您好,請登錄或注冊會員中心
網站首頁 > 企業動態 > 行業動態

全球爆發比特幣勒索病毒攻擊,聯成這幾招幫你防范勒索病毒!!!

2017-05-14 13:11:55 南京聯成科技發展有限公司 閱讀

京聯成科技發展股份有限公司

客戶書

尊敬的客戶:

         您

         當下勒索病毒(ONIONWNCRY)全球范圍肆虐傳播、蔓延,國家信息技術安全研究中心表示,目前尚無完美解決途徑。此,南京聯成提醒您:在完美解決方案出臺之前次本安全風波完全退卻,主動做好安全防護加強工作,在此過程中,我們竭誠配合、協助您做好預防措施


一、 絡邊界處防火墻、入侵防御系統等安全設備上將其攻擊特征庫、病毒特征碼更新至最新版本;應用部署相關策略以封相關端口的通信;


二、 對于安裝部署了企業級防病毒軟件的環境,請盡更新、升級其病毒至最新版本;


三、 于業務服務器(物理)請提前做好數據備份工作對于虛擬機系統,做好系統快照工作;并根據業務重要性等合理編排給服務器安裝操作系統補丁;


四、 針對于服務器網段端尚未部署安全設備的情況請于關交換機上配置嚴格的訪問控制列表(ACL),對遭此次病毒影響的相端口進行;服務器前端部署有安全設備的,同樣更新攻擊特征庫、病毒特征碼、以及部署相關安全策略;


五、 請您于工作日(2017-05-15)將單位領導的PC進行安全加固操作,以避免領導的辦公電腦工作文檔被勒索病毒加密

 

當您進行上述工作過程中,有任何需要我們提供協助的地方,們將竭力全程配合完成線遠程操作、實施指導以下是我們工程師小伙伴負責人聯絡方式:

李惠忠

15051894870

范利飛

18652062253

陳    曦

15062250826

鄧蒙蒙

15373388675

胡尊言

15895981485

陳學軍

13805176438

最后,南京聯成體成員敬祝您工作愉快,盡早順利渡過這場安全危機。

具體措施,特別說明如下:

“永恒之藍”勒索病毒

應急處理方案


事件概述

1.1 事件概述

北京時間5月12日晚間,全球爆發了一系列勒索軟件(Wannacry)的感染事件。國內大量企業遭到感染,多個高校的教育網受到感染,導致系統癱瘓。同時英國多家醫院,以及俄羅斯、意大利和大部分歐洲國家的多所高校也均被感染,該勒索軟件會加密被感染系統上的資料和數據,要求支付相應的贖金才會解密和恢復。


圖片關鍵詞


目前,很多大學的官方微博、微信已發出了預警信息,說這段時間國內很多大學的校園網和同學的電腦都中病毒了。不少同學的畢業論文、畢業設計等重要資料已經宣告“淪陷”。

據悉,病毒是全國性的,疑似通過校園網傳播,十分迅速。目前賀州學院、桂林電子科技大學、桂林航天工業學院、寧波大學,浙江中醫藥大學、浙江工商大學、浙江理工大學、大連海事大學、山東大學等眾多高校都受到了病毒攻擊。

此外,中國多地部分中石油旗下加油站在今日0時左右也突然出現斷網,目前無法使用支付寶、微信、銀聯卡等聯網支付方式,只能使用現金支付,加油站加油業務正常運行。

目前已有99個國家遭受了攻擊,其中包括英國、美國、中國、俄羅斯、西班牙和意大利。反病毒軟件廠商Avast表示,世界各地出現的勒索病毒案例已增加到了7.5萬個,并仍在迅速蔓延中。

1.1 影響范圍

受影響Windows操作系統: Windows XP、Windows 7、Windows 8、Windows Server 2008、Windows Server 2003、Windows Vista。(安卓手機,iOS設備,MacOS設備,linux設備均不受影響)

 


問題檢測

建議使用“NSA武器庫免疫工具”,可一鍵檢測修復漏洞、關閉高風險服務,包括精準檢測出NSA武器庫使用的漏洞是否已經修復,并提示用戶安裝相應的補丁。針對XP、2003等無補丁的系統版本用戶,防御工具能夠幫助用戶關閉存在高危風險的服務,從而對NSA黑客武器攻擊的系統漏洞徹底“免疫”。

NSA 武器庫免疫工具

圖片關鍵詞

圖片關鍵詞



事前解決方案

1. 在企業網絡邊界設備上阻斷對445、135、137、138、139端口的訪問,并且將設備安全庫升級至最新。

2. 為了避免感染設備之后的廣泛傳播,利用各網絡設備的ACL策略配置,以實現臨時封堵。

3. 將Windows系統補丁升級到最新,確認已安裝MS17-010補丁。

4. 關閉主機445端口,阻斷病毒傳播

3.1 網絡層面安全防護

大型機構由于設備眾多,為了避免感染設備之后的廣泛傳播,建議利用各網絡設備的ACL策略配置,以實現臨時封堵。

該蠕蟲病毒主要利用TCP的445端口進行傳播,對于各大企事業單位影響很大。為了阻斷病毒快速傳播,建議在核心網絡設備的三層接口位置,配置ACL規則從網絡層面阻斷TCP445端口的通訊。

以下內容是基于較為流行的網絡設備,舉例說明如何配置ACL規則,以禁止TCP445網絡端口傳輸,供以參考。在實際操作中,需協調網絡管理人員或網絡設備廠商服務人員,根據實際網絡環境在核心網絡設備上進行配置。

 

3.1.1 深信服設備配置示例

1. 自定義服務


圖片關鍵詞


2. 應用控制策略阻止


圖片關鍵詞


3. 配置好IPS入侵檢測防御


圖片關鍵詞


圖片關鍵詞


4. 更新規則庫到最新狀態


圖片關鍵詞 

3.1.2 Juniper設備配置示例

set firewall family inet filter deny-wannacry term deny445 from protocol tcp

set firewall family inet filter deny-wannacry term deny445 from destination-port 445

set firewall family inet filter deny-wannacry term deny445 then discard

set firewall family inet filter deny-wannacry term default then accept

 

#在全局應用規則

set forwarding-options family inet filter output deny-wannacry

set forwarding-options family inet filter input deny-wannacry

 

#在三層接口應用規則

set interfaces [ 需要掛載的三層端口名稱] unit 0 family inet filter output deny-wannacry

set interfaces [ 需要掛載的三層端口名稱] unit 0 family inet filter input deny-wannacry

 

3.1.3 華三(H3C)設備配置示例

acl number 3050

rule deny tcp destination-port 445

rule permit ip

interface [需要掛載的三層端口名稱]

packet-filter 3050 inbound

packet-filter 3050 outbound

 

3.1.4 華為設備配置示例

acl number 3050

rule deny tcp destination-port eq 445

rule permit ip

 

traffic classifier deny-wannacry type and

if-match acl 3050

 

traffic behavior deny-wannacry

 

traffic policy deny-wannacry

classifier deny-wannacry behavior deny-wannacry precedence 5

 

interface [需要掛載的三層端口名稱]

traffic-policy deny-wannacry inbound

traffic-policy deny-wannacry outbound

 

3.1.5 Cisco設備配置示例

ip access-list deny-wannacry

deny tcp any any eq 445

permit ip any any

 

interface [需要掛載的三層端口名稱]

ip access-group deny-wannacry in

ip access-group deny-wannacry out

 

3.1.6 銳捷設備配置示例

ip access-list extended deny-wannacry

deny tcp any any eq 445

permit ip any any

 

interface [需要掛載的三層端口名稱]

ip access-group deny-wannacry in

ip access-group deny-wannacry out

 

 

3.2 主機層面安全防護

3.2.1 系統補丁安裝

Windows操作系統升級針對MS17-010的微軟的漏洞補丁,可以采用自動更新或下載更新補丁的方法。

補丁更新地址如下:

Windows Vista、Windows Server 2008

http://www.catalog.update.microsoft.com/search.aspx?q=4012598

 

Windows 7、Windows Server 2008 R2

http://www.catalog.update.microsoft.com/search.aspx?q=4012212

 

Windows 8.1、Windows Server 2012 R2

http://www.catalog.update.microsoft.com/search.aspx?q=4012213

 

Windows RT 8.1

http://www.catalog.update.microsoft.com/search.aspx?q=4012216

 

Windows Server 2012

http://www.catalog.update.microsoft.com/search.aspx?q=4012214

 

Windows XP


圖片關鍵詞 

Windows 2003


3.2.2 關閉主機445 端口相關服務

1、點擊開始菜單,運行cmd,輸入命令netstat –an 查看端口狀態。


圖片關鍵詞


2、輸入以下命令并回車。

net stop rdr

net stop srv

net stop netbt


圖片關鍵詞


3、再次輸入netsta –an查看成功關閉445 端口。

 

圖片關鍵詞  

3.2.3 配置主機級ACL 策略封堵445 端口

開啟系統防火墻

利用系統防火墻高級設置阻止向445端口進行連接(該操作會影響使用445端口的服務)

打開系統自動更新,并檢測更新進行安裝

Win7、Win8、Win10的處理流程

1、打開控制面板-系統與安全-Windows防火墻,點擊左側啟動或關閉Windows防火墻

 

圖片關鍵詞


2、選擇啟動防火墻,并點擊確定

  

圖片關鍵詞


3、點擊高級設置

 

圖片關鍵詞


4、點擊入站規則,新建規則

圖片關鍵詞


5、選擇端口,下一步

 

圖片關鍵詞


6、特定本地端口,輸入445,下一步


圖片關鍵詞


7、選擇阻止連接,下一步


圖片關鍵詞


8、配置文件,全選,下一步 

 

圖片關鍵詞


9、名稱,可以任意輸入,完成即可。 

 

圖片關鍵詞 


事后解決方案

由于該勒索軟件的加密強度大,目前被加密的文件還無法解密恢復。針對遭受攻擊的情況,建議采取如下措施:

1、在無法判斷是否感染該勒索軟件的情況下,立即斷網,檢查電腦主機,修復MS17-010漏洞、關閉445端口。

2、對已經感染勒索軟件攻擊的機器建議立即隔離處置,防止感染范圍進一步擴大。

3、出于基于權限最小化的安全實踐,建議用戶關閉并非必需使用的Server服務。

4、及時備份重要業務系統數據,針對重要業務終端進行系統鏡像,制作足夠的系統恢復盤或者設備進行替換。

5、目前亞信、安天、360三家公司已經研發出針對該病毒的最新專殺工具。

亞信專殺下載地址:https://ssfe.asiainfo-sec.com/app#folder/JKKG/%E4%B8%93%E6%9D%80%E5%B7%A5%E5%85%B7/?a=HgdYwHS_CxA。

亞信專殺使用說明:http://support.asiainfo-sec.com/Anti-Virus/Clean-Tool/ATTK_CN/。

安天專殺下載地址:http://www.antiy.com/response/wannacry/ATScanner.zip

安天免疫下載地址:http://www.antiy.com/response/wannacry/Vaccine_for_wannacry.zip。

安天應對說明鏈接:http://www.antiy.com/response/Antiy_Wannacry_FAQ.html。

360公司免疫工具下載鏈接:http://b.#/other/onionwormimmune

360公司專殺工具下載鏈接:http://b.#/other/onionwormkiller

總結

1.及時更新最新的操作系統補丁。

2.關閉操作系統不必要開放的端口如445、135、137、138、139等或關閉server服務。

3.備份重要文件數據。

4.在網絡中部署安思易平臺及時發現勒索病毒傳播情況,切斷傳播途徑,形成針對性的防護策略。

工具+補丁

檢測工具+補丁下載地址:

鏈接:http://pan.baidu.com/s/1nvM9MLN 密碼:woaz



附件下載地址:

http://pan.baidu.com/s/1eS8AS2u






京聯成科技發展股份有限公司

2017-05-13




> 斗鱼捕鱼大富翁