关于最新勒索病毒的一键防御解决方案

一、勒索病毒-永恒之蓝现状简介
2017年5月12日20时左右，国家网络与信息安全信息中心紧急通报：新型病毒从5月12日起在全球范围传播扩散，已影响到包括我国用户在内的多个国家的用户。该勒索病毒利用Windows操作系统445端口存在的漏洞进行传播，并具有自我复制、主动传播的特性。勒索病毒感染用户计算机后，将对计算机中的文档、图片等实施高强度加密，并向用户勒索赎金。

国内多所院校和企业出现ONION勒索软件感染情况，磁盘文件会被病毒加密为.onion后缀，只有支付高额赎金才能解密恢复文件，对学习资料和个人数据造成严重损失。
国家网络与信息安全中心连接：
http://www.cert.org.cn/publish/main/9/2017/20170513170143329476057/20170513170143329476057_.html

二、中毒原因分析
1、135/137/138/139/445这些常用端口以及共享服务没有关闭；
端口简介：
135端口：135端口就是RPC通信中的桥梁，该端口被攻击者采用了一种DCOM技术，可以直接对其他工作站的DCOM程序进行远程控制。DCOM技术与对方计算机进行通信时，会自动调用目标主机中的RPC服务，而RPC服务将自动询问目标主机中的135端口，并且获取当前有哪些端口可以被用来通信。

137端口：137端口的主要作用是在局域网中提供计算机的名字或IP地址查询服务，一般安装了NetBIOS协议后，该端口会自动处于开放状态。
要是非法入侵者知道目标主机的IP地址，并向该地址的137端口发送一个连接请求时，就可能获得目标主机的相关名称信息。例如目标主机的计算机名称，注册该目标主机的用户信息，目标主机本次开机、关机时间等。
138端口：138端口都属于UDP端口， 主要作用就是提供NetBIOS环境下的计算机名浏览功能。
非法入侵者要是与目标主机的138端口建立连接请求的话，就能轻松获得目标主机所处的局域网网络名称以及目标主机的计算机名称。有了计算机名称，其对应的IP地址也就能轻松获得。如此一来，就为黑客进一步攻击系统带来了便利。
139端口：139端口是一种TCP端口，主要作用是通过网上邻居访问局域网中的共享文件或共享打印机。
黑客要是与目标主机的139端口建立连接的话，就很有可能浏览到指定网段内所有工作站中的全部共享信息，甚至可以对目标主机中的共享文件夹进行各种编辑、删除*作，倘若攻击者还知道目标主机的IP地址和登录帐号的话，还能轻而易举地查看到目标主机中的隐藏共享信息。
445端口：是一种TCP端口，功能与139端口几乎一致，也是提供局域网中文件或打印机共享服务。
区别就是该端口是基于CIFS协议（通用因特网文件系统协议）工作的，而139端口是基于SMB协议（服务器协议族）对外提供共享服务，所以要关闭文件共享，那么需要同时关闭139和445端口。

2、个人网络安全意识淡漠（不明链接不要点击，不明文件不要下载，不明网站不要访问）；
3、没有定期跨本机以外其他渠道备份文档的习惯（比如移动硬盘，网盘等备份渠道）；

三、 病毒防范与避免：
3.1 公司技术防护层面：
a、出口防火墙上禁止135/137/138/139/445端口，隔绝内部与外部的端口开放；
b、交换机上禁止135/137/138/139/445端口，隔绝内部这些高危端口互通；
c、行为管理上禁止135/137/138/139/445端口，隔绝内部这些高危端口互通；
d、IT部制定员工本机关闭135/137/138/139/445端口的脚本，避免员工感染并传播；
e、IT部将windows核心数据，跨机器渠道保存；
f、增强员工的安全防范意识的宣导力度；

3.2 员工防护层面：
a、及时升级Windows操作系统，目前微软公司已发布相关补丁程序MS17-010，可通过微软公司正规渠道进行升级。
b、安装并及时更新杀毒软件。
c、不要轻易打开来源不明的电子邮件。
d、及时关闭计算机、网络设备上的445端口。
e、定期在不同的存储介质上备份计算机上的重要文件。
f、养成良好的网络浏览习惯。不要轻易下载和运行未知网页上的软件，减少计算机被入侵的可能。
g、使用360“NSA武器库免疫工具”检测系统是否存在漏洞，并关闭受到漏洞影响的端口，可以避免遭到勒索软件等病毒的侵害。免疫工具下载地址：http://dl.360safe.com/nsa/nsatool.exe

四、一键执行脚本来防御
*本一键脚本着重于一键防御和协助解决局域网（AD域环境）的勒索病毒问题，并非一劳永逸，请严格按照如下如下操作：
1、首先执行"一键关闭危险端口和服务"
2、立刻使用360免疫工具进行防御（地址附在文中）
3、360的nastool工具修复完毕之后，执行"一键开启端口和服务"*

针对目前刷爆整个网络的勒索病毒，我看到网上有很多人在指点怎么防御，但是很多人还是不一定能看明白具体怎么操作，我写了两个简单粗暴的一键执行的脚本，大家有需要的可以找我，免费使用。
一键关闭危险端口和服务：

@echo off
color 0A
title 您正在使用一键关闭危险端口和服务
echo 您正在使用一键关闭危险端口和服务
echo “Powered by情感iT人--高哥制作，欢迎使用，按任意键继续”
pause
echo "正在帮您关闭这些危险端口，请稍等"
echo “正在开启防火墙服务”
net start MpsSvc
echo ”正在帮您开启防火墙自启动“
sc config MpsSvc start= auto
echo ”正在启用防火墙“
netsh advfirewall set allprofiles state on
echo "正在帮您屏蔽端口，请稍后...."
netsh advfirewall firewall add rule name="deny udp 135 " dir=in protocol=udp localport=135 action=block
pause
netsh advfirewall firewall add rule name="deny tcp 135" dir=in protocol=tcp localport=135 action=block
netsh advfirewall firewall add rule name="deny udp 137 " dir=in protocol=udp localport=137 action=block
netsh advfirewall firewall add rule name="deny tcp 137" dir=in protocol=tcp localport=137 action=block
netsh advfirewall firewall add rule name="deny udp 138" dir=in protocol=udp localport=138 action=block
netsh advfirewall firewall add rule name="deny tcp 138" dir=in protocol=tcp localport=138 action=block
netsh advfirewall firewall add rule name="deny udp 139" dir=in protocol=udp localport=139 action=block
netsh advfirewall firewall add rule name="deny tcp 139" dir=in protocol=tcp localport=139 action=block
netsh advfirewall firewall add rule name="deny udp 445" dir=in protocol=udp localport=445 action=block
netsh advfirewall firewall add rule name="deny tcp 445" dir=in protocol=tcp localport=445 action=block
echo "恭喜您，危险端口已经屏蔽成功"
echo "下面将帮您关闭勒索病毒相关的危险服务，请稍后...."
echo ”正在关闭Computer Browser的服务“
net stop Browser
echo ”正在关闭共享服务的服务“
net stop LanmanServer
echo ”TCP/IP NetBIOS Helper共享服务“
net stop lmhosts
echo ”正在关闭Workstation浏览服务“
net stop LanmanWorkstation
echo "恭喜您，危险端口已经关闭，请您尽快使用360的nsatool工具进行漏洞围堵，然后再执行一键服务和端口的开启脚本"
echo “Powered by情感iT人--高哥制作，感谢您的使用，按任意键退出 ”
pause

一键开启共享端口和服务：

@echo off
color 0A
title 正在开启之前关闭的危险端口和服务
echo title 您正在使用一键关闭危险端口和服务
echo “Powered by情感iT人--高哥制作，欢迎使用，按任意键继续”
pause
echo "正在帮您开启之前关闭的危险端口，请稍等"
echo “正在开启防火墙服务”
net start MpsSvc
echo ”开启防火墙自启动“
sc config MpsSvc start= auto
echo ”启用防火墙“
netsh advfirewall set allprofiles state on
echo "正在帮您解禁勒索病毒相关的防火墙规则"
netsh advfirewall firewall delete rule name="deny udp 135 "
netsh advfirewall firewall delete rule name="deny tcp 135"
netsh advfirewall firewall delete rule name="deny udp 137 "
netsh advfirewall firewall delete rule name="deny tcp 137"
netsh advfirewall firewall delete rule name="deny udp 138"
netsh advfirewall firewall delete rule name="deny tcp 138"
netsh advfirewall firewall delete rule name="deny udp 139"
netsh advfirewall firewall delete rule name="deny tcp 139"
netsh advfirewall firewall delete rule name="deny udp 445"
netsh advfirewall firewall delete rule name="deny tcp 445"
echo "恭喜您，共享服务的端口已经打开"
echo "下面将帮您开启共享的服务"
echo ”正在开启Computer Browser的服务“
net start Browser
echo ”正在开启共享服务的服务“
net start LanmanServer
echo ”TCP/IP NetBIOS Helper共享服务“
net start lmhosts
echo ”正在开启Workstation浏览服务“
net start LanmanWorkstation
echo "恭喜您，相关服务已经全部启动"
echo “Powered by情感iT人--高哥制作，感谢您的使用，按任意键退出”
echo 按任意键退出
pause>nul