一、適用目標(校園網、企業網,windows系列的操作系統):
所有在局域網內運行windows系統的電腦,并非只感染服務器操作系統,單機照樣感染。會將你電腦中的所有文件全部加密,部分已感染案例有2個共同特征,開啟了遠程桌面并使用弱口令、系統防火墻已關閉,被感染后的狀態如下圖所示(本例以校園網中的電腦為例,前提是已經有硬件防火墻,且硬件防火墻上已經開啟了對445端口的外網對內網防御的情況下):
1、XXX系統服務器,長期開著向日葵遠程,感染后,提示如下圖:
2、對電腦中的所有數據文件加密,含word、excel、pptx、數據庫、網站文件……全部加密,如下圖所示:
3、某win10單機上班級管理資料被加密,如下圖所示:
4、某企業數據被加密,如下圖所示:
二、win10操作系統開啟防火墻和防勒索功能
(一)基礎防御
1、打開控制面板,設置為大圖標顯示,如下圖:
2、打開windows Defender防火墻,如下圖:
3、點左側的啟用或關閉windows Defender防火墻,如下圖:
4、開啟系統防火墻,如下圖:
(二)加強防御
1、打開控制面板后,再打開windows Defender防火墻,如下圖:
2、 打開“安全和維護”,如下圖:
3、展開“安全”,點“在windows安全中心查看”,如下圖
4、點左側的“病毒和威脅防護”,如下圖:
5、點“病毒和威脅防護”設置中的“管理設置”,如下圖:
6、把以下4項都打開,如下圖:
7、點左側的“病毒和威脅防護”,返回到前一頁,如下圖:
8、 開啟勒索軟件防護,如下圖:
三、win11操作系統開啟防病毒功能
1、打開控制面板,點windows Defender防火墻,如下圖:
2、點左下方的“安全和維護”,如下圖:
3、點開安全和維護后,展開“安全”,如下圖:
4、點“在windows安全中心中查看”,點 ”firewall & network protection “ ,將2、3、4設置狀態為on,如下圖:
5、例如點“Domain network”后,做如下圖的設置:
當第4步中的2、3、4均設置為on之后,win11的防護開啟結束。
四、需要在家庭遠程操作辦公用的服務器或辦公PC電腦的(無此需求的忽略以下操作)
建議(一)
使用向日葵、todesk、teamviewer這3類遠程桌面控制軟件之后,及時關閉服務端。以免長期開啟后,留下遠程端口的漏洞,被攻擊方利用漏洞而加密服務器或PC中的文件,進而通過郵件勒索解密贖資。
建議(二)
推薦在需要被遠程控制的電腦上安裝splashtop,600元/年,再用客戶端軟件從家庭連接到服務器或辦公PC電腦。
五、辦公過程中,在校園范圍內需要樓上樓下走動,對辦公電腦的遠程操作的修改遠程桌面的端口號,無此需求的忽略以下操作)。
(一)在需要被遠程控制的電腦上操作如下,前提是遠程桌面功能已經安裝并開啟,如下圖:
1、右擊“此電腦”,“屬性”,“遠程桌面”
2、啟用“遠程桌面”,開啟,再點“高級設置”,如下圖:
3、勾選“需要計算機使用網絡級別身份驗證進行連接”
4、給需要被遠程控制的電腦用戶administrator配置密碼,如下圖:
(1)右擊“此電腦”,管理,如下圖:
(2)點開“本地用戶和組”,用戶,右擊administrator(注:家庭版的操作系統無被遠程桌面控制的功能,但可以通過遠程命令控制別的電腦)
(3)給將被遠程桌面控制的電腦,設置管理員內置帳號administrator的密碼,輸入2遍
5、還是在這臺電腦上繼續操作,通過運行命令,打開注冊表編輯器,如下圖:
6、依次展開HKEY_local-Machine\system\currentcontrolset\teminal server\wds\rdpwd\tds\tcp
7、雙擊portnumber,默認是3389,修改值為1025-65535中的其中一個,自己知道就OK了,本例修改為8019,如下圖:。
8、完成之后,繼續展開注冊表左側的如下路徑:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentContro1Set\Control\Tenninal Server\WinStations\RDP-Tcp
9、同樣將3389修改為十進制的8019,與第7步一致。
10、在防火墻上開啟8019端口號,操作如下:
(1)打開控制面板,windows Defender防火墻,高級設置,如下圖:
(2)在已經開啟系統防火墻的情況下,對8019端口的訪問放行,如下圖:
(3)選擇端口,下一步,如下圖:
(4)選擇TCP協議,再輸入要在系統防火墻上開啟的端口號8019,如下圖:
(5)選允許連接,下一步。(如果系統防火墻未開啟,默認是1-65535范圍內的所有端口都是打開狀態,此處我們只開啟1個8019端口號,相對安全)
(6)繼續下一步,取名稱(本例就用8019為名),最后點完成,如下圖:
11、重啟這臺剛剛已經修改過遠程桌面端口號的電腦,使剛才的配置生效
(二)在控制端的電腦上執行以下操作:
更換辦公室或到校園內的其他電腦上操作,遠程控制剛剛配置過遠程桌面端口號的電腦
1、執行cmd后,再執行 mstsc指令,如下圖:
2、輸入被控制電腦的ip地址和端口號,如下圖:
3、輸入被控制電腦的用戶名和密碼
4、在輸入正確的密碼后,會彈出如下圖的對話框,點是:
5、現在即可看到被遠程的電腦上的桌面了,并且可以像操作自己的電腦窗口一樣,如下圖:
緊急防御方案至此結束,不足之處敬請批評指正。
該文章在 2024/3/8 12:24:03 編輯過
400 186 1886
