開機指南|應對勒索軟件WannaCry周一開機指南

經過中新網安安全研究院緊急分析,判定該勒索軟件是一個名稱為“WannaCry”的新家族。該勒索軟件迅速感染全球大量主機的原因是利用了基于445端口傳播擴散的SMB漏洞MS17-010。2017年4月14日黑客組織Shadow Brokers(影子經紀人)公布的Equation Group(方程式組織)使用的“網絡軍火”中包含了該漏洞的利用程序,而該勒索軟件的攻擊者或攻擊組織在借鑒了該“網絡軍火”后進行了這次全球性的大規模攻擊事件。由于“WannaCry”大規模爆發于北京時間周五晚8點,國內還有大量政企機構網絡節點尚在關機狀態。也因此,周一開機可能會面臨新一輪的系統癱瘓。

中新網安發布“開機指南”作為下周一工作的應急方案。

工具準備

下載微軟官方MS17-010安全補丁

  • 下載微軟升級補?。ㄎ⑷磣懿烤齠ǘ砸淹7腦P和部分服務器版本發布特別補丁公告)

https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-WannaCrypt-attacks/

下載專用查殺工具,參考:

  • 蠕蟲勒索軟件專殺工具(WannaCry)

//www.antiy.com/response/wannacry/ATScanner.zip

  • 蠕蟲勒索軟件免疫工具(WannaCry)

//www.antiy.com/response/wannacry/Vaccine_for_wannacry.zip

建立滅活域名實現免疫

最新分析結論表明,勒索軟件的觸發機制是否能訪問 iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com,如果訪問成功,則不會觸發勒索功能。

根據此結論,網絡管理人員可以先在內部網中建立滅活域名,必須搭建內部解析服務??梢醞ü諛誆客绱罱―NS Server,將iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com域名地址解析到內網WEB Server的IP地址,同時WEB Server可以接受該域名的連接請求,從而實現免疫。同時,也可以監測內網訪問該域名的用戶IP地址和用戶數量統計出內部用戶的感染情況。

注1:不建議隔離網用戶直接連接互聯網方式進行滅活。

注2:最新的“WannaCry”2.0版本已經無法通過“安全開關”域名進行滅活。

處置工作建議

  • 先斷網,再開機。

  • 啟用并打開“Windows防火墻”,進入“高級設置”,在入站規則里禁用“文件和打印機共享”相關規則。關閉UDP135、445、137、138、139端口,關閉網絡文件共享。

  • 安裝微軟已發布的 MS17-010 補丁,https://technet.microsoft.com/zh-cn/library/security/MS17-010 。

  • 對于XP、2003等微軟已不再提供安全更新的機器,建議升級操作系統版本,或使用免疫工具檢測系統是否存在漏洞,并關閉受到漏洞影響的端口。

  • 盡快備份自己電腦中的重要文件資料到存儲設備上。

  • 若發現感染,迅速通報相關單位,組織內網檢查開放445服務端口的終端和服務器,一旦發現中毒機器,立即斷網處置。

系統加固

  • 關閉網絡,開啟系統防火墻;

  • 利用系統防火墻高級設置阻止向445端口進行連接(該操作會影響使用445端口的服務)及網絡共享;

  • 打開網絡,開啟系統自動更新,并檢測更新進行安裝;

Win7/Win8/Win8.1/Win10的處理流程:

  1. 新加坡快乐8走势图 www.tlzyyy.com.cn 關閉網絡

1.png

2.打開控制面板 Windows防火墻,點擊左側啟動或關閉Windows防火墻1494834971285790.png

3.選擇啟動防火墻,并點擊確定1494835003164946.png

4.點擊高級設置1494835140497954.png

5.點擊入站和出站規則,新建規則1494835176485483.png

6.選擇“端口”

1494835196762620.png

7.選擇特定本地端口,輸入135、137、139、445端口的連接1494835215135667.png

8.選擇“阻止”

1494835236473713.png

9.選擇所有域

1494835465461513.png

10.策略名稱

1494835569722500.png

11.恢復網絡

1494835285629461.png

12.啟系統自動更新,并檢測更新進行安裝1494835305827816.png

注:在系統更新完成后,如果業務需要使用SMB服務,將上面設置的防火墻入站規則刪除即可。

XP系統處理流程

1.依次打開控制面板,安全中心,Windows防火墻,選擇啟用

1494835386909483.png2.通過注冊表關閉445端口,單擊“開始”——“運行”,輸入“regedit”,單擊“確定”按鈕,打開注冊表。

1494835630238847.png3.找到HKEY_LOCAL_MACHINE\System\Controlset\Services\NetBT\Parameters,選擇“Parameters”項,右鍵單擊,選擇“新建”——“DWORD值”

1494835662703356.png

4.將DWORD值命名為“SMBDeviceEnabled”,值修改為0

1494835689343660.png

5.重啟機器,查看445端口連接已經沒有了 

1494835717534972.png

6.鑒于本次WannaCry蠕蟲事件的影響巨大,微軟總部決定對已停服的XP和部分服務器版本發布特別補丁,微軟公告詳情https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/,經驗證,XP系統補丁有效。