[ English ]
安天应对勒索软件“WannaCry”防护手册
一、 概述
鉴于病毒还在全面传播,如暂时无法进行系统处置,内网用户应尽量先断网关机,等候使用离线工具处理。根据实际情况配置指南的版本会动态持续更新。
经过安天CERT紧急分析,判定该勒索软件是一个名称为“wannacry”的新家族。该勒索软件迅速感染全球大量主机的原因是利用了基于445端口传播扩散的SMB漏洞MS17-010,微软在今年3月份发布了该漏洞的补丁。2017年4月14日黑客组织Shadow Brokers(影子经纪人)公布的Equation
Group(方程式组织)使用的“网络军火”中包含了该漏洞的利用程序,而该勒索软件的攻击者或攻击组织在借鉴了该“网络军火”后进行了这次全球性的大规模攻击事件。
二、
防护解决方案
2.1 关于尚未感染的用户群体的详细防护步骤如下:
l 关闭网络,开启系统防火墙;
l 利用系统防火墙高级设置阻止向445端口进行连接(该操作会影响使用445端口的服务)及网络共享;
l 打开网络,开启系统自动更新,并检测更新进行安装;
2.1.1 Win7、Win8、Win10的处理流程:
1) 关闭网络
2) 打开控制面板-系统与安全-Windows防火墙,点击左侧启动或关闭Windows防火墙
3) 选择启动防火墙,并点击确定
4) 点击高级设置
5) 点击入站规则,新建规则,以445端口为例
6) 选择端口、下一步
7) 选择特定本地端口,输入445,下一步
8) 选择阻止连接,下一步
9) 配置文件,全选,下一步
10) 名称,可以任意输入,完成即可。
11) 恢复网络
12) 开启系统自动更新,并检测更新进行安装
注:在系统更新完成后,如果业务需要使用SMB服务,将上面设置的防火墙入站规则删除即可。
2.1.2 XP系统的处理流程
1. 依次打开控制面板,安全中心,Windows防火墙,选择启用
2. 通过注册表关闭445端口,单击“开始”——“运行”,输入“regedit”,单击“确定”按钮,打开注册表。
3. 找到HKEY_LOCAL_MACHINE\System\Controlset\Services\NetBT\Parameters,选择“Parameters”项,右键单击,选择“新建”——“DWORD值”。
4. 将DWORD值命名为“SMBDeviceEnabled”,值修改为0。
5. 重启机器,查看445端口连接已经没有了。
6. 鉴于本次Wannacry蠕虫事件的影响巨大,微软总部决定对已停服的XP和部分服务器版本发布特别补丁,
微软公告详情https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/。
经验证,XP系统补丁有效。
2.2 关于已感染的用户群体的补救措施
目前无法解密该勒索软件加密的文件,但不建议用户向勒索者支付赎金。
如果发现内网有感染的机器,将其及时断网关机隔离处理。同时通告运维人员切断内网的网络连接(如关闭交换机等网络连接设备),避免勒索软件的进一步扩散,内网的有关机器尽量做到断网关机,等候使用离线工具处理。
如有重要文件数据幸存,做好备份处理。但并不能说明备份的数据中没有被感染,存储到磁盘后,同样等候使用离线工具处理。
关于安天
安天是专注于威胁检测防御技术的领导厂商。安天以提升用户应对网络威胁的核心能力、改善用户对威胁的认知为企业使命,依托自主先进的威胁检测引擎等系列核心技术和专家团队,为用户提供端点防护、流量监测、深度分析、威胁情报和态势感知等相关产品、解决方案与服务。
全球超过一百家以上的著名安全厂商、IT厂商选择安天作为检测能力合作伙伴,安天的反病毒引擎得以为全球近十万台网络设备和网络安全设备、近六亿部手机提供安全防护。安天移动检测引擎是全球首个获得AVTEST年度奖项的中国产品。
安天技术实力得到行业管理机构、客户和伙伴的认可,安天已连续四届蝉联国家级安全应急支撑单位资质,亦是中国国家信息安全漏洞库六家首批一级支撑单位之一。
安天是中国应急响应体系中重要的企业节点,在红色代码、口令蠕虫、震网、破壳、沙虫、方程式等重大安全事件中,安天提供了先发预警、深度分析或系统的解决方案。
关于安天反病毒引擎更多信息请访问: |
http://www.antiy.com(中文) |
关于安天反APT相关产品更多信息请访问: |
微信扫描关注 安天 |
|
