WanaCrypt的主程序啟動時,首先會訪問 iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com 或 fferfsodp9ifjaposdfjhgosurijfaewrwergwea.com 如果可以訪問,則會停止工作。
目前該域名已經被注冊,在互聯網環境下,WanaCrypt應該已經不再起效。對于無法連接互聯網的用戶,可以在本地網絡環境中增加該域名的解析,起到抑WanaCrypt活性的作用?;蛘咴诒緳C修改host文件,讓該域名指向任意有效HTTP服務,都可以起到“免疫”的效果。無法連接互聯網的用戶需要自己手工修改指向一個內部可訪問的HTTP服務,防毒墻可以在攔截到這個HTTP請求時返回成功信息。
瑞星殺毒軟件網絡版查殺截圖:
瑞星安全云查殺截圖:
1. 更新微軟MS17-010漏洞補丁,對應不同系統的補丁號對照表:
ESM版: 2.0.1.29
10網絡版:22.04.63.50
11網絡版:23.00.11.85
12網絡版:24.00.12.60
13網絡版:25.00.03.35
以上版本帶的漏洞掃描功能已經可以支持以上補丁。
2. ESM產品安裝了行為審計、防火墻組件的用戶可以設置防火墻規則(XP或非XP系統都可以)
使用行為審計\IP規則策略,設置端口規則
3. 網絡版產品設置防火墻規則
通過控制,給組設置防火墻組規則,右鍵組,出操作菜單,設置防火墻規則
特別注意“常規”里一定要選擇“禁止”,協議里協議類型選TCP,對方端口選任意端口,本地端口選指定端口,并填445
4. 使用公安專版或只有殺毒模塊的用戶
瑞星殺毒軟件會進行病毒庫緊急升級,用來查殺相應的病毒。 因為公安專版、單殺毒模塊產品上就即不帶漏洞補丁修復,又不帶防火墻功能,所以請使用公安網內部的其他方式安裝系統補丁或配置防火墻規則(也可參考下一條說明方案)進行防御措施。
5. 沒有防火墻功能的用戶,可以在終端上執行以下命令
netsh firewall set opmode enable
netsh advfirewall firewall add rule name="deny445" dir=in protocol=tcp localport=445 action=block
netsh advfirewall firewall add rule name="deny139" dir=in protocol=tcp localport=139 action=block
netsh firewall set portopening protocol=TCP port=445 mode=disable name=deny445
netsh firewall set portopening protocol=TCP port=139 mode=disable name=deny139
也可以將上述命令保存為.bat批處理文件,管理員權限直接運行,制作.bat批處理文件方法:
(一)關閉系統445文件共享端口
1、安裝了瑞星虛擬化系統安全軟件最新版windows安全防護終端的用戶可以在 “網絡防護”功能中增加新的“IP規則”以關閉445端口,防止黑客通過445端口共享入侵感染系統。具體步驟如下:
開啟windows安全防護終端的“網絡防護”功能
在“IP規則”中增加禁用共享445端口的規則設置
亦可通過瑞星虛擬化系統安全軟件管理中心進行規則設置
通過系統管理中心的終端管理對終端規則進行設置
設置終端的“IP規則”
增加禁用共享445端口的規則設置
注:此設置方法也可應用于策略模板生成,生成的模板可以批量應用于環境內的所有終端。
2、使用了瑞星虛擬化系統安全軟件華為無代理防火墻的用戶,亦可通過增加防火墻規則,關閉445共享端口,實現無代理網絡安全防護。設置方法如下:
增加無代理防火墻禁用共享445端口的規則
3、如果沒有使用瑞星虛擬化系統安全軟件的網絡防護功能,也可采用以下臨時解決方案暫時緩解安全問題:
A.打開“Windows防火墻”,在“高級設置”的入站規則里禁用“文件和打印機共享”相關規則。
B.或通過在終端上執行命令關閉445端口共享,命令如下:
netsh firewall
set opmode enable
netsh advfirewall
firewall add rule name=”deny445” dir=in protocol=tep localport=445 action=block
通過管理員權限直接運行即可。
(二)針對SMB遠程代碼執行漏洞進行補丁修補
1、通過修補Microsoft 安全公告 MS17-010 - 嚴重安全漏洞補丁https://technet.microsoft.com/zh-cn/library/security/MS17-010,解決黑客利用SMB的遠程代碼執行漏洞感染計算機的問題。
對應操作系統漏洞補丁編號如下:
系統 | 補丁號 |
Windows Vista/ Windows Server 2008 | KB4012598 |
Windows 7/ Windows Server 2008 R2 | KB4012212/KB4012215 |
Windows 8.1 | KB4012213/KB4012216 |
Windows Server2012 | KB4012214/KB4012217 |
Windows Server2012 R2 | KB4012213/KB4012216 |
Windows 10 | KB4012606 |
Windows 10 1511 | KB4013198 |
Windows 10 1607 | KB4013429 |
2、如果擔心補丁穩定性問題,亦可通過如下步驟臨時緩解部分系統問題:
通過運行終端命令關閉SMB
適用于運行Windows XP的客戶解決方法
net stop rdr
net stop srv
net stop netbt
適用于運行 Windows 8.1 或 Windows Server 2012 R2 及更高版本的客戶的替代方法
對于客戶端操作系統:
1、打開“控制面板”,單擊“程序”,然后單擊“打開或關閉 Windows 功能”。
2、在“Windows 功能”窗口中,清除“SMB 1.0/CIFS 文件共享支持”復選框,然后單擊“確定”以關閉此窗口。
3、重啟系統。
對于服務器操作系統:
1、打開“服務器管理器”,單擊“管理”菜單,然后選擇“刪除角色和功能”。
2、在“功能”窗口中,清除“SMB 1.0/CIFS 文件共享支持”復選框,然后單擊“確定”以關閉此窗口。
3、重啟系統。
受此臨時緩解方法的影響。目標系統上將禁用 SMBv1 協議。
有很多用戶無法第一時間獲取各類補丁,或者由于重要業務無法中斷,無法安裝補丁,還有很多用戶不愿關閉自身的445端口文件共享以及SMB,同時又不希望自己被Wannacry影響環境內的安全,如果用戶已經部署了瑞星虛擬化系統安全軟件,那么可以通過開啟入侵防御規則,有效解決此次Wannacry安全威脅,同時不影響當前環境的穩定性。
用戶可以在安全防護終端本地開啟IPS規則。
或者在瑞星虛擬化系統安全軟件管理中心為需要保護的系統開啟IPS防護規則
當然如果用戶的數據中心使用的是瑞星虛擬化系統安全軟件的無代理網絡防護功能,我們亦可為用戶提供無代理網絡防護內的IPS防護功能,通過瑞星虛擬化系統安全軟件管理中心為云環境內的虛擬機設置無代理IPS規則,解決數據中心內部的微分段網絡內的安全風險。
(三)將防病毒軟件病毒庫更新至最新版本解決系統內的WannaCry勒索病毒。
對于已經部署瑞星虛擬化系統安全軟件子產品的用戶,可以將安全防護產品更新至2.0.0.40版本(病毒庫版本:29.0513.0001)以上,即可解決本地存在的Wannacry勒索病毒。
用戶亦可在更新至最新版本后通知數據中心或管理中心內全部環境上的子產品進行全盤查殺,已解決當前環境內的全部Wannacry安全威脅。
勒索病毒已經存在很久,并且已經成為最具威脅的惡意代碼,由于黑客通過勒索軟件可以獲取大量的利益,因此,勒索軟件的變種速度也極快,給各大安全廠商帶來很多的麻煩,此次勒索軟件使用的445共享端口,SMB遠程執行漏洞,都是已知的安全缺陷或是安全漏洞,并且微軟也已經發布了相應的安全補丁,所以提升安全防護意識,才是解決安全風險的第一要素。
(一)瑞星導線式防毒墻防護方法
瑞星導線式防毒墻查殺截圖:
登錄導線式防毒墻WEB管理界面,進入【系統管理】》【安全加固】菜單,選擇"系統補丁升級"頁面,使用瑞星官網最新發布的系統補丁對導線式防毒墻進行系統升級,如圖所示:
登錄導線式防毒墻WEB管理界面,進入【系統管理】》【安全加固】菜單,選擇"病毒庫升級",使用瑞星官網最新發布的病毒庫升級包,對導線式防毒墻進行病毒庫的升級,最新版本的病毒庫中已經加入了對勒索病毒各種變種病毒文件的檢測,完成病毒庫升級可以有效的檢測并阻斷勒索病毒文件的傳播,如圖所示:
打開導線式防毒墻的【配置管理】》【高級配置】菜單,選擇"查毒策略"配置頁面,對導線式防毒墻的查毒策略進行配置,啟用蠕蟲病毒檢測功能和免疫勒索病毒的處理,啟用后,導線式防毒墻將阻斷攔截蠕蟲病毒和所有經過防毒墻 TCP 445端口的出站、入站請求,如下圖所示:
(二)瑞星UTM2.0防毒墻防護方法
瑞星UTM防毒墻查殺截圖:
登錄瑞星UTM2.0防毒墻WEB管理界面,進入【系統管理】》【系統維護】菜單,選擇"軟件升級"標簽頁,使用瑞星官網最新發布的病毒庫升級包,對UTM2.0防毒墻進行病毒威脅庫的升級,最新版本的病毒威脅庫中已經加入了對勒索病毒各種變種病毒文件的檢測,完成病毒庫升級可以有效的檢測并阻斷勒索病毒文件的傳播,如圖所示:
打開【防火墻】》【安全策略配置】菜單,選擇"安全策略配置"標簽頁,在安全策略中點擊"增加"添加一條安全策略,如圖所示:
在新增的安全策略配置窗口中,選擇服務內容配置項,在下拉菜單最下方選擇【增加】,如下圖所示:
新增一個服務對象,服務對象的配置如下圖所示:
點擊"確定"后,安全策略中服務內容將會增加一個勒索病毒防護的服務對象,如下圖所示,選擇新增的服務對象并點擊"確定"完成防火墻安全策略的加。
回"安全策略配置"頁面,勾選新增加的安全策略,點擊"啟用"按鈕完成安全策略的啟用,如下圖所示,啟用成功后,新增安全策略的狀態變為。
(三)瑞星下一代防毒墻防護方法
瑞星下一代防毒墻查殺截圖:
登錄瑞星下一代防毒墻WEB管理界面,進入【系統管理】》【軟件升級】菜單,使用瑞星官網最新發布的病毒庫升級包,對下一代防毒墻進行病毒威脅庫的升級,最新版本的病毒威脅庫中已經加入了對勒索病毒各種變種病毒文件的檢測,完成病毒庫升級可以有效的檢測并阻斷勒索病毒文件的傳播,如圖所示:
打開【策略配置】》【安全策略】菜單,點擊屏幕下方的"新增"按鈕,增加一條新的安全策略,如下圖所示,在常規配置標簽中,在服務內容下拉菜單最下方點擊"添加"增加一條服務對象。
配置指定的協議和端口,如下圖所示,點擊"確定"完成服務對象的增加。
完成增加后在服務對象中選擇新增的這條服務對象,如下圖所示:
切換到"其他配置"標簽頁,將安全策略的處理動作設置為“拒絕”,如下圖所示。
配置完成后,點擊“確定”完成策略的增加。
返回安全策略列表,勾選新增的安全策略,點擊下方的"啟用"按鈕,完成策略的啟用,如下圖所示,啟用成功后,安全策略狀態會變為。
(四)瑞星網絡安全預警系統全面監控
瑞星網絡安全預警系統監控截圖:
瑞星網絡安全預警系統用戶只需升級到最新版本,即可全面監控“永恒之藍”勒索病毒的全網傳播及感染情況。
1、Win7、Win 8.1、Win 10用戶,盡快安裝微軟MS17-010的官方補丁。https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx
2、Windows XP用戶,點擊開始-》運行-》輸入cmd,確定。在彈出的命令行窗口中輸入下面三條命令以關閉SMB。
net stop rdr
net stop srv
net stop netbt
3、升級操作系統的處理方式:建議廣大用戶使用自動更新升級到Windows的最新版本。
4、在邊界出口交換路由設備禁止外網對校園網135/137/139/445端口的連接。
5、在校園網絡核心主干交換路由設備禁止135/137/139/445端口的連接。
6、及時升級操作系統到最新版本;
7、勤做重要文件非本地備份;
8、停止使用Windows XP、Windows 2003等微軟已不再提供安全更新的操作系統。
據瑞星反病毒監測網監測, 這是不法分子通過改造之前泄露的NSA黑客武器庫中“永恒之藍”攻擊程序發起的網絡攻擊事件?!坝篮阒{”通過掃描開放445文件共享端口的Windows電腦甚至是電子信息屏,無需用戶進行任何操作,只要開機聯網,不法分子就能在電腦和服務器中植入勒索軟件、遠程控制木馬、虛擬貨幣挖礦機等一系列惡意程序。
利用445文件共享端口實施破壞的蠕蟲病毒,曾多次在國內爆發。因此,運營商很早就針對個人用戶將445端口封閉,但是教育網并未作此限制,仍然存在大量開放的445端口。據有關機構統計,目前國內平均每天有5000多臺電腦遭到NSA“永恒之藍”黑客武器的遠程攻擊,教育網已成重災區!
瑞星安全專家分析:該勒索軟件利用了微軟SMB遠程代碼執行漏洞CVE-2017-0144,微軟已在今年3月份發布了該漏洞的補丁。2017年4月黑客組織影子經紀人(Shadow Brokers)公布的方程式組織(Equation Group)使用的“EternalBlue”中包含了該漏洞的利用程序,而該勒索軟件的攻擊者在借鑒了該“EternalBlue”后進行了這次全球性的大規模勒索攻擊事件。
WannaCry勒索病毒 通過windows操作系統漏洞EternalBlue永恒之藍 發起攻擊。3月14 微軟已經發布補丁,由于很多受害者沒有及時安裝補丁,導致被病毒攻擊,計算機中的文件被加密。
1. 病毒偽裝為Windows系統文件
圖:偽裝系統文件
2. 病毒會刪除windows自動備份 無法還原被加密的文件
圖:刪除備份
3. 病毒會加密指定類型的文件
圖:加密的文件類型
4. 加密后的文件添加后綴 .WNCRYT
圖:加密的文件類型
5. 釋放病毒文件
釋放到C:\ProgramData\dhoodadzaskflip373目錄下
圖:釋放的病毒
6. 偽裝為系統服務
圖:偽裝為服務
7. 修改桌面背景 顯示勒索信息
圖:勒索信息
8. 作者的比特幣錢包地址
圖:比特幣錢包地址
Q:請詳細介紹一下此次事件?
A:2017年5 月12 日晚上20 時左右,全球爆發大規模蠕蟲勒索軟件感染事件,用戶只要開機上網就可被攻擊。五個小時內,包括英國、俄羅斯、整個歐洲以及國內多個高校校內網、大型企業內網和政府機構專網中招,被勒索支付高額贖金(有的需要比特幣)才能解密恢復文件,這場攻擊甚至造成了國內大量教學系統癱瘓,包括校園一卡通系統。
Q:影響范圍如何?
A:僅僅幾個小時內,該勒索軟件已經攻擊了99個國家近萬臺電腦。英國、美國、俄羅斯、德國、土耳其、意大利、中國、菲律賓等國家都已中招。且攻擊仍在蔓延。據報道,勒索攻擊導致16家英國醫院業務癱瘓,西班牙某電信公司有85%的電腦感染該惡意程序。至少1600家美國組織,11200家俄羅斯組織和6500家中國組織和企業都受到了攻擊。
Q:勒索病毒是如何傳播的?
A:據瑞星反病毒監測網監測,這是不法分子通過改造之前泄露的NSA黑客武器庫中“永恒之藍”攻擊程序發起的網絡攻擊事件?!坝篮阒{”通過掃描開放445文件共享端口的Windows電腦甚至是電子信息屏,無需用戶進行任何操作,只要開機聯網,不法分子就能在電腦和服務器中植入勒索軟件、遠程控制木馬、虛擬貨幣挖礦機等一系列惡意程序。
利用445文件共享端口實施破壞的蠕蟲病毒,曾多次在國內爆發。因此,運營商很早就針對個人用戶將445端口封閉,但是教育網并未作此限制,仍然存在大量開放的445端口。據有關機構統計,目前國內平均每天有5000多臺電腦遭到NSA“永恒之藍”黑客武器的遠程攻擊,教育網已成重災區!
瑞星安全專家分析:該勒索軟件利用了微軟SMB遠程代碼執行漏洞CVE-2017-0144,微軟已在今年3月份發布了該漏洞的補丁。2017年4月黑客組織影子經紀人(Shadow Brokers)公布的方程式組織(Equation Group)使用的“EternalBlue”中包含了該漏洞的利用程序,而該勒索軟件的攻擊者在借鑒了該“EternalBlue”后進行了這次全球性的大規模勒索攻擊事件。
Q:加密的文檔類型有哪些?
A:
Q:用戶有什么補救措施和建議嗎?
A:1、Win7、Win 8.1、Win 10用戶,盡快安裝微軟MS17-010的官方補丁。https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx
2、Windows XP用戶,點擊開始-》運行-》輸入cmd,確定。在彈出的命令行窗口中輸入下面三條命令以關閉SMB。
net stop rdr
net stop srv
net stop netbt
3、 升級操作系統的處理方式:建議廣大用戶使用自動更新升級到Windows的最新版本。
4、在邊界出口交換路由設備禁止外網對校園網135/137/139/445端口的連接。
5、在校園網絡核心主干交換路由設備禁止135/137/139/445端口的連接。
6、及時升級操作系統到最新版本;
7、勤做重要文件非本地備份;
8、停止使用Windows XP、Windows 2003等微軟已不再提供安全更新的操作系統。
Q:用戶已經中毒怎么辦?
A:首先立即斷網,如電腦中有需要恢復的重要文件,則立即聯系專業安全廠商,等待解決方案,瑞星客服緊急聯系方式:在線咨詢 / 010-82616666 (7X24小時:18600176950 / 15611628752)
個人
企業