b) 部分电脑带有系统还原功能,可以在未遭受攻击之前设置系统还原点,这样即使遭受攻击之后可以还原系统,找回被加密的原文件,不过还原点时间到遭受攻击期间的文件和设置将会丢失 c) 目前,大部分安全软件已经具有该勒索软件的防护能力或者其他免疫能力等,可以安装这些安全软件,如腾讯电脑管家,开启实时防护,atv直播,避免遭受攻击 d) 对于个人用户,可以采用一些文件防护工具,进行文件的备份、防护,如电脑管家的文档守护者(电脑管家工具箱内可下载使用) 3. 建立灭活域名实现免疫 根据对已有样本分析,勒索软件存在触发机制,如果可以成功访问iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com,则电脑在中了勒索病毒后不会进行文件加密而直接退出。目前该域名已被安全人员注册,可以正常访问。 a) 普通用户在可以联网状态下,保证对该网址的可访问,则可以避免在遭受攻击后避免被加密(仅限于已知勒索病毒) b) 企业用户可以通过在内网搭建Web Server,然后通过内网DNS的方式将域名解析到Web Server IP的方式来实现免疫;通过该域名的访问情况也可以监控内网病毒感染的情况 三、事后病毒清理 1.首先可以拔掉网线等方式隔离已遭受攻击电脑,避免感染其他机器 2. 病毒清理 相关安全软件(如电脑管家)的杀毒功能能直接查杀勒索软件,可以直接进行扫描清理(已隔离的机器可以通过U盘等方式下载离线包安装); 3. 也可以在备份了相关数据后直接进行系统重装,并在重装后参考"事前预防"进行预防操作 四、事后文件恢复 基于目前已知的情况,当前没有完美的文件恢复方案,可以通过以下的方式恢复部分文件: 1. 勒索软件带有恢复部分加密文件的功能,可以直接通过勒索软件恢复部分文件,不过该恢复有限;直接点击勒索软件界面上的"Decrypt"可弹出恢复窗口,显示可免费恢复的文件列表,然后点击"Start"即可恢复列表中文件
2. 根据对勒索病毒分析,勒索软件在加密文件后会删除源文件,所以通过数据恢复软件可以有一定概率恢复已被加密的部分文件,可以使用第三方数据恢复工具(下图以易我数据恢复向导为例)尝试数据恢复,云上用户请直接联系我们协助处理。 五、参考链接 [1] 微软MS17-010漏洞公告及补丁下载 https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx [2] 微软Windows XP/2003补丁下载 ?q=KB4012598 [3] 腾讯云事件预警
[4]勒索病毒”爆发 腾讯云安全专家教你来防范
[5] 电脑管家下载及事件专题页面 https://guanjia.wzatv.cc/wannacry/index2.html [6] 腾讯电脑管家对于WannaCry蠕虫的详细分析
[7] 腾讯云针对方程式工具包预警及修复建议
[8] 腾讯安全反病毒实验室解读“Wannacry”勒索软件 (责任编辑:本港台直播) |