勒索病毒容易入侵win10哪些端口

Posted 2023-05-15

大部分系统均起作用，win10也不例外，但win10的安全度比较高，比较安全！此次 永恒之蓝 勒索病毒事件大部分被入侵的都是低级系统，微软已经不提供安全更新的系统。如果可以建议使用win10比较安全！但主要是要自己做好防御措施防御方法：1.不随意打开/点击/进入/下载安装 不明 网页/链接/网页/软件等（这是最基础的）2.更新安全软件至最新版本，专门应对此次事件的最新版本，要可靠的安全软件（推荐用360安全卫士）3.到微软官网下载最新补丁，或是用360下载最新的补丁！4.这段时间最好每天都木马查杀，漏洞检测。5.也是很重要的一点，把445端口（最重要的），135,137,138,139等危险端口都封闭，关闭方法自己百度，随便一查就会有（最好选择最近的发布文章）6.使用360反勒索服务7.准备好一块系统重装光盘或U盘，以防万一。8.也要准备好360新更新的工具 文件解密 也是以防万一。9.这一点是最重要，最重要，最重要的，那就是 防火墙 必须要开，（是必须开，而不是可以开，也不是推荐开），不然即使你申请360反勒索赔理，他也绝对不会赔给你的10.如果不闲麻烦可以开机时断掉网线，开机用杀毒软件检查无异常后在重新连网。 参考技术A 网络安全专家建议，用户要断网开机，即先拔掉网线再开机，这样基本可以避免被勒索软件感染。开机后应尽快想办法打上安全补丁，或安装各家网络安全公司针对此事推出的防御工具，才可以联网。建议尽快备份电脑中的重要文件资料到移动硬盘、U 盘，备份完后脱机保存该磁盘，同时对于不明链接、文件和邮件要提高警惕，加强防范。

临时解决方案：

1、开启系统防火墙

2、利用系统防火墙高级设置阻止向445端口进行连接（该操作会影响使用445端口的服务）

3、打开系统自动更新，并检测更新进行安装

Win7、Win8、Win10的处理流程

1、打开控制面板-系统与安全-Windows防火墙，点击左侧启动或关闭Windows防火墙。

2、选择启动防火墙，并点击确定

3、点击高级设置

4、点击入站规则，新建规则

5、选择端口，下一步

6、特定本地端口，输入445，下一步

7、选择阻止连接，下一步

8、配置文件，全选，下一步

9、名称，可以任意输入，完成即可。

XP系统的处理流程

1、依次打开控制面板，安全中心，Windows防火墙，选择启用

2、点击开始，运行，输入cmd，确定执行下面三条命令：net stop rdr 、net stop srv 、net stop netbt详情

在线客服官方服务
官方网站费用查询充值交费业务办理宽带提速

小5聊记录一次Win7系统开启3389外网的情况下，被勒索病毒加密所有文件

使用了网上下载的内网映射以及3389端口映射，由于防范意识不高，以及远程账号密码设置太简单和对3389端口映射到外网的高漏洞了解不深，导致勒索病毒有机可趁

由于主服务器加了多重防范，禁止3389远程以及复杂的主账号密码，仅仅只加密了三个文件，这个没找到为什么，有可能是没来得及加密，就断开了网络！有知道原因的小伙伴可聊下

1、所有网络出现异常

1）早上11点多，整个网络开始出现异常，上网缓慢，甚至直接上不了，部分电脑微信可以接收到信息，也是很慢

2）刚开始排查以为是电信宽带问题，找了电信维修师傅过来排查，检查光猫没问题

3）然后，检查主交换机就出现无法上网了，维修师傅判定可能是交换机出现了问题

4）接着，维修师傅用一个100兆的交换机作为主交换机，重置设置后，发现网络恢复了

5）用不到10分钟，网络又开始大面积出现异常，上不了网

6）接着和同事分析，应该不是交换机的问题，登录TP-LINK后台查看，只有几个客户端列表获取到IP，一看就不对，可能是内网固定IP问题，然后把所有本机固定IP都改为自动

7）同时把公共远程电脑也关了

8）网络逐渐恢复

2、 查看公共远程电脑

1）登录电脑，本来想着开启远程软件，结果发现都无法打开，桌面多了很多文件，打开个别软件安装目录，发现都被加了后缀，改回后缀也无法打开

2）网上查看信息了解

勒索病毒，不及时进行隔离，可能会导致整个局域网主机的瘫痪
有黑客会以暴露在公网上的主机为跳板，再顺藤摸瓜找到核心业务服务器进行勒索病毒攻击，造成更大规模的破坏

3、勒索病毒留下的txt文本文档内容

!!! ALL YOUR FILES ARE ENCRYPTED !!!

All your files, documents, photos, databases and other important files are encrypted.

You are not able to decrypt it by yourself! The only method of recovering files is to purchase an unique private key.
Only we can give you this key and only we can recover your files.

To be sure we have the decryptor and it works you can send an email: arnoldgladys88@gmx.com and decrypt one file for free.
But this file should be of not valuable!

Do you really want to restore your files?
Write to email: arnoldgladys88@gmx.com
Reserved email: willettamoffat@yahoo.com

Your personal ID: 

Attention!
 * Do not rename encrypted files.
 * Do not try to decrypt your data using third party software, it may cause permanent data loss.
 * Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.


!!! 你所有的文件都加密了！！！

您的所有文件、文档、照片、数据库和其他重要文件都已加密。

你不能自己解密它！恢复文件的唯一方法是购买唯一的私钥。

只有我们才能给你这把钥匙，只有我们才能恢复你的文件。

为了确保我们有解密器并且它可以工作，您可以发送电子邮件：arnoldgladys88@gmx.com免费解密一个文件。

但是这个文件应该没有价值！

是否确实要还原文件？

写信至电子邮件：arnoldgladys88@gmx.com

保留电子邮件：willettamoffat@yahoo.com

您的个人ID:

注意

*不要重命名加密文件。

*不要试图用第三方软件解密数据，这可能会造成永久性数据丢失。

*在第三方的帮助下解密您的文件可能会导致价格上涨（他们将他们的费用加到我们的费用中），或者您可能成为诈骗的受害者。

4、开机提示如下

 

5、暂时处理方式

1）断开网络，关掉开启3389的软件（此时也无法开启，因为被破坏了）

2）不要轻易插入U盘和移动硬盘，防止二次感染移动设备

3）重启，进PE系统， 格式化所有磁盘，再重新分区，再重新安装系统

4）完成系统重装后，下载杀毒软件再全盘扫描下

5）如果实在是要开启3389，那么要把远程密码设置复杂点以及开启防护软件