安天应对勒索者蠕虫病毒WannaCry FAQ(1)

 

     安天安全研究与应急处理中心(安天CERT

在安天今天清晨发布报告《安天紧急应对新型“蠕虫”式勒索软件“wannacry”全球爆发》后,有大量用户就本次事件提出问题,我们选择了其中的高频问题,形成了本FAQ。我们会继续跟进网友的问题。
  • 我单位当前使用的是某某运营商网络,是否没问题?

答:在震荡波、冲击波等蠕虫病毒大爆发后,国内一些运营商长期封锁了445和135~139协议族,来阻断蠕虫的扫描传播,整体上遏制了蠕虫的大面积扩散。但同时,信息系统的使用者和维护者不能把自身的安全性完全寄托在运营商的安全策略上,只要相关漏洞存在,就有严重的安全隐患。因此,必须尽快进行漏洞修补和安全策略加固工作。

  • 用无线路由上网是否会中毒?

答:我们不能确保无线网络运营商一定屏蔽了相关端口,也不能保证使用统一无线路由的其他节点此前未曾被感染。因此无论使用何种上网方式都应该做好安全漏洞修补和安全策略加固工作

  • 手机为电脑开热点会安全点吗?

答:手机开热点的话,由于手机是一个外部网关,使电脑获得一个内部IP,不会直接被外部感染节点扫描到。但这也可能导致手机设备暴露后,带来其他的安全风险。

  • 家庭网络有风险吗?是否只针对企业和教育网等?

答:从目前所分析出的该病毒的传播策略上看,并没有明确的定向性,也就是说,只要你的终端可能被病毒感染的节点扫描到就会被感染。

  • 不联网是否能避免中毒?

答:在进行相关配置加固和补丁升级前,应避免联网,因此应该先将其他节点断开,用一个打开了防火墙的在线节点下载安天免疫、专杀工具和微软对应补丁,再用U盘或光盘将安天免疫、专杀工具和补丁拷贝到离线系统上,处置升级重启后,在链接互联网。

  • 有用户反映手机被感染了?有PC用户反映见到的勒索提示与安天报告中的不一致?

答:截止到2017年5月13日下午3点,安天未监控到该家族病毒有移动端的版本。不排除感染了其他类型的恶意代码。另外,见到与安天本次报告不同的勒索者的病毒提示,可能是中了其他家族的勒索者病毒。
如有手机用户遭遇异常,可以通过安天公众号、技术支持信箱、安天微博等方式联系,也可以拨打应急电话。

  • 安天报告中的操作xp的解决方案把网给锁住了,并且不能停止,导致用户上不了网了,怎样解决?

答:首先对给你带来的不便表示歉意,安天在较为紧急的情况下,只能提供一个快速临时的解决方案。
报中XP的解决方案只是开启了防火墙和停止了三个服务,如果有问题可以把三个服务重新开启和把防火墙关闭即可。开启方法如下,Win+R进入命令运行。依次输入执行:
net start rdr
net start srv
net start netbt
然后进行重新启动系统。
安天的免疫工具会很快发布,用户可以通过图形界面建立或者取消免疫操作。

  • 单纯关闭电脑是否能避免被感染?

答:可以避免被感染,但电脑早晚是要用的,但建议您还是尽快更新补丁,开启防火墙和关闭445端口。

  • 相应补丁的地址,反映说我们提供的网址无法下载

答:可能会有大量用户到微软下载补丁,导致下载失败,您可以通过系统补丁更新来自动升级补丁。安天新版免疫工具会有与补丁一起打包的版本。

  • 135,137,138,139端口是否有必要关?

答:这些端口如不需要还是关闭的好,另外此次事件是利用了影子经纪人泄露工具中的一个漏洞,其中有其他几个漏洞也会有可能会被攻击者利用。最好是把系统中的防火墙开启,并启动”Block all package commingin”模式”。目前我们也不知道类似的超级大国的网络军火库还有哪些漏洞利用工具,以及这些漏洞利用工具是否已经流入民间黑产。因此,把所有不使用的端口和服务关闭,是IT管理者必须规划的安全工作,也是个人用户的良好习惯。

  •  补丁更新过是否就没事了?

答:补丁只能解决对应漏洞问题,每月都会有新的漏洞出现,使用安天智甲或其他具有勒索防护功能的主机安全产品,把Windows防火墙开启,并关闭无用的端口。

  • Win10打了补丁是否就不用手动关闭端口了?

答:目前来看打了补丁是可以不用手动关闭端口,但请参考我们上两个问题的回答。

  • 我已经中毒,是否所有文件都不可用?能解密么?怎么恢复?

   答:该勒索软件使用PKI算法进行加密,对其具体密码协议和密钥分发机制的原理,我们尚在分析中,从现有信息来看,可以解密的希望非常渺茫。部分软件(如Office)在编辑文件过程中,可能会缓存多次版本,因此不排除使用数据恢复软件能恢复少量数据的可能性。

  • Mac系统怎么防范?

答:当前的恶意代码不会感染Mac系统,但Mac系统也并非绝对安全,任何主机系统,都需要使用安全产品,及时升级补丁,和优化安全策略。

  • 我是某某网站的用户,我想知道该网站是否也受到了感染,从上面下载的资料是否可能受感染?

答:目前尚未发现该病毒具有替换相关网站文件的属性(但历史上出现过类似的病毒,如欢乐时光蠕虫),从网上下载资料,要在打开主机防护软件实时监控的情况下进行,必须先进行安全扫描。请不要轻易执行任何可疑程序;

  • 能否证实一下怎么传播?比如开放了445端口号,也没有打ms17-010的补丁,在局域网所有这样的电脑是否就自动中招?还是局域网必须有一台电脑先中招,然后再横向传染?网上说不需要人为点击病毒文件。

答:本蠕虫的传播是已经感染节点向随机IP地址向445端口发送带有溢出的数据,只要连接到有对应漏洞的系统即可使对方感染无论,其是在内网还是外网,因此局网内一点被感染后,可能很快会大面积感染。该蠕虫是自动进行传播和感染,的不需要点击就可以执行。

  • 有人说名称为Wanacry

答:安天的命名使用了病毒中的原始字符串WannaCry,部分厂商可能有命名长度限制,或者因其他原因,会给出有差异的命名。

 

  • 攻击方是谁?

答:安天CERT目前正在进行分析,尚未有倾向性结论。

 

关于安天


安天是专注于威胁检测防御技术的领导厂商。安天以提升用户应对网络威胁的核心能力、改善用户对威胁的认知为企业使命,依托自主先进的威胁检测引擎等系列核心技术和专家团队,为用户提供端点防护、流量监测、深度分析、威胁情报和态势感知等相关产品、解决方案与服务。

全球超过一百家以上的著名安全厂商、IT厂商选择安天作为检测能力合作伙伴,安天的反病毒引擎得以为全球近十万台网络设备和网络安全设备、近六亿部手机提供安全防护。安天移动检测引擎是全球首个获得AVTEST年度奖项的中国产品。

安天技术实力得到行业管理机构、客户和伙伴的认可,安天已连续四届蝉联国家级安全应急支撑单位资质,亦是中国国家信息安全漏洞库六家首批一级支撑单位之一。

安天是中国应急响应体系中重要的企业节点,在红色代码、口令蠕虫、震网、破壳、沙虫、方程式等重大安全事件中,安天提供了先发预警、深度分析或系统的解决方案。


关于安天反病毒引擎更多信息请访问:

https://www.antiy.com(中文)
http://www.antiy.net (英文)

关于安天反APT相关产品更多信息请访问:

https://www.antiy.cn


 

 

微信扫描关注 安天