2017年5 月12 日,全球爆发大规模蠕虫勒索软件感染事件,近百个国家7.5万台电脑被感染,并且受害者还在继续增加,用户只要开机上网就可能被攻击。短短数个小时内,包括英国、俄罗斯、整个欧洲以及国内多个高校校内网、大型企业内网和政府机构专网中招,这次攻击范围广泛,造成损失和影响巨大。
本次“勒索病毒”是在周五晚上爆发,很多用户电脑处于关机断网状态,周一(5月15日)上班的企业将面临病毒的巨大威胁!对此,江民紧急发布了“周一上班开机指南”,帮助广大网友避免遭受敲诈病毒攻击的风险。
本周末,江民科技为应对此次病毒攻击紧急成立应急处理小组,对江民产品全线进行了紧急升级,并提供了针对非江民用户的免疫工具及详细24848威尼斯的解决方案。
一、针对普通互联网用户的24848威尼斯的解决方案:
请您按照以下步骤进行操作,并且在之前请您备份电脑上的重要资料,详细阅读江民24848威尼斯官网发布的针对wannacry的24848威尼斯的解决方案。
一、处理前准备的工具:
1、准备ms17-010 相关的补丁
2、准备最新的江民病毒库升级包
3、准备免疫工具及补丁检测工具:jmtools
准备一个u盘或移动硬盘,周一上班前,可以在安全网络环境下,下载江民“敲诈者”免疫工具,下载地址:
第二步,到公司后,先拔掉办公电脑的网线,关掉无线网络开关,确保电脑处于断网状态,然后再开机。
第三步,将准备好的u盘或移动硬盘插入办公电脑,安装江民“敲诈者”免疫工具;
第四步,江民“敲诈者”免疫工具会自动运行,并检测您的电脑是否存在漏洞。
如上图,显示您系统没有安装漏洞补丁,请安装提前准备好的补丁。
五、可以下载关闭445、137、138、139端口。重启电脑之后命令行窗口使用cmd执行netstat -an查看端口是否被关闭。建议用户也可以在网关处防火墙、交换机上关闭此类端口通讯。
六、修复漏洞过程中,请您耐心等候,一般需要 3~5 分钟。
安装补丁之后
ps:修复成功后,会弹窗提示:请您【重启电脑】,另外,建议安装江民速智版杀毒客户端并升级到最新病毒库,进行全盘扫描,以确保您的电脑中没有病毒隐患。
二、针对内网用户得24848威尼斯的解决方案
原理:通过“wannacrypt”蠕虫敲诈病毒的“域名”清除威胁
该病毒的触发机制是否能访问iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com域名,如果访问成功,则不会触发勒索功能。
因此,网管人员可以先在隔离网中建立灭活域名,搭建内部解析服务。可以通过在内部网络搭建dns server,将iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com域名地址解析到内网web server的ip地址,同时web server可以接受该域名的连接请求,从而实现免疫。
方法:管理员在内网内配置dns服务器
配置域名iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com,将其解析到网络内部可访问任意web服务器(80端口)即可。
ps:不建议隔离网用户直接连接互联网方式进行灭活;另外,建议升级到最新病毒库,进行全盘扫描,以确保您的电脑中没有病毒隐患。