勒索病毒事前防患及解決方案

本文引用修改自噹噹(主要)、omenTWCERT/CC等文章

目前正夯的勒索軟體
主要分為2種型態:主動式被動式攻擊

主動式(紅色介面為主):是以系統漏洞主動發攻擊
被動式(綠色介面為主):偽裝成Flash或其他軟體的更新,讓你誤點受害

主動式攻擊 事前防範篇
前言:
這一批綁架病毒是針對Windws 作業系統的SMB來攻擊
主要是針對445 port的SMB Session漏洞來攻擊「隨機」進行「主動式攻擊」,
445 Port是在139 Port(NetBIOS)未能使用下作用
也就是只要「連上網路」都有可能中標
甚至透過區網傳播擴散,並不需要您點擊或開啟什麼就能攻擊
———————————————
1.目前這已知有變種病毒,Win10也要擔心了…
2.下載安裝後如出現「此更新不適用於你的電腦」
建議去「控制台\系統及安全性\Windows Update\檢視更新記錄」
找有沒有 KB4012215 or KB4012216,如果有就不用擔心了
如果沒有,那你可能是Win7版本太舊,直接透過Windows Update更新
3.Win10用戶如果還沒升級1703,直接更新就好…
———————————————

預防方式:

一、將重要資料複製到外接式硬碟,備份完成後請將之拔除(最有效)。
二、封鎖或關閉445 Port(連接埠、端口)、安裝系統更新以及防毒更新病毒庫至最新,保持防火牆開啟
三、不任意點擊開啟不明連結或檔案

執行步驟:
一、進入安全模式後,下載系統相對應修正檔
以下提供KB修正檔連結:

二、拔除網路線,使設備離線防止中標,重開機進入一般模式安裝修正檔
三、封鎖或關閉445 Port(建議以防火牆阻擋)、Windows SMB(不建議)
檢查445 Port狀態:
開始功能表–>所有程式–>Windows 系統–>
命令提示字元(右鍵以管理員身分執行)
輸入:”netstat -ano”,如果有445(反白處)代表尚未關閉
您可以選擇關閉445 Port或是封鎖445 Port,這裡建議使用封鎖即可


封鎖445 Port:(建議)
開始功能表–>控制台–>Windows防火牆–>進階設定,
彈出”進階安全性”視窗,左側選擇”輸入規則”後,點選右方的”新增規則”。
A.選擇”連接埠”,按下一步。

B.選擇”TCP”,選擇”特定本機連接埠”,輸入: 445,按下一步。

C.選擇”封鎖連線”,按下一步。

D.”網路、私人、公開 “全勾 ,按下一步。

E.”名稱”與”描述”隨意取自行看得懂的,按完成。

注意: 本規則需要建立兩次,
在”B”分別選擇 TCP / UDP 各建立一個,其他部份都一樣。

關閉445 Port:(不建議)
開啟登錄檔編輯器,找到下列的值將其清空
“HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters”
裡面的”TransportBindName”

=-=-=-=-=-=-非不得已再做-=-=-=-=-=-=
關閉SMB功能:
控制台的”程式與功能”,並點選左邊的”開啟或關閉Windows功能”,
接著找到”SMB1.0/CIFS檔案共用支援”的項目,取消勾選後按”確定”即可。

手動阻擋Windows SMB攻擊(非不得已再做)
Win7阻擋方法:
1.按”Windows鍵” + “R”,輸入”regedit”按確定
2.找到”HKEY_LOCAL_MACHINE” > “System” >
“CurrentControlSet” > “Services” > “LanmanServer” > “Parameters”
3.在空白處按右鍵 > 新增 > DWORD(32位元)值,
名稱輸入:”SMB1″ (不管 x86 / x64)
4.對新增的”SMB1″ 右鍵,修改”數值資料”為:”0″
5.修改完成,重新開機

Win8.1以上阻擋方法:
1.打開”command”提示視窗、執行”powershell”
2.執行”set-ExecutionPolicy Unrestricted”
3.執行”set-SmbServerConfiguration -EnableSMB1Protocol $false”
4.出現問你要不要修改SMB Server Configuration的確認提示、
選 Y (預設值、直接按Enter也可)
5.可以使用下列指令來檢查是否設定成功
“get-SmbServerConfiguration /Select EnableSMB1Protocol, EnableSMB2Protocol”
6.設定完成,重新開機

XP 阻擋方法:
請關閉”網路連線內容”的”File and Printer Sharing for Microsoft Networks”
1.開始 > 設定 > 控制台 > 網路連線
2.選擇你的對外連線 (例如區域連線這種名字)、按右鍵選內容
3.把”File and Printer Sharing for Microsoft Networks”旁邊的勾勾取消
4.設定完成,重新開機
=-=-=-=-=-=-非不得已再做-=-=-=-=-=-=

已被綁架的解決辦法
被WannyCry加密的用戶檔案救援可能性分析
—————————————————————
剛剛針對WannyCry病毒的模型分析
他的行為模式是
1.複製檔案到快取(記憶體或虛擬記憶體)
2.加密
3.刪除舊檔案
4.放出加密過的檔案
—————————–
很關鍵的地方!!!
檔案被標示為刪除後,不會馬上被抹除/複寫
所以當機立斷要做的事情
1.關機
2.使用第三方開機(另一台電腦、PE開機等)
使用類似「 Recuva」這種撈出磁區內刪除檔案
3.開始救援,但能救多少不知道,看你的磁碟滿的狀態
如果很空 那就可以救回來很多,如果很滿,恭喜你會被複寫掉很多..

※※※
流程我講的很粗糙,如果不會用,可以試著GOOGLE
或請身邊懂電腦的工具人幫忙XD
※※※

案例分享(引用自噹噹)
※※實際救援WannaCry加密的檔案 成功案例※※
媒體口徑統一說被WannaCry加密後僅能重灌
這是錯誤的概念

————————————————————
WannaCry將檔案複製一份加密後移除原始檔案。
只要硬碟還有剩餘空間,沒被嚴重複寫,基本上資料都可以救回來70~80%。
————————————————————
※第一步
當下朋友中標,打給我求救,我請他直接「斷電
因為他的電腦是RAID10架構,無法拔硬碟出來解
所以我直接原機操作,使用WinPE開機
將病毒先移除刪除
(病毒路徑是隨機生成)

  1. %ProgramData%\{random}
  2. %ProgramData%\{random}\msg
  3. %ProgramData%\{random}\TaskData
  4. %ProgramData%\{random}\TaskData\Data
  5. %ProgramData%\{random}\TaskData\Data\Tor
  6. %ProgramData%\{random}\TaskData\Tor
  7. %All User Profile%\{random}\msg
  8. %All User Profile%\{random}\TaskData
  9. %All User Profile%\{random}\TaskData\Data
  10. %All User Profile%\{random}\TaskData\Data\Tor
  11. %All User Profile%\{random}\TaskData\Tor

病毒名稱為

1.taskse.exe(加密程式)
2.taskdl.exe(刪除資源回收桶程式)
3.@WanaDecryptor@(解密程式)

※第二步
使用安全模式進入染毒作業系統
關閉全部服務與開機常駐
禁用系統還原
※第三步
使用可救回誤刪檔案的程式,我這次操作是用Recuva
安裝後開始撈資料, 能撈多少就撈多少嘍。
————————————————————
完成後我救回的檔案數量為 2.2TB/4TB
磁碟為 2T*2 RAID 10,硬碟使用率為43%
————————————————————
希望透過這個案例來幫各位救回寶貴的資料
如果不會操作的朋友,建議找仿間的資料救援公司
並表示這顆硬碟遭加密,請依造我上面的流程操作
救援公司幾乎都可以很完美的處理好
但能救多少就要看天了
————————————————————
希望各位能把這篇轉載出去,讓大家知道中WannaCry非無解
但換其他的加密病毒就不能保證可以用一樣的方式解決。
————————————————————
目前媒體與號稱3C達人關於病毒的消息
有很多都是錯誤的觀念,建議大家不要亂信
這次的解決方案其實很簡單
1.安裝Windows patch
2.如果沒用SMB功能直接關閉SMBv1(個人覺得很蠢)
3.直接建立一個病毒的關閉 Flag,這個需要一點技術所以不建議一般人用這方式MsWinZonesCacheCounterMutexA
4.WannaCry 有負面表列,其中有一個 \intel 也不會被加密
如果真的很重要的資料,可以搬到\Intel裡面,雖然很蠢但是有效xd

發表迴響