day漏洞,使用RSA非对称算法,对受感染系统的文件资料进行加密,而且没有私钥就无法解密,据此勒索巨额赎金,包括索要比特币。
其实,对于Windows 7或更高版本系统,只要安装了微软三月份发布的安全补丁(知识库编号MS17-010),就能确保安全。Windows Vista是在四月份正式停止安全支持的,所以也有幸得到了这枚补丁。
而更古老的Windows XP、Windows Server 2003以及此前停止支持的Windows 8就没这么幸运了,没有补丁,只要开启SMB服务就会中招。尤其是Windows XP,在国内仍然有大量的市场,特别是很多企业、公共机构因为各种原因未能升级,还在使用这套老系统,而且很多人都习惯关闭Windows自动更新,等于向病毒门户大开。
但是鉴于问题实在太严重,微软也紧急出手,发布了针对这三款系统的修补补丁,建议相关用户立即下载更新。
微软同时表示,Windows Defender今天也已经更新,可以检测并拦截此病毒,识别为“Ransom:Win32/WannaCrypt”。
下载地址:
Windows XP SP2 64位:
https://catalog.update.microsoft ... a-9709-17a6e6a93f4f
Windows XP SP3 32位:
https://catalog.update.microsoft ... 8-8170-7bd0ad7ca09a
Windows XP SP3 32位嵌入式:
https://catalog.update.microsoft ... f-b838-d3caca05a5e9
Windows Server 2003 SP2 32位:
https://catalog.update.microsoft ... 3-a37b-82544a1eff68
Windows Server 2003 SP2 64位:
https://catalog.update.microsoft ... a-b39e-2a2a2b7c8c3a
Windows 8 32位:
https://catalog.update.microsoft ... 6-bde1-1de91cbe874f
Windows 8 64位:
https://catalog.update.microsoft ... 7-99e5-38cb4fb66401
具体下载页面:
https://www.catalog.update.microsoft.com/Search.aspx?q=kb4012598
详细解决办法:
http://www.cnblogs.com/XieSir/articles/6851663.html
评论
我很好奇 加密的过程有多长 强制断电能保资料吗 不懂啊
评论
怎么一直和0day杠上了,每次都是这个漏洞,难怪这几天2008R2一直收到更新推送。。。
评论
加密过程挺长的,强制断电可以保存资料,zhihu有人做到了强制断电保存资料,发现只有一部分文件被加密了。
但是很多人发现这个的时候已经被加密了不少了,特别是有些倒霉的写了一半的论文被加密了,这个又无法解密,等于挂了。
评论
那岂不是有AES指令集的U SSD阵列 NVME的 死得很惨? 好可怕啊 此病毒一定要UAC确认权限吗?
评论
不用uac,潜伏的,突然发作。
评论
如何启用或禁用 SMB 服务器上的 SMB 协议
Windows 8 和 Windows Server 2012Windows 8 和 Windows Server 2012 引入了新的一组 SMBServerConfiguration Windows PowerShell cmdlet。该 cmdlet 可以启用或禁用服务器组件上的 SMBv1、 SMBv2 和 SMBv3 协议。
备注当您启用或禁用 SMBv2 或 Windows Server 2012 中 Windows 8 时,SMBv3 还启用或禁用。出现此现象是因为这些协议共享同一个堆栈。
不需要重新启动计算机后运行一组 SMBServerConfiguration cmdlet。
* 要获取的 SMB 服务器协议配置的当前状态,请运行以下 cmdlet:
Get-SmbServerConfiguration |Select EnableSMB1Protocol, EnableSMB2Protocol
* 若要禁用 SMB 服务器上的 SMBv1,请运行以下 cmdlet:
将 SmbServerConfiguration -EnableSMB1Protocol $false
* 要禁用 SMBv2 和 SMBv3 SMB 服务器上,运行以下 cmdlet:
set-SmbServerConfiguration -EnableSMB2Protocol $false
* 若要启用 SMB 服务器上的 SMBv1,请运行以下 cmdlet:
set-SmbServerConfiguration -EnableSMB1Protocol $true
* 若要启用 SMBv2 和 SMBv3 SMB 服务器上,运行以下 cmdlet:
set-SmbServerConfiguration -EnableSMB2Protocol $true
评论
如何启用或禁用 SMB 服务器上的 SMB 协议
Windows 8 和 Windows Server 2012Windows 8 和 Windows Server 2012 引入了新的一组 SMBServerConfiguration Windows PowerShell cmdlet。该 cmdlet 可以启用或禁用服务器组件上的 SMBv1、 SMBv2 和 SMBv3 协议。
备注当您启用或禁用 SMBv2 或 Windows Server 2012 中 Windows 8 时,SMBv3 还启用或禁用。出现此现象是因为这些协议共享同一个堆栈。
不需要重新启动计算机后运行一组 SMBServerConfiguration cmdlet。
* 要获取的 SMB 服务器协议配置的当前状态,请运行以下 cmdlet:
Get-SmbServerConfiguration |Select EnableSMB1Protocol, EnableSMB2Protocol
* 若要禁用 SMB 服务器上的 SMBv1,请运行以下 cmdlet:
将 SmbServerConfiguration -EnableSMB1Protocol $false
* 要禁用 SMBv2 和 SMBv3 SMB 服务器上,运行以下 cmdlet:
set-SmbServerConfiguration -EnableSMB2Protocol $false
* 若要启用 SMB 服务器上的 SMBv1,请运行以下 cmdlet:
set-SmbServerConfiguration -EnableSMB1Protocol $true
* 若要启用 SMBv2 和 SMBv3 SMB 服务器上,运行以下 cmdlet:
set-SmbServerConfiguration -EnableSMB2Protocol $true
评论
这个病毒其实很简单,只要是win10 1703或者比较新的insider或者是开了自动更新的都不会中招的
评论
一个文件没有在3个不同的物理地点有3个备份就等于这份文件不存在。这个是常识啊。即使没有这个蠕虫硬盘坏了不也一样。。
评论
你稍微一留心就知道了,我600多G的大姐姐资源被勒索时,对方要求每解锁一个文件100美元,当时硬盘狂转,就像RAID 5在进行数据重建。。。
评论
我记得我用bitlock全盘加密4TB硬盘的时候都用了差不多3,4天。。而且硬盘还没有填满。这个蠕虫能有多块呢。。
评论
是时候开始更新一波了!!
评论
那就严重了 还好我备份多 尤其是可靠的光储存
评论
共享点大姐姐来吧 1G1元我来买
评论
bitlock不管是空盘还是满盘速度都一样
评论
谁有病毒,给我来一份
评论
大概2年多前我公司就有人中类似的病毒了。
全盘的资料都被加密。
然后格盘重装。。。
评论
卡饭上有 样本,而且有很多变种。
具体地址我就不发了,卡饭上免注册即可下载。
如果有加密的话,压缩包密码很可能是 infected。
评论
国内流氓软件都能过uac,uac是给正常软件限制的,何况这个是病毒
评论
论低配电脑的好处。
评论
说到底就是一句话:不要手贱去关自动更新
评论
2017年3月12日微软就为server 2008发布了这个补丁。
看来坚持不关闭自动更新是正确的做法。
评论
居然木有win7的?微软故意的?
评论
早有了,微软强调此恶意软件利用了MS17-010漏洞(严重级别),几乎涉及到全部的Windows版本,
补丁地址
https://technet.microsoft.com/zh ... urity/ms17-010.aspx
评论
现在一部蓝光就22G了。。。。稍大点的或者3D的,一部7-8G正常大小,你确定1元1G?
评论
那些是没有感染力的样本吧。
有活的吗?
评论
什么是活的? 免杀的?
全部都有感染力的,我昨天就玩了不少。双击运行立马中招,有不少变种杀软都还未收录
评论
1. 使用XP和2003版本系统的用户可以选择关闭445端口,规避遭遇此次敲诈者蠕虫病毒的感染攻击。可以参考以下操作步骤。
开启系统防火墙保护。控制面板 —> 安全中心 —> Windows防火墙 —> 启用。
2. 关闭系统445端口:WIN+R 输入cmd,打开命令行操作窗口,输入命令“netstat -an”,检测445端口是否开启
3. 如上图假如445端口开启,依次输入以下命令进行关闭:
net stop rdr
sc config rdr start= disabled
net stop srv
sc config srv start= disabled
net stop netbt
sc config netbt start= disabled
成功后的效果如下:
4. 谨慎打开不明来源的网址和邮件,打开office文档的时候禁用宏开启,网络挂马和钓鱼邮件一直是国内外勒索病毒传播的重要渠道
评论
没找到啊,都是普通的新闻,能发个链接吗?巨硬提示:
早叫你们换WINDOWS10,咋样倒霉了吧?!这次施舍你个补丁,下次呵呵……
谁从中获益最大,谁的嫌疑就最大。想想史上杀毒的放毒,这世界从来不缺流氓。
评论
下到了一个样本,但是似乎没什么活力啊,可以弹出恐怖的画面,但是文件并未被加密……
Capture.PNG (482.41 KB, 下载次数: 0)
评论
感觉这个漏洞就是微软有意无意泄漏的,以便进一步敦促大家升级到Win10.
评论
不会是微软故意放的水吧 要安全 请升级到win10 最新版本
评论
人家才几百G的大姐姐 蓝光我也没兴趣才几百块钱啦
评论
不错哇
评论
360 金山 又多了一批安装的。
评论
漏洞安装自动忽略,安装不上
评论
好像和我没啥关系啊
评论
Possession (1981),阿佳妮。
评论
一直在用大数字全家桶希望能坚持住
评论
好像断网就不加密了
评论
评论
估计是ms自己放出来的,强迫你升级win10
评论
我3月31日做了一次更新……
我觉得我怎么就那么英明神武呢!
不过,这次更新,把我的office2013给更新成未注册了。
评论
这个要必须更新呀,这个病毒太猛了
评论
也可能是360放出来的,让那些不想升级的用户都安装360
评论
不是数字家的都难以信服了。这节奏,又是工具又是水军。。。
评论
来来来,我这有几T,反正一个2.5的4T装不下,呵呵
评论
支持创收
评论
还是linux/unix做nas后期省事啊。没啥病毒折腾。
评论
傻子才搞逐byte替换的事呢,文件分配表随便一弄完事儿,你问多快?想想Everything的检索速度就知道了
评论
没问题啊,把你的He10快递过来,我给你拷满。。。
评论
《迷恋》吧,有高清资源不?再给你推荐几部,《阴风阵阵》、《深夜止步》、《生人勿进》挪威版
评论
不是完全替换的话很容易恢复吧,还交什么赎金。。
评论
这个有点猛 9100G太大了 打折下呗
评论
是很容易,这不就已经可以恢复了吗?
所以说遇事需冷静,不要急,直接拔除电源,抽出硬盘做个镜像备份,等上一周再说。。。
评论
那片源就不是HD-DVD原盘了,而是渣糊标清AVI。。。
评论
你是在一台孤立的物理宿主机上安装VM里玩儿的吗?我想用它改造个彩蛋工具,不知难不
评论
445和139端口是什么关系呀,关了后NAS还怎么用啊?而且此次事件对家庭个人用户威胁并不大吧,因为ISP一般都是封锁80和445这些敏感端口的吧
这个样本是被杀软中途拦截掉的半才坏货,文件不完整。 电路 电子 维修 求创维42c08RD电路图 评论 电视的图纸很少见 评论 电视的图纸很少见 评论 创维的图纸你要说 版号,不然无能为力 评论 板号5800-p42ALM-0050 168P-P42CLM-01 电路 电子 维修 我现在把定影部分拆出来了。想换下滚,因为卡纸。但是我发现灯管挡住了。拆不了。不会拆。论坛里的高手拆解过吗? 评论 认真看,认真瞧。果然有收
·日本留学生活 求个大阪合租
·日本留学生活 自家房招租求
·日本留学生活 东京地区出9成新lv钱包
·日本育儿教育 孩子从国内过来如何学习日语
·日本育儿教育 明年四月横滨招月嫂
·日本育儿教育 请问咋让娃突破识字关?感谢分享中文共读和学习经验的妈妈
·中文新闻 东区明星迈克尔·格列柯,53 岁,将在第一次出生两年后第二次
·中文新闻 《爱情岛》明星卡米拉·瑟洛和杰米·朱维特在透露即将迎来第三