最新勒索軟件WannaCrypt病毒感染前清除處理及加固

       昨天、今天、乃至最近一段時間，安全圈甚至全中國將聚焦在勒索病毒“WannaCrypt”，很多人都以為安全離我很遠，其實不然，過去病毒可能僅僅是在線***，而今天出現的“WannaCrypt”勒索病毒達到一定條件后，將感染內網，注意是內網！當然外網也是感染對象，目前國內很多高校、政府、企業和個人均出現了大面積的感染。很多安全公司將其定義為“蠕蟲”病毒，其危害相當巨大，一旦被感染，只有兩種途徑來解決，一種是支付贖金，另外一種就是重裝系統，所有資料全部歸零。通過筆者分析，如果是在病毒WannaCrypt發作前，能夠成功清除病毒，將可以救回系統，減少損失！

  記住在病毒發作的兩個小時內清除病毒效果最佳，錯過以后，及時關機，病毒也會繼續計算時間！也就是說最佳處理時間是病毒感染的兩個小時內！

一、最重要的事情

   先進行本文的第三部分，對系統進行查看有無病毒，如果有則可以參考以下步驟：

1.第一時間徹底清除病毒。

2.拔掉網線，防止再次被感染！

3.使用安全優盤進行系統文件備份，如果沒有優盤，則可以將需要備份的文件先行壓縮為rar文件，然后再修改為.exe文件。

4.WannaCrypt目前不對exe文件進行加密，文件處理好以后再進行加固！

二、病毒原始文件分析

   1.文件名稱及大小

本次捕獲到病毒樣本文件三個，mssecsvc.exe、qeriuwjhrf、tasksche.exe，如圖1所示，根據其md5校驗值，tasksche.exe和qeriuwjhrf文件大小為3432KB，mssecsvc.exe大小為3636KB。

2.md5校驗值

使用md5計算工具對以上三個文件進行md5值計算，其md5校驗值分別如下：

tasksche.exe  8b2d830d0cf3ad16a547d5b23eca2c6e

mssecsvc.exe  854455f59776dc27d4934d8979fa7e86

qeriuwjhrf:  8b2d830d0cf3ad16a547d5b23eca2c6e

圖1 勒索軟件病毒基本情況

3.查看病毒文件

（1）系統目錄查看

文件一般位于系統盤下的windows目錄，例如c:\windows\，通過命令提示符進入:

cd c:\windows\

dir /od /a *.exe

   （2）全盤查找

dir /od /s tasksche.exe

dir /od /s mssecsvc.exe

4.病毒現象

（1）通過netstat –an命令查看網絡連接，會發現網絡不停的對外發送SYN_SENT包，如圖2所示。

圖2對外不斷的發送445連接包

（2）病毒服務

   通過Autoruns安全分析工具，可以看到在服務中存在“fmssecsvc2.0”服務名稱，該文件的時間戳為2010年11月20日17:03分。

三、殺毒方法

   1.設置查看文件選項

由于病毒設置了隱藏屬性，正常情況下無法查看該文件，需要對文件查看進行設置，即在資源管理器中單擊“工具”-“文件夾選項”，如圖4所示。

圖4 打開文件夾選項設置

去掉“隱藏受保護的操作系統文件（推薦）”、選擇“顯示隱藏的文件、文件夾和驅動器”、去掉“隱藏已知文件類型的擴展名”，如圖5所示，即可查看在windows目錄下的病毒隱藏文件。

圖5文件夾查看選項設置

2.結束進程

   通過任務管理器，在任務欄上右鍵單擊選擇“啟動任務管理器”，從進程中去查找mssecsvc.exe和tasksche.exe文件，選中mssecsvc.exe和tasksche.exe，右鍵單擊選擇“結束進程樹”將病毒程序結束，又可能會反復啟動，結束動作要快。

3.刪除程序

到windows目錄將三個文件按照時間排序，一般會顯示今天或者比較新的時期，將其刪除，如果進程結束后，又啟動可來回刪除和結束。直到將這三個文件刪除為止，有可能到寫本文章的時候，已經有病毒變體，但方法相同，刪除新生成的文件。

4.再次查看網絡

使用netstat –an命令再次查看網絡連接情況，無對外連接情況，一切恢復正常。

可以使用安全計算機下載安全工具Autoruns以及ProcessExplorer，通過光盤刻錄軟件，到感染病毒計算機中進行清除病毒！軟件下載地址：

https://download.sysinternals.com/files/Autoruns.zip

https://download.sysinternals.com/files/ProcessExplorer.zip

注意，本文所指清除病毒是指勒索軟件還未對系統軟件進行加密！如果在桌面出現×××小圖標，桌面背景有紅色英文字體顯示（桌面有窗口彈出帶鎖圖片，Wana Decryptor2.0），這表明系統已經被感染了。

四、安全加固

1.關閉445端口

（1）手工關閉

在命令提示符下輸入“regedit”，依次打開“HKEY_LOCAL_MACHINE”-“System”-“Controlset”“Services”-“NetBT”-“Parameters”，在其中選擇“新建”——“DWORD值”，將DWORD值命名為“SMBDeviceEnabled”，并通過修改其值設置為“0”，如圖6所示，需要特別注意一定不要將SMBDeviceEnabled寫錯了！否則沒有效果！

圖6注冊表關閉445端口

查看本地連接屬性，將去掉“Microsoft網絡的文件和打印機共享”前面的勾選，如圖7所示。

圖7取消網絡文件以及打印機共享

（2）使用錦佰安提供的腳本進行關閉，在線下載腳本地址：http://www.secboot.com/445.zip，腳本代碼如下：

echo "歡迎使用錦佰安敲詐者防御腳本"

echo "如果pc版本大于xp 服務器版本大于windows2003，請右鍵本文件，以管理員權限運行。"

netsh firewall set opmode enable

netsh advfirewall firewall addrule name="deny445" dir=in protocol=tcp localport=445 action=block

netsh firewall setportopening  protocol=TCP port=445mode=disable name=deny445

2.關閉135端口

在運行中輸入“dcomcnfg”，然后打開“組建服務”-“計算機”-“屬性”-“我的電腦屬性”-“默認屬性”-“在此計算機上啟用分布式COM”去掉選擇的勾。然后再單擊“默認協議”選項卡，選中“面向連接的TCP/IP”，單擊“刪除”或者“移除”按鈕，如圖8所示。

圖8關閉135端口

3.關閉139端口

139端口是為“NetBIOS Session Service”提供的，主要用于提供Windows文件和打印機共享以及Unix中的Samba服務。 單擊“網絡”-“本地屬性”，在出現的“本地連接屬性”對話框中，選擇“Internet協議版本4（TCP/IPv4）”-“屬性”，雙擊打開“高級TCP/IP設置”-“WINS”，在“NetBIOS設置”中選擇“禁用TCP/IP上的NetBIOS”，如圖9所示。

圖9關閉139端口

4.查看端口是否開放

以后以下命令查看135、139、445已經關閉。

netstat -an | find  "445"

netstat -an | find  "139"

netstat -an | find "135"

5.開啟防火墻

   啟用系統自帶的防火墻。

6.更新系統補丁

   通過360安全衛士更新系統補丁，或者使用系統自帶的系統更新程序更新系統補丁。

五、安全提示

1.來歷不明的文件一定不要打開

2.謹慎使用優盤，在優盤中可以建立antorun.inf文件夾防止優盤病毒自動傳播

3.安裝殺毒軟件

4.打開防火墻

5.ATScanner（WannaCry）

http://www.antiy.com/response/wannacry/ATScanner.zip

6.蠕蟲勒索軟件免疫工具（WannaCry）http://www.antiy.com/response/wannacry/Vaccine_for_wannacry.zip

  有關WannaCrypt勒索病毒軟件的進一步分析，請關注我們的技術分析，歡迎加入安天365技術交流群（513833068）進行該技術的探討。