禁止“勒索病毒”攻击的解决办法
转载请注明出处：
本文出自【】
上周末开始“勒索病毒”大面积侵袭Windows操作系统，这里讲一个解决办法。
首先新建一个文本文件，命名为：
WannaCry勒索病毒一键加固v1.3.bat
这其实是一个批处理文件，内容如下：
mode con: cols=85 lines=30
:NSFOCUSXA
WannaCry勒索病毒安全加固工具
echo -----------------------
WannaCry勒索病毒安全加固工具
--------------------------
* WannaCry勒索软件可加密硬盘文件，受害者必须支付高额赎金才有可能解密恢复，安
全风险高，影响范围广！
* 网络层面：建议边界防火墙阻断445端口的访问，可通过IPS、防火墙相关安全设备配
置相关阻断策略。
* 终端层面：暂时关闭Server服务,使用命令"netstat -ano | findstr ":445""，确保
关闭445端口，建议在微软官网下载MS17-010补丁,选择对应的版本进行补丁安装，补
丁下载地址：http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598。
* 必须以系统管理员身份运行，以下提供此工具所做的操作的介绍：
1：WIN7加固 2：WIN10加固 3：WIN2003加固 4：WIN2008加固 5：WIN2012加固
6.WIN2016加固
绿盟科技 V1.3
www.nsfocus.com
echo ---------------------------------------------------------------------------------
set start=
set /p start=
输入(1 2 3 4 5 6)后按回车键:
if "%start%"=="1" goto WIN7
if "%start%"=="2" goto WIN10
if "%start%"=="3" goto WIN2003
if "%start%"=="4" goto WIN2008
if "%start%"=="5" goto WIN2012
if "%start%"=="6" goto WIN2016
if "%start%"=="7" goto quit
goto NSFOCUSXA
net stop server /Y & nul
sc config lanmanserver start= disabled
netsh advfirewall set currentprofile state on & nul
netsh advfirewall firewall add rule name="DenyEquationTCP" dir=in action=block localport=445
netsh advfirewall firewall add rule name="DenyEquationUDP" dir=in action=block localport=445
echo ---------------------------------------------------------------------------------
Windows 7系统加固命令执行完毕！
goto NSFOCUSXA
net stop server & nul
sc config lanmanserver start= disabled
netsh firewall set opmode enable & nul
netsh advfirewall firewall add rule name="DenyEquationTCP" dir=in action=block localport=445
netsh advfirewall firewall add rule name="DenyEquationUDP" dir=in action=block localport=445
echo ---------------------------------------------------------------------------------
Windows 10系统加固命令执行完毕！
goto NSFOCUSXA
net stop server & nul
net start sharedaccess & nul
sc config lanmanserver start= disabled
netsh firewall add portopening protocol = ALL port = 445 name = DenyEquationTCP mode = DISABLE scope = ALL profile = ALL & nul
echo ---------------------------------------------------------------------------------
Windows Server 2003系统加固命令执行完毕！
goto NSFOCUSXA
net stop server /Y & nul
sc config lanmanserver start= disabled
netsh advfirewall set currentprofile state on & nul
netsh advfirewall firewall add rule name="DenyEquationTCP" dir=in action=block localport=445
netsh advfirewall firewall add rule name="DenyEquationUDP" dir=in action=block localport=445
echo ---------------------------------------------------------------------------------
Windows Server 2008系统加固命令执行完毕！
goto NSFOCUSXA
net stop server & nul
net start MpsSvc & nul
sc config lanmanserver start= disabled
netsh advfirewall firewall add rule name="DenyEquationTCP" dir=in action=block localport=445
netsh advfirewall firewall add rule name="DenyEquationUDP" dir=in action=block localport=445
echo ---------------------------------------------------------------------------------
Windows Server 2012系统加固命令执行完毕！
goto NSFOCUSXA
net stop server & nul
sc config lanmanserver start= disabled
netsh advfirewall firewall add rule name="DenyEquationTCP" dir=in action=block localport=445
netsh advfirewall firewall add rule name="DenyEquationUDP" dir=in action=block localport=445
echo ---------------------------------------------------------------------------------
Windows Server 2016系统加固命令执行完毕！
goto NSFOCUSXA
右键使用“以管理员身份运行”点击这个文件，如图：
进入系统，如图：
根据自己的操作系统类别，输入相应的数字，比如你的是win7，那么输入：1。
然后系统就执行完毕，如图：
其实就是关闭了“445”端口。
注意：运行完毕之后要重启操作系统！
没有更多推荐了，
不良信息举报
举报内容：
禁止“勒索病毒”攻击的解决办法
举报原因：
原文地址：
原因补充：
最多只允许输入30个字
加入CSDN，享受更精准的内容推荐，与500万程序员共同成长！一个手机病毒&寄生推&今天引起了大家的注意，或者说是害怕吧，很多的手机用户看到这个病毒的时候就会想了这个病毒是什么？自己的手机万一中了这个病毒怎么办？
寄生推病毒是什么？
近日,腾讯TRP-AI反病毒引擎捕获到一个恶意推送信息的软件开发工具包(SDK)&&&寄生推&。目前已有300多款知名应用受&寄生推&SDK感染,潜在影响用户超2000万。
腾讯安全联合实验室反诈骗实验室大数据显示,已有数十万用户设备ROM内被植入相关的恶意子包,受到影响的设备会不断弹出广告和地下推广应用。这些恶意子包可以绕过大多应用市场的安装包检测,导致受感染的应用混入应用市场,给用户和应用开发者带来重大损失。
感染&寄生推&SDK的知名应用中,不仅类型丰富,更是不乏用户超过千万的巨量级软件。&我们估测超过2000万用户都受此威胁。&腾讯安全联合实验室反诈骗实验室技术工程师雷经纬表示。
&寄生推&不仅影响范围广,在传播路径上更是&煞费苦心&。雷经纬介绍,该信息推送SDK的恶意传播过程非常隐蔽,从云端控制SDK中实际执行的代码,具有很强的隐蔽性和对抗杀毒软件的能力,与&寄生虫&非常类似,故将其命名为&寄生推&。
具体表现为,其开发者通过使用代码分离和动态代码加载技术,完全掌握了下发代码包的控制权;随后,通过云端配置任意下发包含不同功能的代码包,实现恶意代码包和非恶意代码包之间的随时切换;最后在软件后台自动开启恶意功能,包括植入恶意应用到用户设备系统目录,进行恶意广告行为和应用推广等,最终实现牟取灰色收益。
腾讯手机管家安全专家杨启波建议,SDK开发者应尽可能的避免使用云控、热补丁等动态代码加载技术,要谨慎接入具有动态更新能力的SDK,防止恶意SDK影响自身应用的口碑。
此外,用户在下载手机软件时,应通过应用宝等正规应用市场进行,避免直接在网页上点击安装不明软件。同时,用户应该养成良好的安全使用手机的习惯,借助腾讯手机管家等第三方安全软件对手机进行安全检测,移除存在安全风险的应用。
手机中了&寄生推&病毒感染怎么办
据悉，&寄生推&推送SDK的影响范围极广，从2017年9月份开始下发恶意代码包至今，目前已有300多款知名应用受&寄生推&SDK感染，并有至少5款正规软件进行恶意推广，传播该恶意SDK，潜在受影响用户近2000万。腾讯安全联合实验室反诈骗实验室大数据显示，已有数十万用户设备ROM内被植入相关的恶意子包，受到影响的设备会不断弹出广告和地下推广应用。此外，这些恶意子包可以绕过大多应用市场的安装包检测，导致受感染的应用混入应用市场，给用户和应用开发者带来重大损失。
&寄生推&推送SDK在恶意传播过程中，呈现了一种新特征：从云端控制SDK中实际执行的代码，具有很强的隐蔽性和对抗杀毒软件的能力。首先，其开发者通过使用代码分离和动态代码加载技术，完全掌握了下发代码包的控制权。随后，通过云端配置任意下发包含不同功能的代码包，实现恶意代码包和非恶意代码包之间的随时切换。最后在软件后台自动开启恶意功能，包括植入恶意应用到用户设备系统目录，进行恶意广告行为和应用推广等，最终实现牟取灰色收益。
针对&寄生推&恶意SDK的危害，腾讯手机管家安全专家杨启波对应用市场、开发者和用户提出了建议：其一，应用市场需要加强和细化管理，增强对恶意应用和恶意SDK的识别能力。其二，SDK开发者应尽可能的避免使用云控、热补丁等动态代码加载技术;软件开发者要谨慎接入具有动态更新能力的SDK，防止恶意SDK影响自身应用的口碑。
最后，用户在下载手机软件时，应通过应用宝等正规应用市场进行，避免直接在网页上点击安装不明软件。同时，用户应养成良好的安全使用手机的习惯，借助腾讯手机管家等对三方安全软件对手机进行安全检测，移除存在安全风险的应用。作为手机端的第一道防线，腾讯手机管家依托腾讯TRP-AI反病毒引擎，对下载的手机软件进行安全扫描，及时识别风险并进行安全处理，大幅提升病毒查杀效率，保障手机安全。
安卓手机资讯3篇
安卓手机攻略心得1篇近日安卓有个寄生推病毒出现在大家的手机里，它可通过预留的后门云控开启恶意功能，进行恶意广告弹出和应用推广，要是不知道怎么防御的话赶紧看看吧！
其一，应用市场需要加强和细化管理，增强对恶意应用和恶意SDK的识别能力。
其二，SDK开发者应尽可能的避免使用云控、热补丁等动态代码加载技术；软件开发者要谨慎接入具有动态更新能力的SDK，防止恶意SDK影响自身应用的口碑。
最后，用户在下载手机软件时，应通过应用宝等正规应用市场进行，避免直接在网页上点击安装不明软件。
同时，用户应养成良好的安全使用手机的习惯，借助腾讯手机管家等对三方安全软件对手机进行安全检测，移除存在安全风险的应用。
作为手机端的第一道防线，腾讯手机管家依托腾讯TRP-AI反病毒引擎，对下载的手机软件进行安全扫描，及时识别风险并进行安全处理，大幅提升病毒查杀效率，保障手机安全。
上面就是小编为大家带来的关于寄生推病毒防御介绍，希望能够对你有一定帮助，有其他问题都可以给小编进行留言。怎样彻底清除mrdxsdk32.dll病毒？_百度知道
怎样彻底清除mrdxsdk32.dll病毒？
这个 好象是输入法病毒我的输入法现在按 Ctrl+空格 没有调出输入法 可能就是这个病毒怎样彻底清除？ 我在网上找不到清除的方法，只有中毒时的病状
就是 输入法 有问题，有谁帮下忙？ 彻底清除它
我有更好的答案
看你字面意思就是说已经查杀到了？是不是清除以后电脑系统运行不起来？然后只能用病毒隔离区那里恢复文件是不？再然后就是又有病毒，查杀到还是一样的情况对吧？如果是HI我下。（我刚遇到类似病毒，我应该可以帮你解决）
为您推荐：
其他类似问题
彻底清除的相关知识
换一换
回答问题，赢新手礼包
个人、企业类
违法有害信息,请在下方选择后提交
色情、暴力
我们会通过消息、邮箱等方式尽快将举报结果通知您。这个病毒怎么处理_百度知道
这个病毒怎么处理
C:\Program Files\Internet Explorer下的IEXPLORE.SYS这个特洛伊木马一直删除不了,我用的是卡巴,一直跳出说这个病毒,可是就是删除不了,请问他是否是病毒,有怎么办法删除?谢谢
我有更好的答案
把要打开的文件后缀改为.com就可以打开 运行-cmd-assoc .exe=exefile 回车 然后exe文件都能打开了，再杀毒 若出现IE还是上述问题（其它程序正常），请删除IE快捷方式图标，再 开始-程序-IE-右键 发送到 桌面快捷方式 搞定？！
一、初识特洛伊木马 特洛伊木马是一种恶意程序，它们悄悄地在宿主机器上运行，就在用户毫无察觉的情况下，让攻击者获得了远程访问和控制系统的权限。一般而言，大多数特洛伊木马都模仿一些正规的远程控制软件的功能，如Symantec的pcAnywhere，但特洛伊木马也有一些明显的特点，例如它的安装和操作都是在隐蔽之中完成。攻击者经常把特洛伊木马隐藏在一些游戏或小软件之中，诱使粗心的用户在自己的机器上运行。最常见的情况是，上当的用户要么从不正规的网站下载和运行了带恶意代码的软件，要么不小心点击了带恶意代码的邮件附件。 大多数特洛伊木马包括客户端和服务器端两个部分。攻击者利用一种称为绑定程序的工具将服务器部分绑定到某个合法软件上，诱使用户运行合法软件。只要用户一运行软件，特洛伊木马的服务器部分就在用户毫无知觉的情况下完成了安装过程。通常，特洛伊木马的服务器部分都是可以定制的，攻击者可以定制的项目一般包括：服务器运行的IP端口号，程序启动时机，如何发出调用，如何隐身，是否加密。另外，攻击者还可以设置登录服务器的密码、确定通信方式。 服务器向攻击者通知的方式可能是发送一个email，宣告自己当前已成功接管的机器；或者可能是联系某个隐藏的Internet交流通道，广播被侵占机器的IP地址；另外，当特洛伊木马的服务器部分启动之后，它还可以直接与攻击者机器上运行的客户程序通过预先定义的端口进行通信。不管特洛伊木马的服务器和客户程序如何建立联系，有一点是不变的，攻击者总是利用客户程序向服务器程序发送命令，达到操控用户机器的目的。 特洛伊木马攻击者既可以随心所欲地查看已被入侵的机器，也可以用广播方式发布命令，指示所有在他控制之下的特洛伊木马一起行动，或者向更广泛的范围传播，或者做其他危险的事情。实际上，只要用一个预先定义好的关键词，就可以让所有被入侵的机器格式化自己的硬盘，或者向另一台主机发起攻击。攻击者经常会用特洛伊木马侵占大量的机器，然后针对某一要害主机发起分布式拒绝服务攻击（Denial of Service，即DoS），当受害者觉察到网络要被异乎寻常的通信量淹没，试图找出攻击者时，他只能追踪到大批懵然不知、同样也是受害者的DSL或线缆调制解调器用户，真正的 二、极度危险的恶意程序攻击者早就溜之大吉。 对于大多数恶意程序，只要把它们删除，危险就算过去，威胁也不再存在，但特洛伊木马有些特殊。特洛伊木马和病毒、蠕虫之类的恶意程序一样，也会删除或修改文件、格式化硬盘、上传和下载文件、骚扰用户、驱逐其他恶意程序，例如，经常可以看到攻击者霸占被入侵机器来保存游戏或攻击工具，用户所有的磁盘空间几乎都被侵占殆尽，但除此之外，特洛伊木马还有其独一无二的特点——窃取内容，远程控制——这使得它们成为最危险的恶意软件。 首先，特洛伊木马具有捕获每一个用户屏幕、每一次键击事件的能力，这意味着攻击者能够轻松地窃取用户的密码、目录路径、驱动器映射，甚至医疗记录、银行帐户和信用卡、个人通信方面的信息。如果PC带有一个麦克风，特洛伊木马能够窃听谈话内容。如果PC带有摄像头，许多特洛伊木马能够把它打开，捕获视频内容——在恶意代码的世界中，目前还没有比特洛伊木马更威胁用户隐私的，凡是你在PC前所说、所做的一切，都有可能被记录。 一些特洛伊木马带有包嗅探器，它能够捕获和分析流经网卡的每一个数据包。攻击者可以利用特洛伊木马窃取的信息设置后门，即使木马后来被清除了，攻击者仍可以利用以前留下的后门方便地闯入。 其次，如果一个未经授权的用户掌握了远程控制宿主机器的能力，宿主机器就变成了强大的攻击武器。远程攻击者不仅拥有了随意操控PC本身资源的能力，而且还能够冒充PC合法用户，例如冒充合法用户发送邮件、修改文档，当然还可以利用被侵占的机器攻击其他机器。二年前，一个家庭用户请我帮忙，要我帮他向交易机构证明他并没有提交一笔看来明显亏损的股票交易。交易机构确实在该笔交易中记录了他的PC的IP地址，而且在他的浏览器缓冲区中，我也找到了该笔有争议的交易的痕迹。另外，我还找到了SubSeven（即Backdoor_G）特洛伊木马的迹象。虽然没有证据显示出特洛伊木马与这笔令他损失惨重的股票交易直接有关，但可以看出交易发生之时特洛伊木马正处于活动状态。 三、特洛伊木马的类型 常见的特洛伊木马，例如Back Orifice和SubSeven等，都是多用途的攻击工具包，功能非常全面，包括捕获屏幕、声音、视频内容的功能。这些特洛伊木马可以当作键记录器、远程控制器、FTP服务器、HTTP服务器、Telnet服务器，还能够寻找和窃取密码。攻击者可以配置特洛伊木马监听的端口、运行方式，以及木马是否通过email、IRC或其他通信手段联系发起攻击的人。一些危害大的特洛伊木马还有一定的反侦测能力，能够采取各种方式隐藏自身，加密通信，甚至提供了专业级的API供其它攻击者开发附加的功能。由于功能全面，所以这些特洛伊木马的体积也往往较大，通常达到100 KB至300 KB，相对而言，要把它们安装到用户机器上而不引起任何人注意的难度也较大。 对于功能比较单一的特洛伊木马，攻击者会力图使它保持较小的体积，通常是10 KB到30 KB，以便快速激活而不引起注意。这些木马通常作为键记录器使用，它们把受害用户的每一个键击事件记录下来，保存到某个隐藏的文件，这样攻击者就可以下载文件分析用户的操作了。还有一些特洛伊木马具有FTP、Web或聊天服务器的功能。通常，这些微型的木马只用来窃取难以获得的初始远程控制能力，保障最初入侵行动的安全，以便在不太可能引起注意的适当时机上载和安装一个功能全面的大型特洛伊木马。 随便找一个Internet搜索网站，搜索一下关键词Remote Access Trojan，很快就可以得到数百种特洛伊木马——种类如此繁多，以至于大多数专门收集特洛伊木马的Web网站不得不按照字母顺序进行排列，每一个字母下有数打甚至一百多个木马。下面我们就来看看两种最流行的特洛伊木马：Back Orifice和SubSeven。 ■ Back Orifice 1998年，Cult of the Dead Cow开发了Back Orifice。这个程序很快在特洛伊木马领域出尽风头，它不仅有一个可编程的API，还有许多其他新型的功能，令许多正规的远程控制软件也相形失色。Back Orifice 2000（即BO2K）按照GNU GPL（General Public License）发行，希望能够吸引一批正规用户，以此与老牌的远程控制软件如pcAnywhere展开竞争。 但是，它默认的隐蔽操作模式和明显带有攻击色彩的意图使得许多用户不太可能在短时间内接受。攻击者可以利用BO2K的服务器配置工具可以配置许多服务器参数，包括TCP或UDP、端口号、加密类型、秘密激活（在Windows 9x机器上运行得较好，在Windows NT机器上则略逊一筹）、密码、插件等。 Back Orifice的许多特性给人以深刻的印象，例如键击事件记录、HTTP文件浏览、注册表编辑、音频和视频捕获、密码窃取、TCP/IP端口重定向、消息发送、远程重新启动、远程锁定、数据包加密、文件压缩，等等。Back Orifice带有一个软件开发工具包（SDK），允许通过插件扩展其功能。 默认的bo_peep.dll插件允许攻击者远程控制机器的键盘和鼠标。就实际应用方面而言，Back Orifice对错误的输入命令非常敏感，经验不足的新手可能会使它频繁地崩溃，不过到了经验丰富的老手那里，它又会变得驯服而又强悍。 ■ SubSeven SubSeven可能比Back Orifice还要受欢迎，这个特洛伊木马一直处于各大反病毒软件厂商的感染统计榜前列。SubSeven可以作为键记录器、包嗅探器使用，还具有端口重定向、注册表修改、麦克风和摄像头记录的功能。图二显示了一部分SubSeven的客户端命令和服务器配置选项。 SubSeven具有许多令受害者难堪的功能：攻击者可以远程交换鼠标按键，关闭/打开Caps Lock、Num Lock和Scroll Lock，禁用Ctrl+Alt+Del组合键，注销用户，打开和关闭CD-ROM驱动器，关闭和打开监视器，翻转屏幕显示，关闭和重新启动计算机，等等。 SubSeven利用ICQ、IRC、email甚至CGI脚本和攻击发起人联系，它能够随机地更改服务器端口，并向攻击者通知端口的变化。另外，SubSeven还提供了专用的代码来窃取AOL Instant Messenger（AIM）、ICQ、RAS和屏幕保护程序的密码。 四、检测和清除特洛伊木马 如果一个企业网络曾经遭受病毒和Email蠕虫的肆虐，那么这个网络很可能也是特洛伊木马的首选攻击目标。由于木马会被绑定程序和攻击者加密，因此对于常规的反病毒软件来说，查找木马要比查找蠕虫和病毒困难得多。另一方面，特洛伊木马造成的损害却可能远远高于普通的蠕虫和病毒。因此，检测和清除特洛伊木马是系统管理员的首要任务。 要反击恶意代码，最佳的武器是最新的、成熟的病毒扫描工具。扫描工具能够检测出大多数特洛伊木马，并尽可能地使清理过程自动化。许多管理员过分依赖某些专门针对特洛伊木马的工具来检测和清除木马，但某些工具的效果令人怀疑，至少不值得完全信任。不过，Agnitum的Tauscan确实称得上顶级的扫描软件，过去几年的成功已经证明了它的效果。 特洛伊木马入侵的一个明显证据是受害机器上意外地打开了某个端口，特别地，如果这个端口正好是特洛伊木马常用的端口，木马入侵的证据就更加肯定了。一旦发现有木马入侵的证据，应当尽快切断该机器的网络连接，减少攻击者探测和进一步攻击的机会。打开任务管理器，关闭所有连接到Internet的程序，例如Email程序、IM程序等，从系统托盘上关闭所有正在运行的程序。注意暂时不要启动到安全模式，启动到安全模式通常会阻止特洛伊木马装入内存，为检测木马带来困难。 大多数操作系统，当然包括Windows，都带有检测IP网络状态的Netstat工具，它能够显示出本地机器上所有活动的监听端口（包括UDP和TCP）。打开一个命令行窗口，执行“Netstat -a”命令就可以显示出本地机器上所有打开的IP端口，注意一下是否存在意外打开的端口（当然，这要求对端口的概念和常用程序所用的端口有一定的了解）。 五、处理遗留问题 检测和清除了特洛伊木马之后，另一个重要的问题浮现了：远程攻击者是否已经窃取了某些敏感信息？危害程度多大？要给出确切的答案很困难，但你可以通过下列问题确定危害程度。首先，特洛伊木马存在多长时间了？文件创建日期不一定值得完全信赖，但可资参考。利用Windows资源管理器查看特洛伊木马执行文件的创建日期和最近访问日期，如果执行文件的创建日期很早，最近访问日期却很近，那么攻击者利用该木马可能已经有相当长的时间了。 其次，攻击者在入侵机器之后有哪些行动？攻击者访问了机密数据库、发送Email、访问其他远程网络或共享目录了吗？攻击者获取管理员权限了吗？仔细检查被入侵的机器寻找线索，例如文件和程序的访问日期是否在用户的办公时间之外？ 在安全要求较低的环境中，大多数用户可以在清除特洛伊木马之后恢复正常工作，只要日后努力防止远程攻击者再次得逞就可以了。至于安全性要求一般的场合，最好能够修改一下所有的密码，以及其他比较敏感的信息（例如信用卡号码等）。 在安全性要求较高的场合，任何未知的潜在风险都是不可忍受的，必要时应当调整管理员或网络安全的负责人，彻底检测整个网络，修改所有密码，在此基础上再执行后继风险分析。对于被入侵的机器，重新进行彻底的格式化和安装。 特洛伊木马造成的危害可能是非常惊人的，由于它具有远程控制机器以及捕获屏幕、键击、音频、视频的能力，所以其危害程度要远远超过普通的病毒和蠕虫。深入了解特洛伊木马的运行原理，在此基础上采取正确的防卫措施，只有这样才能有效减少特洛伊木马带来的危害。
为您推荐：
其他类似问题
您可能关注的内容
换一换
回答问题，赢新手礼包
个人、企业类
违法有害信息,请在下方选择后提交
色情、暴力
我们会通过消息、邮箱等方式尽快将举报结果通知您。}