一台电脑中了勒索病毒,整个公司都会感染(同个局域网都会感染),它是怎么做到的?

勒索病毒会嗅探局域网内主机135,445端口是否开放,如果开放则尝试遍历其主机内的共享资源进行加密。而Windows默认开放135、137、138、139和445五个端口,都与文件共享和打印机共享有关的,若机器连接网络后会在用户不知道的情况下泄露本机部分信息,这样会给用户带来一部分危险,所以我们在工作中根据自己的需求定位一下是否需要关闭这些端口,以免带来不必要的损失。

1) 137,138----UDP
2) 135,139,445----TCP

方法一:通过防火墙来控制

win10为例
开始菜单——设置——更新和安全——Windows安全中心——防火墙和网络保护——高级设置

高级设置
高级设置

你要允许此应用对你的设备更改吗——选择“是”
入站规则
入站规则

3.jpg
3.jpg

3-1.jpg
3-1.jpg

4.jpg
4.jpg

5.jpg
5.jpg

6.jpg
6.jpg

方法二:通过安全策略控制

win10为例

21.jpg
21.jpg

22.jpg
22.jpg

23.jpg
23.jpg

24.jpg
24.jpg

25.jpg
25.jpg

26.jpg
26.jpg

27.jpg
27.jpg

28.jpg
28.jpg

29.jpg
29.jpg

30.jpg
30.jpg

31.jpg
31.jpg

32.jpg
32.jpg

33.jpg
33.jpg

以135端口为例,点击确定后可以继续添加其他端口,直到把135,137,138,139,445全部添加。
34.jpg
34.jpg

35.jpg
35.jpg

36.jpg
36.jpg

37.jpg
37.jpg

38.jpg
38.jpg

39.jpg
39.jpg

40.jpg
40.jpg

最后点击确定,再右键点击分配即
可生效。

注意:你的系统中的“IPSEC Policy Agent”服务必须在启动状态,否则前面的规则会不起作用。如果当下启动了,需要cmd执行:
C:UsersAdministrator>gpupdate /force
正在更新策略...
用户策略更新成功完成。

计算机策略更新成功完成。

如果时不时需要开启/关闭防火墙的话,可以考虑通过安全策略来控制。总地来说通过防火墙来控制,简单;安全策略稍微复杂一点点。

安全建议
企业用户:
1、尽量关闭不必要的端口,如:445、135,139等,对3389,5900等端口可进行白名单配置,只允许白名单内的IP连接登陆。
2、尽量关闭不必要的文件共享,如有需要,请使用ACL和强密码保护来限制访问权限,禁用对共享文件夹的匿名访问。
3、采用高强度的密码,避免使用弱口令密码,并定期更换密码。建议服务器密码使用高强度且无规律密码,并且强制要求每个服务器使用不同密码管理。网管可通过强制安全策略要求局域网所有服务器、终端系统使用强密码并设定密码过期策略。
4、对没有互联需求的服务器/工作站内部访问设置相应控制,避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器。
5、对重要文件和数据(数据库等数据)进行定期非本地备份。
6、教育终端用户谨慎下载陌生邮件附件,若非必要,应禁止启用Office宏代码。
7、在终端/服务器部署专业安全防护软件,Web服务器可考虑部署在腾讯云等具备专业安全防护能力的云服务平台。

个人用户:
1、一定要安装杀毒软件,如腾讯的电脑管家,360安全卫士,360杀毒等。勿随意打开陌生邮件,关闭Office执行宏代码
2、打开相关安全软件的守护功能,比如电脑管家的文档守护者功能,利用磁盘冗余空间自动备份数据文档,即使发生意外,数据也可有备无患。