新闻中心
首页 > 新闻中心

"永恒之蓝"勒索软件处置建议方案

浏览次数:62105/15/2017  

北京时间2017年5月12日,全球爆发大规模勒索软件感染事件,截止到目前,全球已有至少100多个国家和地区的上万台电脑受到感染,我国是此次蠕虫事件受感染的重灾区。目前,我国已有多个行业企业内网大规模受到感染,教育网受损尤为严重。


经过分析,这是一起勒索软件与高危漏洞相结合的恶性蠕虫传播事件,其严重性不亚于当年的“冲击波”病毒。勒索软件为最新的“wannacry”的家族,目前尚无法对加密后的文件进行解密,中招后只能重装系统或向黑客支付赎金解决。此次“wannacry”勒索蠕虫疯狂传播的原因是借助了前不久泄露的Equation Group(方程式组织)的“EternalBlue(永恒之蓝)”漏洞利用工具的代码。该工具利用了微软今年3月份修补的MS17-010 SMB协议远程代码执行漏洞,该漏洞可影响主流的绝大部分Windows操作系统版本。



影响分析


漏洞影响范围:

MS17-010漏洞主要影响以下操作系统:Windows 2000,Windows 2003,Windows XP,Windows Vista,Windows7,Windows8,Windows10,Windows2008,Windows2012。


由于EternalBlue的利用代码主要针对WindowsXP以及Windows7,2008,因此此次事件对于Windows XP、Windows 7,Windows2008的影响更为严重。上述Win7及以上操作系统只要打开了445端口且没有安装MS17-010的机器则确认会受到影响。


WindowsXP/2003操作系统没有补丁,只要开启了445端口则确认受到影响。

 

当系统被该勒索软件入侵后,弹出勒索对话框:

该勒索软件采用包括英语、简体中文、繁体中文等28种语言进行“本地化”。会将自身复制到每个文件夹下,并重命名为“@WanaDecryptor@.exe”。同时衍生大量语言配置等文件,该勒索软件AES和RSA加密算法,加密的文件以“WANACRY!”开头,加密如下后缀名的文件。


解决方案


未部署端点安全的终端应急解决方案

◆ 做好重要文件的备份工作(非本地备份)。

◆ 开启系统防火墙。

◆ 利用系统防火墙高级设置阻止向445端口进行连接(该操作会影响使用445端口的服务)。

◆ 打开系统自动更新,并检测更新进行安装。

◆ 停止使用Windows XP、Windows 2003等微软已不再提供安全更新的操作系统。

◆ 如无需使用共享服务建议关闭该服务。


已部署端点安全的终端应急解决方案

◆ 如果用户已经部署终端管理类产品,如北信源,天珣、联软等

◆ 通过终端管理软件进行内网打补丁。

◆ 通过主机防火墙关闭入栈流量。主机防火墙关闭到445出栈流量。

◆ 开启文件审计,只允许word.exe,explore.exe等对文件访问。

◆ 升级病毒库,加强查杀。


网络应急解决方案

◆ 在边界出口交换路由设备禁止外网对内网135/137/139/445端口的连接。

◆在内网核心主干交换路由设备禁止135/137/139/445端口的连接。

◆ 如果有部署入侵防御等防护系统则尽快检查漏洞库升级,开启防御策略。

◆ 发布通知重点留意邮件、移动存储介质等传播渠道,做好重点检查防护工作。


已经感染解决方案

◆ 断开网络连接,阻止进一步扩散。

◆ 优先检查未感染主机的漏洞状况,做好漏洞加固工作后方可恢复网络连接。

◆ 已经感染终端,根据终端数据类型决定处置方式,如果重新安装系统则建议完全格式化硬盘、使用新操作系统、完善操作系统补丁、通过检查确认无相关漏洞后再恢复网络。

目前对已经中毒的机器没有太好的办法,保持继续跟进。。。


我要评论
内容 *
验证码*

微信公众号
新阳科技集团
  • 地址:常州新北区汉江路368号金城大厦19楼
  • 电话:0519-88889008  传真:0519-85196786
  • 地址:澳门宋玉生广场263号中土大厦6楼M · N座 (澳门新阳有限公司)
  • 电话:(853)28703338  传真:(853)28703336
  • CopyRight © 2016 新阳科技集团 版权所有  网站地图 苏ICP备11080781号  免责声明 
下属企业: