內網用戶免疫病毒方法

WanaCrypt的主程序啟動時，首先會訪問 iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com 或 fferfsodp9ifjaposdfjhgosurijfaewrwergwea.com 如果可以訪問，則會停止工作。

目前該域名已經被注冊，在互聯網環境下，WanaCrypt應該已經不再起效。對于無法連接互聯網的用戶，可以在本地網絡環境中增加該域名的解析，起到抑WanaCrypt活性的作用?；蛘咴诒緳C修改host文件，讓該域名指向任意有效HTTP服務，都可以起到“免疫”的效果。無法連接互聯網的用戶需要自己手工修改指向一個內部可訪問的HTTP服務，防毒墻可以在攔截到這個HTTP請求時返回成功信息。

瑞星所有產品解決方案

一、瑞星終端安全產品解決方案

瑞星殺毒軟件網絡版查殺截圖：

瑞星安全云查殺截圖：

1. 更新微軟MS17-010漏洞補丁，對應不同系統的補丁號對照表：

系統	補丁號	補丁下載地址
Windows XP SP3	KB4012598	http://softdown.rising.net.cn/soft/windows/MS17/MS17-010/File/windowsxp-kb4012598-x86-custom-chs_dca9b5adddad778cfd4b7349ff54b51677f36775.exe
Windows XP x64 SP2	KB4012598	http://softdown.rising.net.cn/soft/windows/MS17/MS17-010/File/windowsserver2003-kb4012598-x64-custom-enu_f24d8723f246145524b9030e4752c96430981211.exe
Windows 2003 SP2	KB4012598	http://softdown.rising.net.cn/soft/windows/MS17/MS17-010/File/windowsserver2003-kb4012598-x86-custom-chs_b45d2d8c83583053d37b20edf5f041ecede54b80.exe
Windows 2003 x64 SP2	KB4012598	http://softdown.rising.net.cn/soft/windows/MS17/MS17-010/File/windowsserver2003-kb4012598-x64-custom-chs_68a2895db36e911af59c2ee133baee8de11316b9.exe
Windows Vista Windows Server 2008	KB4012598	http://softdown.rising.net.cn/soft/windows/MS17/MS17-010/File/windows6.0-kb4012598-x86_13e9b3d77ba5599764c296075a796c16a85c745c.msu http://softdown.rising.net.cn/soft/windows/MS17/MS17-010/File/windows6.0-kb4012598-x64_6a186ba2b2b98b2144b50f88baf33a5fa53b5d76.msu
Windows 7 Windows Server 2008 R2	KB4012212	http://softdown.rising.net.cn/soft/windows/MS17/MS17-010/File/windows6.1-kb4012212-x86_6bb04d3971bb58ae4bac44219e7169812914df3f.msu http://softdown.rising.net.cn/soft/windows/MS17/MS17-010/File/windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu
	KB4012215	http://softdown.rising.net.cn/soft/windows/MS17/MS17-010/File/windows6.1-kb4012215-x86_e5918381cef63f171a74418f12143dabe5561a66.msu http://softdown.rising.net.cn/soft/windows/MS17/MS17-010/File/windows6.1-kb4012215-x64_a777b8c251dcd8378ecdafa81aefbe7f9009c72b.msu
Windows 8.1	KB4012213	http://softdown.rising.net.cn/soft/windows/MS17/MS17-010/File/windows8.1-kb4012213-x86_e118939b397bc983971c88d9c9ecc8cbec471b05.msu http://softdown.rising.net.cn/soft/windows/MS17/MS17-010/File/windows8.1-kb4012213-x64_5b24b9ca5a123a844ed793e0f2be974148520349.msu
	KB4012216	http://softdown.rising.net.cn/soft/windows/MS17/MS17-010/File/windows8.1-kb4012216-x86_d4facfdaf4b1791efbc3612fe299e41515569443.msu http://softdown.rising.net.cn/soft/windows/MS17/MS17-010/File/windows8.1-kb4012216-x64_cd5e0a62e602176f0078778548796e2d47cfa15b.msu
Windows Server2012	KB4012214	http://softdown.rising.net.cn/soft/windows/MS17/MS17-010/File/windows8-rt-kb4012214-x64_b14951d29cb4fd880948f5204d54721e64c9942b.msu
	KB4012217	http://softdown.rising.net.cn/soft/windows/MS17/MS17-010/File/windows8-rt-kb4012217-x64_96635071602f71b4fb2f1a202e99a5e21870bc93.msu
Windows Server2012 R2	KB4012213	http://softdown.rising.net.cn/soft/windows/MS17/MS17-010/File/windows8.1-kb4012213-x64_5b24b9ca5a123a844ed793e0f2be974148520349.msu
	KB4012216	http://softdown.rising.net.cn/soft/windows/MS17/MS17-010/File/windows8.1-kb4012216-x64_cd5e0a62e602176f0078778548796e2d47cfa15b.msu
Windows 10	KB4012606	http://softdown.rising.net.cn/soft/windows/MS17/MS17-010/File/windows10.0-kb4012606-x86_8c19e23de2ff92919d3fac069619e4a8e8d3492e.msu http://softdown.rising.net.cn/soft/windows/MS17/MS17-010/File/windows10.0-kb4012606-x64_e805b81ee08c3bb0a8ab2c5ce6be5b35127f8773.msu
Windows 10 1511	KB4013198	http://softdown.rising.net.cn/soft/windows/MS17/MS17-010/File/windows10.0-kb4013198-x86_f997cfd9b59310d274329250f14502c3b97329d5.msu http://softdown.rising.net.cn/soft/windows/MS17/MS17-010/File/windows10.0-kb4013198-x64_7b16621bdc40cb512b7a3a51dd0d30592ab02f08.msu
Windows 10 1607	KB4013429	http://softdown.rising.net.cn/soft/windows/MS17/MS17-010/File/windows10.0-kb4013429-x86_delta_13d776b4b814fcc39e483713ad012070466a950b.msu http://softdown.rising.net.cn/soft/windows/MS17/MS17-010/File/windows10.0-kb4013429-x64_delta_24521980a64972e99692997216f9d2cf73803b37.msu

ESM版: 2.0.1.29

10網絡版：22.04.63.50

11網絡版：23.00.11.85

12網絡版：24.00.12.60

13網絡版：25.00.03.35

以上版本帶的漏洞掃描功能已經可以支持以上補丁。

2. ESM產品安裝了行為審計、防火墻組件的用戶可以設置防火墻規則（XP或非XP系統都可以）

使用行為審計\IP規則策略，設置端口規則

• 啟用端口規則，根據需要考慮是否勾選“阻止訪問時通知用戶”
• 從右邊增加一條新端口規則，勾選離線生效
• 選擇“單個端口”，并設置端口號為445
• 協議選擇TCP，方向選擇入站
• 注意“允許聯網”不要勾選，表示拒絕訪問

3. 網絡版產品設置防火墻規則

通過控制，給組設置防火墻組規則，右鍵組，出操作菜單，設置防火墻規則

特別注意“常規”里一定要選擇“禁止”，協議里協議類型選TCP，對方端口選任意端口，本地端口選指定端口，并填445

4. 使用公安專版或只有殺毒模塊的用戶

瑞星殺毒軟件會進行病毒庫緊急升級，用來查殺相應的病毒。 因為公安專版、單殺毒模塊產品上就即不帶漏洞補丁修復，又不帶防火墻功能，所以請使用公安網內部的其他方式安裝系統補丁或配置防火墻規則(也可參考下一條說明方案)進行防御措施。

5. 沒有防火墻功能的用戶，可以在終端上執行以下命令

netsh firewall set opmode enable

netsh advfirewall firewall add rule name="deny445" dir=in protocol=tcp localport=445 action=block

netsh advfirewall firewall add rule name="deny139" dir=in protocol=tcp localport=139 action=block

netsh firewall set portopening protocol=TCP port=445 mode=disable name=deny445

netsh firewall set portopening protocol=TCP port=139 mode=disable name=deny139

也可以將上述命令保存為.bat批處理文件，管理員權限直接運行,制作.bat批處理文件方法：

• 新建一個文本文件
• 把上述命令拷貝到文件里，并保存
• 重命名.txt后綴改為.bat

---

二、瑞星云安全產品解決方案

（一）關閉系統445文件共享端口

1、安裝了瑞星虛擬化系統安全軟件最新版windows安全防護終端的用戶可以在 “網絡防護”功能中增加新的“IP規則”以關閉445端口，防止黑客通過445端口共享入侵感染系統。具體步驟如下：

開啟windows安全防護終端的“網絡防護”功能

在“IP規則”中增加禁用共享445端口的規則設置

亦可通過瑞星虛擬化系統安全軟件管理中心進行規則設置

通過系統管理中心的終端管理對終端規則進行設置

設置終端的“IP規則”

增加禁用共享445端口的規則設置

注:此設置方法也可應用于策略模板生成，生成的模板可以批量應用于環境內的所有終端。

2、使用了瑞星虛擬化系統安全軟件華為無代理防火墻的用戶，亦可通過增加防火墻規則，關閉445共享端口，實現無代理網絡安全防護。設置方法如下：

增加無代理防火墻禁用共享445端口的規則

3、如果沒有使用瑞星虛擬化系統安全軟件的網絡防護功能，也可采用以下臨時解決方案暫時緩解安全問題:

A.打開“Windows防火墻”，在“高級設置”的入站規則里禁用“文件和打印機共享”相關規則。

B.或通過在終端上執行命令關閉445端口共享，命令如下：

netsh firewall

set opmode enable

netsh advfirewall

firewall add rule name=”deny445” dir=in protocol=tep localport=445 action=block

通過管理員權限直接運行即可。

（二）針對SMB遠程代碼執行漏洞進行補丁修補

1、通過修補Microsoft 安全公告 MS17-010 - 嚴重安全漏洞補丁https://technet.microsoft.com/zh-cn/library/security/MS17-010，解決黑客利用SMB的遠程代碼執行漏洞感染計算機的問題。

對應操作系統漏洞補丁編號如下：

系統	補丁號
Windows Vista/ Windows Server 2008	KB4012598
Windows 7/ Windows Server 2008 R2	KB4012212/KB4012215
Windows 8.1	KB4012213/KB4012216
Windows Server2012	KB4012214/KB4012217
Windows Server2012 R2	KB4012213/KB4012216
Windows 10	KB4012606
Windows 10 1511	KB4013198
Windows 10 1607	KB4013429

2、如果擔心補丁穩定性問題，亦可通過如下步驟臨時緩解部分系統問題：

通過運行終端命令關閉SMB

適用于運行Windows XP的客戶解決方法

net stop rdr

net stop srv

net stop netbt

適用于運行 Windows 8.1 或 Windows Server 2012 R2 及更高版本的客戶的替代方法

對于客戶端操作系統：

1、打開“控制面板”，單擊“程序”，然后單擊“打開或關閉 Windows 功能”。

2、在“Windows 功能”窗口中，清除“SMB 1.0/CIFS 文件共享支持”復選框，然后單擊“確定”以關閉此窗口。

3、重啟系統。

對于服務器操作系統：

1、打開“服務器管理器”，單擊“管理”菜單，然后選擇“刪除角色和功能”。

2、在“功能”窗口中，清除“SMB 1.0/CIFS 文件共享支持”復選框，然后單擊“確定”以關閉此窗口。

3、重啟系統。

受此臨時緩解方法的影響。目標系統上將禁用 SMBv1 協議。

有很多用戶無法第一時間獲取各類補丁，或者由于重要業務無法中斷，無法安裝補丁，還有很多用戶不愿關閉自身的445端口文件共享以及SMB，同時又不希望自己被Wannacry影響環境內的安全，如果用戶已經部署了瑞星虛擬化系統安全軟件，那么可以通過開啟入侵防御規則，有效解決此次Wannacry安全威脅，同時不影響當前環境的穩定性。

用戶可以在安全防護終端本地開啟IPS規則。

或者在瑞星虛擬化系統安全軟件管理中心為需要保護的系統開啟IPS防護規則

當然如果用戶的數據中心使用的是瑞星虛擬化系統安全軟件的無代理網絡防護功能，我們亦可為用戶提供無代理網絡防護內的IPS防護功能，通過瑞星虛擬化系統安全軟件管理中心為云環境內的虛擬機設置無代理IPS規則，解決數據中心內部的微分段網絡內的安全風險。

（三）將防病毒軟件病毒庫更新至最新版本解決系統內的WannaCry勒索病毒。

對于已經部署瑞星虛擬化系統安全軟件子產品的用戶，可以將安全防護產品更新至2.0.0.40版本（病毒庫版本：29.0513.0001）以上，即可解決本地存在的Wannacry勒索病毒。

用戶亦可在更新至最新版本后通知數據中心或管理中心內全部環境上的子產品進行全盤查殺，已解決當前環境內的全部Wannacry安全威脅。

勒索病毒已經存在很久，并且已經成為最具威脅的惡意代碼，由于黑客通過勒索軟件可以獲取大量的利益，因此，勒索軟件的變種速度也極快，給各大安全廠商帶來很多的麻煩，此次勒索軟件使用的445共享端口，SMB遠程執行漏洞，都是已知的安全缺陷或是安全漏洞，并且微軟也已經發布了相應的安全補丁，所以提升安全防護意識，才是解決安全風險的第一要素。

---

三、瑞星網關安全產品解決方案

（一）瑞星導線式防毒墻防護方法

瑞星導線式防毒墻查殺截圖：

登錄導線式防毒墻WEB管理界面，進入【系統管理】》【安全加固】菜單，選擇"系統補丁升級"頁面，使用瑞星官網最新發布的系統補丁對導線式防毒墻進行系統升級，如圖所示：

登錄導線式防毒墻WEB管理界面，進入【系統管理】》【安全加固】菜單，選擇"病毒庫升級"，使用瑞星官網最新發布的病毒庫升級包，對導線式防毒墻進行病毒庫的升級，最新版本的病毒庫中已經加入了對勒索病毒各種變種病毒文件的檢測，完成病毒庫升級可以有效的檢測并阻斷勒索病毒文件的傳播，如圖所示：

打開導線式防毒墻的【配置管理】》【高級配置】菜單，選擇"查毒策略"配置頁面，對導線式防毒墻的查毒策略進行配置，啟用蠕蟲病毒檢測功能和免疫勒索病毒的處理，啟用后，導線式防毒墻將阻斷攔截蠕蟲病毒和所有經過防毒墻 TCP 445端口的出站、入站請求，如下圖所示：

（二）瑞星UTM2.0防毒墻防護方法

瑞星UTM防毒墻查殺截圖：

登錄瑞星UTM2.0防毒墻WEB管理界面，進入【系統管理】》【系統維護】菜單，選擇"軟件升級"標簽頁，使用瑞星官網最新發布的病毒庫升級包，對UTM2.0防毒墻進行病毒威脅庫的升級，最新版本的病毒威脅庫中已經加入了對勒索病毒各種變種病毒文件的檢測，完成病毒庫升級可以有效的檢測并阻斷勒索病毒文件的傳播，如圖所示:

打開【防火墻】》【安全策略配置】菜單，選擇"安全策略配置"標簽頁，在安全策略中點擊"增加"添加一條安全策略，如圖所示：

在新增的安全策略配置窗口中，選擇服務內容配置項，在下拉菜單最下方選擇【增加】，如下圖所示：

新增一個服務對象，服務對象的配置如下圖所示：

點擊"確定"后，安全策略中服務內容將會增加一個勒索病毒防護的服務對象，如下圖所示，選擇新增的服務對象并點擊"確定"完成防火墻安全策略的加。

回"安全策略配置"頁面，勾選新增加的安全策略，點擊"啟用"按鈕完成安全策略的啟用，如下圖所示，啟用成功后，新增安全策略的狀態變為。

（三）瑞星下一代防毒墻防護方法

瑞星下一代防毒墻查殺截圖：

登錄瑞星下一代防毒墻WEB管理界面，進入【系統管理】》【軟件升級】菜單，使用瑞星官網最新發布的病毒庫升級包，對下一代防毒墻進行病毒威脅庫的升級，最新版本的病毒威脅庫中已經加入了對勒索病毒各種變種病毒文件的檢測，完成病毒庫升級可以有效的檢測并阻斷勒索病毒文件的傳播，如圖所示:

打開【策略配置】》【安全策略】菜單，點擊屏幕下方的"新增"按鈕，增加一條新的安全策略，如下圖所示，在常規配置標簽中，在服務內容下拉菜單最下方點擊"添加"增加一條服務對象。

配置指定的協議和端口，如下圖所示，點擊"確定"完成服務對象的增加。

完成增加后在服務對象中選擇新增的這條服務對象，如下圖所示：

切換到"其他配置"標簽頁，將安全策略的處理動作設置為“拒絕”，如下圖所示。

配置完成后，點擊“確定”完成策略的增加。

返回安全策略列表，勾選新增的安全策略，點擊下方的"啟用"按鈕，完成策略的啟用，如下圖所示，啟用成功后，安全策略狀態會變為。

（四）瑞星網絡安全預警系統全面監控

瑞星網絡安全預警系統監控截圖：

瑞星網絡安全預警系統用戶只需升級到最新版本，即可全面監控“永恒之藍”勒索病毒的全網傳播及感染情況。

---

四、臨時解決方案及建議

1、Win7、Win 8.1、Win 10用戶，盡快安裝微軟MS17-010的官方補丁。https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx

2、Windows XP用戶，點擊開始-》運行-》輸入cmd，確定。在彈出的命令行窗口中輸入下面三條命令以關閉SMB。

net stop rdr

net stop srv

net stop netbt

3、升級操作系統的處理方式：建議廣大用戶使用自動更新升級到Windows的最新版本。

4、在邊界出口交換路由設備禁止外網對校園網135/137/139/445端口的連接。

5、在校園網絡核心主干交換路由設備禁止135/137/139/445端口的連接。

6、及時升級操作系統到最新版本；

7、勤做重要文件非本地備份；

8、停止使用Windows XP、Windows 2003等微軟已不再提供安全更新的操作系統。