关于勒索病毒应急处理的紧急通知
——绿盟科技
5月12日晚开始,全国各地陆续出现针对Windows操作系统的敲诈者病毒(含内网,外网),该病毒基于网络途径传播,表现中病毒计算机/服务器的文件被加密,并出现索要赎金的画面。
据报道显示,该病毒已经在99个国家观察到超过57000个感染例子。受到感染的国家包括英国、美国、西班牙、意大利、葡萄牙、俄罗斯和乌克兰和中国等。
因勒索病毒在互联网和政企业专网大面积蔓延,影响到所有联网电脑用户的文件,为避免和减少损失,请所有人员认真查看此须知!!!
MS17-010漏洞主要影响以下操作系统:Windows 2000,Windows 2003,Windows2008,Windows2012,Windows XP,Windows Vista,Windows7,Windows8,Windows10。
尚未感染,担心有风险的用户
1、断开网络(拨掉网线)、停用无线;
2、使用U盘或光盘自带的PE系统启动电脑,将计算机中所有重要文件(尤其文档、图片、照片、压缩包、音频、视频等)备份到移动存储设备上。;
3、核对操作系统版本
若Windows7及以上操作版本系统,建议尽快安装微软官网布补丁MS17-010,该补丁修复了“永恒之蓝”攻击的系统漏洞。
*补丁下载地址:
https://technet.microsoft.com/zh-cn/library/security/MS17-010
同时检查系统更新,将各种系统版本更新至最新。
由于本次全球范围内WannaCrypt蠕虫事件的巨大影响,微软总部刚才决定公开发布已停服的XP和部分服务器版WindowsServer2003特别安全补丁:
https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/
4. 关闭445、135、137、138、139端口,关闭网络共享
防护方法参考如下:
选择启动防火墙,并点击确定
点击入站规则,新建规则
选择端口、下一步
特定本地端口,输入445,下一步
选择阻止连接,下一步
配置文件,全选,下一步
名称,可以任意输入,完成即可。
XP系统的处理流程
依次打开控制面板,安全中心,Windows防火墙,选择启用
点击开始,运行,输入cmd,确定执行下面三条命令
net stop rdr |
关445端口方法B:运行一键加固脚本
找个安全的电脑,点击打开下面链接,下载其附件,用U盘拷贝到要关闭445端口的电脑上。
https://qy.weixin.qq.com/cgi-bin/wap_getnewsmsg?action=get&__biz=MzI2MjQyMjA4MA==&mixuin=MjU2NDEyMTY4NDYzMzQ4NTI1NQ==&mid=10002519&idx=1&sn=1225249da3d41d619e466a4a07a66185&scene=2
1、断开网络连接,阻止进一步扩散;
2、已经感染终端,根据终端数据类型决定处置方式,如果重新安装系统则建议完全格式化硬盘、使用新操作系统、完善操作系统补丁、通过检查确认无相关漏洞后再恢复网络连接。
(注:格式化磁盘重新安装系统会导致之前硬盘上所以数据的清空,请提前知晓。如果涉及硬盘有个人重要数据,请先考虑数据恢复的可能性。)
1、周一上班前断开单位无线网络;
2、加强单位人员周一入网前的安全宣传、终端用户加固引导(每个终端用户需备份重要文档-封端口-打补丁)后再连网;
3、、辛苦管理员,周末在接入交换机或者核心交换机抓包,查看是否有大量扫描内网139、135、445端口的网络行为,并且定位谁发起的扫描,对扫描设备进行下线查病毒处理。
4、、建议管理员周末做相关的Vlan策略,并且开启ACL措施,在边界出口交换路由设备禁止外网对内网135/137/139/445端口的连接;在网络络核心主干交换路由设备禁止135/137/139/445端口的连接;在接入交换机上禁止135/137/139/445端口的连接,防止大规模网络感染的情况存在。
5、服务器区各服务器仅开使用端口,其他端口关闭,共享端口关闭;服务器更新补丁。
6、如果有部署入侵防御等防护系统则尽快检查漏洞库升级,开启防御策略;
7、发布通知重点留意邮件、移动存储介质等传播渠道,做好重点检查防护工作。大量的勒索软件攻击是通过邮件渠道发起的,重点提醒防范周一起来随意收邮件的行为,我们还需要在邮件入口处加以防范,防止勒索软件卷土重来。
第一步、进入绿盟NIPS设备
确认版本号,最好更新至最新的规则库
第二步、进入“对象-》规则-》用户规则模板”,新增勒索病毒的防护规则模板。
第三步,在新建页面中搜索规则ID为23994和ID为41489的规则编号,并勾选“阻断”动作,在选择完两条规则后,点击下方“确认”
第四步,进入“策略-》入侵防护-》入侵防护策略”页面中,新增策略,选择刚才设置的模板名称(本例中是“勒索病毒防护规则”),选择勾选“防护模式”为“启用”,并点击确认
第五步,确认策略已经新增成功
最后,不要忘记点击右上方的“应用配置”,到此绿盟NIPS的防护规则设置完毕,如果外部出现针对内网的勒索病毒攻击将会被IPS制止,但为保险起见,还是建议针对内网进行全面的漏洞扫描检查,针对以下漏洞进行补丁修复:
漏洞标题(MS17-010) | CVE 编号 |
Windows SMB 远程代码执行漏洞 | CVE-2017-0143 |
Windows SMB 远程代码执行漏洞 | CVE-2017-0144 |
Windows SMB 远程代码执行漏洞 | CVE-2017-0145 |
Windows SMB 远程代码执行漏洞 | CVE-2017-0146 |
Windows SMB 远程代码执行漏洞 | CVE-2017-0148 |
漏洞扫描支持
绿盟科技远程安全评估系统(RSAS)已经支持对MS17010漏洞的扫描,可以对对应的windows主机进行漏洞扫描。对应漏洞编号如下:
漏洞标题(MS17-010) | CVE 编号 |
Windows SMB 远程代码执行漏洞 | CVE-2017-0143 |
Windows SMB 远程代码执行漏洞 | CVE-2017-0144 |
Windows SMB 远程代码执行漏洞 | CVE-2017-0145 |
Windows SMB 远程代码执行漏洞 | CVE-2017-0146 |
Windows SMB 远程代码执行漏洞 | CVE-2017-0148 |
通过以下链接,将插件升级到最新版本即可检测:
RSAS 6.0:http://update.nsfocus.com/update/listRsasDetail/v/vulsys
RSAS 5.0:http://update.nsfocus.com/update/listAurora/v/5
攻击检测支持
绿盟产品入侵防御系统NIPS、威胁分析系统TAC联动防护:
设备 | 相关功能 | ||
NIPS | 规则ID | 23994 | 可检测EternalBlue。 |
41489 | 可以检测利用 NSA 工具入侵之后,使用Doublepulsar留下的后门并阻断入侵。 | ||
TAC | 可捕获恶意样本,对恶意样本报警,联动 IPS 阻断恶意样本传播。 | ||
NF防火墙 | 可以防护阻断445端口流量。 | ||
绿盟入侵防御系统NIPS可以根据规则ID 41489检测并阻断EternalBlue后门:
绿盟威胁分析系统TAC利用新型虚拟执行检测技术可以有效检测出该蠕虫,并联动入侵防御系统NIPS,进行阻断:
分析恶意样本的可疑行为:
终端加固脚本
绿盟科技向客户提供了Windows防火墙的一键加固脚本,便于用户为Windows防火墙添加屏蔽445服务端口的规则。链接为:
https://qy.weixin.qq.com/cgi-bin/downloadfile?action=attachment&owner=NTk3MDA2MTAy&media_id=2IiXz19LVnsW3YariH194EbTXT3pL_3NJphk5g8qRRpKd-KIGsFcuWDRzYrmOY4Ko&name=WannaCry%E5%8B%92%E7%B4%A2%E7%97%85%E6%AF%92%E4%B8%80%E9%94%AE%E5%8A%A0%E5%9B%BAv1.2.zip
十几年前冲击波、震荡波等一系列网络蠕虫病毒感染事件,已经让用户认识到Windows系统安全策略配置和安全补丁升级管理的重要性,然而此次WannaCry勒索软件的爆发,证明了基本安全管理机制落地执行的有效性仍然存在明显缺陷。机构客户应当充分重视系统基本安全管理机制。
绿盟科技针对信息系统的统一安全策略配置和安全补丁管理方面,向机构客户提供安全解决方案:
BVS安全配置核查系统,协助机构客户制定操作系统的统一安全配置策略基线,并可使用自动化手段对策略配置的落实情况进行检查,督促包括Windows服务器和桌面终端在内的信息资产有效实现最小化的安全策略配置。
TVM威胁漏洞管理平台,协助机构客户实现高效的安全漏洞全生命周期闭环管理,从根本上杜绝利用系统安全漏洞的恶意攻击和恶意代码感染风险。
NGSD云安全桌面解决方案,协助机构客户建立云安全桌面机制,更高效地实现终端系统安全策略的统一集中管理,降低分布式桌面系统的整体安全风险。
附件下载:
扫一扫在手机打开当前页
相关稿件