针对win系统漏洞引发的勒索病毒临时解决方案
近期由于win系统的漏洞爆发,引发了一系列的各种win系统服务器中毒事件,然后通过该漏洞演变,今天2017.05.12又爆发了一种疯狂的勒索程序,自动上传到服务器中进行执行安装,名称为“Wana Decrypt0r”,如图所示:
中招的服务器无数,系统包括win2003、win7、win2008、win2012,基本包括了所有win系统,目前官方没有任何解决办法,只有等待微软官方补丁的更新,现在我公司根据在处理这个病毒过程中的经验,特写下这个临时解决方案,供大家参考:
1、软件安装:服务器上安装安全狗软件,下载地址:http://down.vpssj.net/ 因为该下载站只限本公司服务器使用,如果是其他地方服务器,可以在这个地址进行下载,http://union.safedog.cn/download/(vpssj.net)Server.zip ,如果服务器安装了360杀毒或者其他安全软件,在安装的过程中,请务必先关闭,否则会拦截导致安装失败,如开启了win自带防火墙,请务必关闭,否则会造成后续无法远程连接服务器,
2、修改远程端口:安装好安全狗以后,首先我们去修改远程登录默认的端口,点主动防御--远程桌面保护,然后修改远程端口,注意远程端口只能是0-65534,推荐20000到65534之间,这里示例我们就用56781作为远程端口,因为往上的端口几乎很少使用,如果修改的端口是在被使用的端口,将修改失败,不知道端口的可以百度一下进行了解,如图所示:
3、关闭不需要的端口:在安全狗主界面,选择网络防火墙,在选择规则设置,如图所示:
然后打开端口规则设置界面,把我们需要使用的端口设置成允许所有IP一律接受,比如80端口,还有我们刚修改的远程登录端口56781,这里要注意默认的3389端口已经不再是我们的远程登陆端口,也一样要拒绝访问,然后添加135、137、139、445端口,选择所有IP一律拒绝访问,如图所示,
接下来还要修改端口的开放模式,点击上方的修改模式,把端口模式修改成严格,意思就是说只对外开放我们刚才设置允许外网访问的端口,其他端口一律默认全部关闭,如图所示:
4、设置IP禁ping:使用安全狗设置IP为禁ping状态,减少被攻击者扫描到的几率,打开安全狗点击网络防火墙,找到DDOS防火墙,点击规则设置,如图所示,
然后找到下方的禁止ping本机,勾选上,点保存,如图所示:
5、修复漏洞:到这里我们端口修改工作完成,接下来是使用安全狗修复系统漏洞,打上补丁,点击安全狗上面的系统修复,然后自动修复补丁,如图所示:
6、系统加固:使用安全狗的系统账户优化、目录权限优化、系统以及注册表优化,进行优化和清理,这里不要进行数据库优化,因为可能导致您的数据库无法正常访问,如果是asp+mdb数据的网站,请忽略这个步骤,可能会导致网站无法访问数据库,如图所示:
然后下载360杀毒软件(注意是360杀毒,不是360卫士),可以打开新世界主机专用下载站进行下载:http://down.vpssj.net/,或者自行在官网下载,都是最新版本,下载完成,进行安装,安装的过程中,请退出安全狗以及停止所有防御,和我们上面说的一样,因为有一款安全软件了,在安装的话可能会拦截而导致安装失败,安装好以后打开360杀毒软件,进行一次简单的快速扫描,没有问题进行下一步,打开360杀毒主界面上的功能大全,然后找到防黑加固,如图所示,
点击防黑加固,点击立即检测,这里一定要注意,不要勾选“网络防火墙是否已开启”,一定不能勾选这个,否则会出现无法远程连接服务器,其他一律勾选上,检查无误后点击立即处理,如图所示:
最后,建议按照我写的这个步骤来进行操作,如果服务器上安装了其他安全软件,请一定要停止或者卸载,等修复好了漏洞补丁,最好进行一次重启,在这次win系统漏洞爆出的事件中,造成了非常多的损失,很多人利用爆出的漏洞进行各种各样的攻击,所有大家一定要做好服务器的安全防范工作,千万不能掉以轻心,计算机互联网信息安全任重而道远,还需要大家时刻提高警惕,做好防范工作,才能防范于未然,我们不能保证这个教程能彻底解决win系统被入侵和中毒可能,因为其中还涉及到非常多的使用问题,请大家谅解,也请大家注意留意微软方面以及各大杀毒软件安全公司对于该事件提供的补丁和修复方案,及时的进行修补丁的修复。
经过上述步骤,我们就完成了系统的各种处理工作,如果已经中毒的客户,必须全盘格式化重装系统,然后在按照上述步骤操作,没有其他办法。因此次事件造成的云主机以及服务器中招实在太多,也有很多不是本公司的朋友找过来咨询我们寻求帮助,我们只能提供教程方面的参考,以及意见,因为业务比较繁忙不能亲自为您们处理,望见谅。如是本公司的客户,看过了教程还不会操作的,可以在会员后台提交工单,或者咨询我们的在线客服 、售后 为您安排解决。