一、適用目標(校園網(wǎng)、企業(yè)網(wǎng),windows系列的操作系統(tǒng)):
所有在局域網(wǎng)內(nèi)運行windows系統(tǒng)的電腦,并非只感染服務(wù)器操作系統(tǒng),單機照樣感染。會將你電腦中的所有文件全部加密,部分已感染案例有2個共同特征,開啟了遠程桌面并使用弱口令、系統(tǒng)防火墻已關(guān)閉,被感染后的狀態(tài)如下圖所示(本例以校園網(wǎng)中的電腦為例,前提是已經(jīng)有硬件防火墻,且硬件防火墻上已經(jīng)開啟了對445端口的外網(wǎng)對內(nèi)網(wǎng)防御的情況下):
1、XXX系統(tǒng)服務(wù)器,長期開著向日葵遠程,感染后,提示如下圖:
2、對電腦中的所有數(shù)據(jù)文件加密,含word、excel、pptx、數(shù)據(jù)庫、網(wǎng)站文件……全部加密,如下圖所示:
3、某win10單機上班級管理資料被加密,如下圖所示:
4、某企業(yè)數(shù)據(jù)被加密,如下圖所示:
二、win10操作系統(tǒng)開啟防火墻和防勒索功能
(一)基礎(chǔ)防御
1、打開控制面板,設(shè)置為大圖標顯示,如下圖:
2、打開windows Defender防火墻,如下圖:
3、點左側(cè)的啟用或關(guān)閉windows Defender防火墻,如下圖:
4、開啟系統(tǒng)防火墻,如下圖:
(二)加強防御
1、打開控制面板后,再打開windows Defender防火墻,如下圖:
2、 打開“安全和維護”,如下圖:
3、展開“安全”,點“在windows安全中心查看”,如下圖
4、點左側(cè)的“病毒和威脅防護”,如下圖:
5、點“病毒和威脅防護”設(shè)置中的“管理設(shè)置”,如下圖:
6、把以下4項都打開,如下圖:
7、點左側(cè)的“病毒和威脅防護”,返回到前一頁,如下圖:
8、 開啟勒索軟件防護,如下圖:
三、win11操作系統(tǒng)開啟防病毒功能
1、打開控制面板,點windows Defender防火墻,如下圖:
2、點左下方的“安全和維護”,如下圖:
3、點開安全和維護后,展開“安全”,如下圖:
4、點“在windows安全中心中查看”,點 ”firewall & network protection “ ,將2、3、4設(shè)置狀態(tài)為on,如下圖:
5、例如點“Domain network”后,做如下圖的設(shè)置:
當?shù)?步中的2、3、4均設(shè)置為on之后,win11的防護開啟結(jié)束。
四、需要在家庭遠程操作辦公用的服務(wù)器或辦公PC電腦的(無此需求的忽略以下操作)
建議(一)
使用向日葵、todesk、teamviewer這3類遠程桌面控制軟件之后,及時關(guān)閉服務(wù)端。以免長期開啟后,留下遠程端口的漏洞,被攻擊方利用漏洞而加密服務(wù)器或PC中的文件,進而通過郵件勒索解密贖資。
建議(二)
推薦在需要被遠程控制的電腦上安裝splashtop,600元/年,再用客戶端軟件從家庭連接到服務(wù)器或辦公PC電腦。
五、辦公過程中,在校園范圍內(nèi)需要樓上樓下走動,對辦公電腦的遠程操作的修改遠程桌面的端口號,無此需求的忽略以下操作)。
(一)在需要被遠程控制的電腦上操作如下,前提是遠程桌面功能已經(jīng)安裝并開啟,如下圖:
1、右擊“此電腦”,“屬性”,“遠程桌面”
2、啟用“遠程桌面”,開啟,再點“高級設(shè)置”,如下圖:
3、勾選“需要計算機使用網(wǎng)絡(luò)級別身份驗證進行連接”
4、給需要被遠程控制的電腦用戶administrator配置密碼,如下圖:
(1)右擊“此電腦”,管理,如下圖:
(2)點開“本地用戶和組”,用戶,右擊administrator(注:家庭版的操作系統(tǒng)無被遠程桌面控制的功能,但可以通過遠程命令控制別的電腦)
(3)給將被遠程桌面控制的電腦,設(shè)置管理員內(nèi)置帳號administrator的密碼,輸入2遍
5、還是在這臺電腦上繼續(xù)操作,通過運行命令,打開注冊表編輯器,如下圖:
6、依次展開HKEY_local-Machine\system\currentcontrolset\teminal server\wds\rdpwd\tds\tcp
7、雙擊portnumber,默認是3389,修改值為1025-65535中的其中一個,自己知道就OK了,本例修改為8019,如下圖:。
8、完成之后,繼續(xù)展開注冊表左側(cè)的如下路徑:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentContro1Set\Control\Tenninal Server\WinStations\RDP-Tcp
9、同樣將3389修改為十進制的8019,與第7步一致。
10、在防火墻上開啟8019端口號,操作如下:
(1)打開控制面板,windows Defender防火墻,高級設(shè)置,如下圖:
(2)在已經(jīng)開啟系統(tǒng)防火墻的情況下,對8019端口的訪問放行,如下圖:
(3)選擇端口,下一步,如下圖:
(4)選擇TCP協(xié)議,再輸入要在系統(tǒng)防火墻上開啟的端口號8019,如下圖:
(5)選允許連接,下一步。(如果系統(tǒng)防火墻未開啟,默認是1-65535范圍內(nèi)的所有端口都是打開狀態(tài),此處我們只開啟1個8019端口號,相對安全)
(6)繼續(xù)下一步,取名稱(本例就用8019為名),最后點完成,如下圖:
11、重啟這臺剛剛已經(jīng)修改過遠程桌面端口號的電腦,使剛才的配置生效
(二)在控制端的電腦上執(zhí)行以下操作:
更換辦公室或到校園內(nèi)的其他電腦上操作,遠程控制剛剛配置過遠程桌面端口號的電腦
1、執(zhí)行cmd后,再執(zhí)行 mstsc指令,如下圖:
2、輸入被控制電腦的ip地址和端口號,如下圖:
3、輸入被控制電腦的用戶名和密碼
4、在輸入正確的密碼后,會彈出如下圖的對話框,點是:
5、現(xiàn)在即可看到被遠程的電腦上的桌面了,并且可以像操作自己的電腦窗口一樣,如下圖:
緊急防御方案至此結(jié)束,不足之處敬請批評指正。
該文章在 2024/3/8 12:24:03 編輯過
400 186 1886
