勒索病毒尝试解决方法

解决方案

该攻击涉及MS17-010漏洞，我们可以采用以下方案进行解决

漏洞名称：

Microsoft Windows SMB远程任意代码执行漏洞 (MS17-010)

包含如下CVE：

CVE-2017-0143 严重远程命令执行

CVE-2017-0144 严重远程命令执行

CVE-2017-0145 严重远程命令执行

CVE-2017-0146 严重远程命令执行

CVE-2017-0147 重要信息泄露

CVE-2017-0148 严重远程命令执行

漏洞描述：

SMBv1 server是其中的一个服务器协议组件。

Microsoft Windows中的SMBv1服务器存在远程代码执行漏洞。

远程攻击者可借助特制的数据包利用该漏洞执行任意代码。

以下版本受到影响：

Microsoft Windows Vista SP2

Windows Server 2008 SP2和R2 SP1

Windows 7 SP1

Windows 8.1

Windows Server 2012 Gold和R2

Windows RT 8.1

Windows 10 Gold

1511和1607

Windows Server 2016

解决方法：

1.防火墙屏蔽445端口

2.利用 Windows Update 进行系统更新

3.关闭 SMBv1 服务

3.1 适用于运行 Windows 8.1 或 Windows Server 2012 R2 及更高版本的客户

对于客户端操作系统：

打开“控制面板”，单击“程序”，然后单击“打开或关闭 Windows 功能”。

在“Windows 功能”窗口中，清除“SMB 1.0/CIFS 文件共享支持”复选框，然后单击“确定”以关闭此窗口。

重启系统。

3.2 对于服务器操作系统：

打开“服务器管理器”，单击“管理”菜单，然后选择“删除角色和功能”。

在“功能”窗口中，清除“SMB 1.0/CIFS

文件共享支持”复选框，然后单击“确定”以关闭此窗口。

重启系统。

3.3适用于运行Windows 7、 Windows Server 2008 R2、 Windows Vista 和 Windows Server 2008，修改注册表

注册表路径︰ HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\LanmanServer\\Parameters

新建项︰ SMB1，值0（DWORD）

重新启动计算机

关于影响的操作系统范围和对应的补丁号码详情请见：https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

勒索病毒中招尝试解决方案

方法一:

1:打开自己的那个勒索软件界面，点击copy. （复制黑客的比特币地址）

2:把copy粘贴到btc.com （区块链查询器）

3:在区块链查询器中找到黑客收款地址的交易记录，然后随意选择一个txid（交易哈希值）

4:把txid 复制粘贴给勒索软件界面按钮connect us.

5:等黑客看到后你再点击勒索软件上的check payment.

6:再点击decrypt 解密文件即可。

方法二:

下载开源的脚本(需要python3环境)来运行尝试恢复。

下载链接：https://github.com/QuantumLiu/antiBTCHack