Petya勒索病毒及防范
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0199
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
此外,各安全厂商也出具了应急处理措施,以下是对部分方案的汇总:
1.360
安全操作提示
从目前掌握的情况来看:
不要轻易点击不明附件,尤其是rtf、doc等格式,可以安装360天擎(企业版)和360安全卫士(个人版)等相关安全产品进行查杀。
及时更新windows系统补丁,具体修复方案请参考“永恒之蓝”漏洞修复工具。
内网中存在使用相同账号、密码情况的机器请尽快修改密码,未开机的电脑请确认口令修改完毕、补丁安装完成后再进行联网操作。
360企业安全天擎团队开发的勒索蠕虫漏洞修复工具,可解决勒索蠕虫利用MS17-010漏洞带来的安全隐患。此修复工具集成免疫、SMB服务关闭和各系统下MS17-010漏洞检测与修复于一体。可在离线网络环境下一键式修复系统存在的MS17-010漏洞,工具下载地址:http://b.360.cn/other/onionwormfix
缓解措施
关闭TCP 135端口
建议在防火墙上临时关闭TCP 135端口以抑制病毒传播行为。
停止服务器的WMI服务
WMI(Windows Management Instrumentation Windows 管理规范)是一项核心的 Windows 管理技术 你可以通过如下方法停止 :在服务页面开启WMI服务。在开始-运行,输入services.msc,进入服务。或者,在控制面板,查看方式选择大图标,选择管理工具,在管理工具中双击服务。
在服务页面,按W,找到WMI服务,找到后,双击 ,直接点击停止服务即可,如下图所示:
2.阿里云
目前勒索者使用的邮箱已经被关停,不建议支付赎金。
所有在IDC托管或自建机房有服务器的企业,如果采用了Windows操作系统,立即安装微软补丁。
对大型企业或组织机构,面对成百上千台机器,最好还是使用专业客户端进行集中管理。比如,阿里云的安骑士就提供实时预警、防御、一键修复等功能。
可靠的数据备份可以将勒索软件带来的损失最小化。建议启用阿里云快照功能对数据进行备份,并同时做好安全防护,避免被感染和损坏。
3.腾讯电脑管家+腾讯云鼎实验室
腾讯电脑管家已紧急响应,并已经确认病毒样本通过永恒之蓝漏洞传播,开启腾讯电脑管家可以防御petya勒索病毒,还可全面防御所有已知的变种和其他勒索病毒;此外,漏洞检测能力也得到升级,加入了NSA武器库的防御,可以抵御绝大部分NSA武器库泄漏的漏洞的攻击。
腾讯云鼎实验室:可以采用以下方案进行防护和查杀——
腾讯云用户请确保安装和开启云镜主机保护系统,云镜可对海量主机集中管理,进行补丁修复,病毒监测。
更新EternalBlue&CVE-2017-0199对应漏洞补丁
补丁下载地址:
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0199
终端用户使用电脑管家进行查杀和防护
电脑管家已支持对EternalBlue的免疫和补丁修复,也支持对该病毒的查杀,可以直接开启电脑管家进行防护和查杀。
4.安天
影响操作系统:“必加”(Petya)勒索软件影响操作系统:Windows XP及以上版本;
如未被感染
❶ 邮件防范
由于此次“必加”(Petya)勒索软件变种首次传播通过邮件传播,所以应警惕钓鱼邮件。建议收到带不明附件的邮件,请勿打开;收到带不明链接的邮件,请勿点击链接。
❷ 更新操作系统补丁(MS)
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
❸ 更新Microsoft Office/WordPad远程执行代码漏洞(CVE-2017-0199)补丁
https://technet.microsoft.com/zh-cn/office/mt465751.aspx
❹ 禁用WMI服务
禁用操作方法:https://zhidao.baidu.com/question/91063891.html
❺ 更改空口令和弱口令
如操作系统存在空口令或弱口令的情况,请及时将口令更改为高强度的口令。
❻ 免疫工具
安天开发的“魔窟”(WannaCry)免疫工具,针对此次事件免疫仍然有效。
下载地址:http://www.antiy.com/tools.html
如已被感染
➀ 如无重要文件,建议重新安装系统,更新补丁、禁用WMI服务、使用免疫工具进行免疫。
➁ 有重要文件被加密,如已开启Windows自动镜像功能,可尝试恢复镜像;或等待后续可能出现解密工具。
Petya勒索病毒及防范相关推荐
- 对待Petya勒索病毒的解决办法
只需这四步,就能彻底防御Petya勒索病毒 2017-06-28 程序猿 6月27日,据国外媒体在twitter爆料,一种类似于"WannaCry"的新型勒索病毒席卷了欧洲,乌克兰 ...
- Petya勒索病毒爆发,腾讯安全反病毒实验室首发技术分析
本文讲的是Petya勒索病毒爆发,腾讯安全反病毒实验室首发技术分析,据twitter爆料,乌克兰政府机构遭大规模攻击,其中乌克兰副总理的电脑均遭受攻击,目前腾讯电脑管家已经确认该病毒为Petya勒索病 ...
- 勒索病毒紧急防范步骤和注意事项
勒索病毒紧急防范步骤和注意事项 为防止我们的电脑感染勒索病毒,造成不可预估的损失,请在开机之后进行如下操作,操作过程中,不要运行任何来历不明的程序.脚本,不要点击任何来历不明的链接,直到完成下面所有操 ...
- Petya勒索病毒疫苗出现,分分钟让电脑对病毒免疫
继wannacry之后,Petya勒索软件攻击再次席卷全球,对欧洲.俄罗斯等多国政府.银行.电力系统.通讯系统.企业以及机场造成了不同程度的影响. 研究发现,Petya 会锁定磁盘的 MFT 和 MB ...
- Petya勒索病毒疫苗出现_分分钟让电脑对病毒免疫
原文链接 继wannacry之后,Petya勒索软件攻击再次席卷全球,对欧洲.俄罗斯等多国政府.银行.电力系统.通讯系统.企业以及机场造成了不同程度的影响. 研究发现,Petya 会锁定磁盘的 MFT ...
- Petya勒索病毒(2016.4月样本)分析笔记
前言 之所以不叫分析报告,是因为接下来要看到的分析,可能包含了不正确的,或者有疑点,和未完全分析的,里面有我个人的主观臆断,或者一些我目前未察觉的错误,还有一些非常基础,非常啰嗦的内容,这都是为了复习 ...
- 揭秘新型勒索病毒Petya攻击方式
导读 6月27日晚间,一波大规模勒索蠕虫病毒攻击重新席卷全球. 雷锋网报道,欧洲.俄罗斯等多国政府.银行.电力系统.通讯系统.企业以及机场都不同程度的受到了影响. 阿里云安全团队第一时间拿到病毒样本, ...
- 2019勒索病毒攻击盘点,企业该如何做好防范?
看似平静的2019,勒索病毒的危害却并没有减少!近日美国新泽西州最大的医疗机构Hackensack Merdian Health 被证实遭遇勒索软件攻击,导致一定数量的计算机被感染,医护人员只能在没有 ...
- 新勒索病毒 Petya 已席卷全球,多家跨国企业陷入瘫痪
(点击上方公众号,可快速关注) 消息综合自:Solidot 和 腾讯科技 在 WannaCry 之后,全世界的众多企业又遭遇了另一波勒索软件攻击,但这一次攻击者采用的方法不是利用未修复的漏洞,而是软件 ...
最新文章
- 标准纯C++实现简单的词法分析器(三)
- python基础知识资料-Python学习--最完整的基础知识大全
- python3.6升级及setuptools、pip安装
- ASP.NET 快乐建站系列–2. Rad Controls 简介
- 查找三 哈希表的查找
- 计算机模拟定点突变,分子模拟对接和定点突变提高10β–去乙酰巴卡亭-华南农业大学学报.PDF...
- SpringBoot——@Scheduled的自定义周期性线程池解决任务延时执行问题
- 轻松搞定JSONP跨域请求
- IDEA基本使用及配置(2)
- 自动驾驶7-4 自动驾驶汽车简介全面总结 Congratulations on Completing Course 1
- 你还在对着手机干唱?k歌神器挑选法则
- android gridview 拖动排序,android可拖动排序GridView实现
- 史上最全法则、效应大全,看一遍受用终身!
- 零信任是一次绝地反击
- ERP业务流程优化设计之思想和原则
- IMXRT 的Boot模式
- Java转Go语言 -12
- python世界人口地图
- week1:字符格式化输出,数据类型,for循环,break,continue,标志位
- 多样数字人民币钱包来袭,阻力与动力并存
热门文章
- opencv 视频中的人脸打码
- 游戏小编程———仿真“自由落体的小球”
- php gmtime,gmtime_s - [ C语言中文开发手册 ] - 在线原生手册 - php中文网
- winformskin_C#.net winform skin 皮肤 大全(转) | 学步园
- Python3.7+Tensorflow2.0(TF2)实现Bilstm+mask-self-attention+CRF实现命名实体识别
- 各种系统的iso镜像(百度网盘提取)
- 基于HOOK的应用层进程隐藏
- 红旗 6.0 安装mysql_红旗Linux6.0+Apache+Mysql+PHP配置全过程
- 怎么把字母缩小当符号_建筑图纸的符号意义你知道多少?教你如何输入符号,瞬间涨知识...
- windows环境下_findnext()调试出现访问冲突异常。