您好,请登录或注册会员中心
网站首页 > 企业动态 > 行业动态

全球爆发比特币勒索病毒攻击,联成这几招帮你防范勒索病毒!!!

2017-05-14 13:23:00 南京联成科技发展股份有限公司 阅读

京联成科技发展股份有限公司

客户书

尊敬的客户:

         您

         当下勒索病毒(ONIONWNCRY)全球范围肆虐传播、蔓延,国家信息技术安全研究中心表示,目前尚无完美解决途径。此,南京联成提醒您:在完美解决方案出台之前次本安全风波完全退却,主动做好安全防护加强工作,在此过程中,我们竭诚配合、协助您做好预防措施


一、 络边界处防火墙、入侵防御系统等安全设备上将其攻击特征库、病毒特征码更新至最新版本;应用部署相关策略以封相关端口的通信;


二、 对于安装部署了企业级防病毒软件的环境,请尽更新、升级其病毒至最新版本;


三、 于业务服务器(物理)请提前做好数据备份工作对于虚拟机系统,做好系统快照工作;并根据业务重要性等合理编排给服务器安装操作系统补丁;


四、 针对于服务器网段端尚未部署安全设备的情况请于关交换机上配置严格的访问控制列表(ACL),对遭此次病毒影响的相端口进行;服务器前端部署有安全设备的,同样更新攻击特征库、病毒特征码、以及部署相关安全策略;


五、 请您于工作日(2017-05-15)将单位领导的PC进行安全加固操作,以避免领导的办公电脑工作文档被勒索病毒加密

 

当您进行上述工作过程中,有任何需要我们提供协助的地方,们将竭力全程配合完成线远程操作、实施指导以下是我们工程师小伙伴负责人联络方式:

李惠忠

15051894870

范利飞

18652062253

陈    曦

15062250826

邓蒙蒙

15373388675

胡尊言

15895981485

陈学军

13805176438

最后,南京联成体成员敬祝您工作愉快,尽早顺利渡过这场安全危机。

具体措施,特别说明如下:

“永恒之蓝”勒索病毒

应急处理方案


事件概述

1.1 事件概述

北京时间5月12日晚间,全球爆发了一系列勒索软件(Wannacry)的感染事件。国内大量企业遭到感染,多个高校的教育网受到感染,导致系统瘫痪。同时英国多家医院,以及俄罗斯、意大利和大部分欧洲国家的多所高校也均被感染,该勒索软件会加密被感染系统上的资料和数据,要求支付相应的赎金才会解密和恢复。


图片1.png


目前,很多大学的官方微博、微信已发出了预警信息,说这段时间国内很多大学的校园网和同学的电脑都中病毒了。不少同学的毕业论文、毕业设计等重要资料已经宣告“沦陷”。

据悉,病毒是全国性的,疑似通过校园网传播,十分迅速。目前贺州学院、桂林电子科技大学、桂林航天工业学院、宁波大学,浙江中医药大学、浙江工商大学、浙江理工大学、大连海事大学、山东大学等众多高校都受到了病毒攻击。

此外,中国多地部分中石油旗下加油站在今日0时左右也突然出现断网,目前无法使用支付宝、微信、银联卡等联网支付方式,只能使用现金支付,加油站加油业务正常运行。

目前已有99个国家遭受了攻击,其中包括英国、美国、中国、俄罗斯、西班牙和意大利。反病毒软件厂商Avast表示,世界各地出现的勒索病毒案例已增加到了7.5万个,并仍在迅速蔓延中。

1.1 影响范围

受影响Windows操作系统: Windows XP、Windows 7、Windows 8、Windows Server 2008、Windows Server 2003、Windows Vista。(安卓手机,iOS设备,MacOS设备,linux设备均不受影响)

 


问题检测

建议使用“NSA武器库免疫工具”,可一键检测修复漏洞、关闭高风险服务,包括精准检测出NSA武器库使用的漏洞是否已经修复,并提示用户安装相应的补丁。针对XP、2003等无补丁的系统版本用户,防御工具能够帮助用户关闭存在高危风险的服务,从而对NSA黑客武器攻击的系统漏洞彻底“免疫”。

NSA 武器库免疫工具

图片2-1.png

图片2.png



事前解决方案

1. 在企业网络边界设备上阻断对445、135、137、138、139端口的访问,并且将设备安全库升级至最新。

2. 为了避免感染设备之后的广泛传播,利用各网络设备的ACL策略配置,以实现临时封堵。

3. 将Windows系统补丁升级到最新,确认已安装MS17-010补丁。

4. 关闭主机445端口,阻断病毒传播

3.1 网络层面安全防护

大型机构由于设备众多,为了避免感染设备之后的广泛传播,建议利用各网络设备的ACL策略配置,以实现临时封堵。

该蠕虫病毒主要利用TCP的445端口进行传播,对于各大企事业单位影响很大。为了阻断病毒快速传播,建议在核心网络设备的三层接口位置,配置ACL规则从网络层面阻断TCP445端口的通讯。

以下内容是基于较为流行的网络设备,举例说明如何配置ACL规则,以禁止TCP445网络端口传输,供以参考。在实际操作中,需协调网络管理人员或网络设备厂商服务人员,根据实际网络环境在核心网络设备上进行配置。

 

3.1.1 深信服设备配置示例

1. 自定义服务


图片3.png


2. 应用控制策略阻止


图片4.png


3. 配置好IPS入侵检测防御


图片5.png


图片6.png


4. 更新规则库到最新状态

图片7.png


3.1.2 Juniper设备配置示例

set firewall family inet filter deny-wannacry term deny445 from protocol tcp

set firewall family inet filter deny-wannacry term deny445 from destination-port 445

set firewall family inet filter deny-wannacry term deny445 then discard

set firewall family inet filter deny-wannacry term default then accept

 

#在全局应用规则

set forwarding-options family inet filter output deny-wannacry

set forwarding-options family inet filter input deny-wannacry

 

#在三层接口应用规则

set interfaces [ 需要挂载的三层端口名称] unit 0 family inet filter output deny-wannacry

set interfaces [ 需要挂载的三层端口名称] unit 0 family inet filter input deny-wannacry

 

3.1.3 华三(H3C)设备配置示例

acl number 3050

rule deny tcp destination-port 445

rule permit ip

interface [需要挂载的三层端口名称]

packet-filter 3050 inbound

packet-filter 3050 outbound

 

3.1.4 华为设备配置示例

acl number 3050

rule deny tcp destination-port eq 445

rule permit ip

 

traffic classifier deny-wannacry type and

if-match acl 3050

 

traffic behavior deny-wannacry

 

traffic policy deny-wannacry

classifier deny-wannacry behavior deny-wannacry precedence 5

 

interface [需要挂载的三层端口名称]

traffic-policy deny-wannacry inbound

traffic-policy deny-wannacry outbound

 

3.1.5 Cisco设备配置示例

ip access-list deny-wannacry

deny tcp any any eq 445

permit ip any any

 

interface [需要挂载的三层端口名称]

ip access-group deny-wannacry in

ip access-group deny-wannacry out

 

3.1.6 锐捷设备配置示例

ip access-list extended deny-wannacry

deny tcp any any eq 445

permit ip any any

 

interface [需要挂载的三层端口名称]

ip access-group deny-wannacry in

ip access-group deny-wannacry out

 

 

3.2 主机层面安全防护

3.2.1 系统补丁安装

Windows操作系统升级针对MS17-010的微软的漏洞补丁,可以采用自动更新或下载更新补丁的方法。

补丁更新地址如下:

Windows Vista、Windows Server 2008

http://www.catalog.update.microsoft.com/search.aspx?q=4012598

 

Windows 7、Windows Server 2008 R2

http://www.catalog.update.microsoft.com/search.aspx?q=4012212

 

Windows 8.1、Windows Server 2012 R2

http://www.catalog.update.microsoft.com/search.aspx?q=4012213

 

Windows RT 8.1

http://www.catalog.update.microsoft.com/search.aspx?q=4012216

 

Windows Server 2012

http://www.catalog.update.microsoft.com/search.aspx?q=4012214

 

Windows XP


图片8.png 

Windows 2003


3.2.2 关闭主机445 端口相关服务

1、点击开始菜单,运行cmd,输入命令netstat –an 查看端口状态。


图片9.png


2、输入以下命令并回车。

net stop rdr

net stop srv

net stop netbt


图片10.png


3、再次输入netsta –an查看成功关闭445 端口。

 

图片11.png  

3.2.3 配置主机级ACL 策略封堵445 端口

开启系统防火墙

利用系统防火墙高级设置阻止向445端口进行连接(该操作会影响使用445端口的服务)

打开系统自动更新,并检测更新进行安装

Win7、Win8、Win10的处理流程

1、打开控制面板-系统与安全-Windows防火墙,点击左侧启动或关闭Windows防火墙

 

图片12.png


2、选择启动防火墙,并点击确定

  

图片13.png


3、点击高级设置

 

图片14.png


4、点击入站规则,新建规则

图片15.png


5、选择端口,下一步

 

图片16.png


6、特定本地端口,输入445,下一步


图片17.png


7、选择阻止连接,下一步


图片18.png


8、配置文件,全选,下一步 

 

图片19.png


9、名称,可以任意输入,完成即可。 

 

图片20.png


事后解决方案

由于该勒索软件的加密强度大,目前被加密的文件还无法解密恢复。针对遭受攻击的情况,建议采取如下措施:

1、在无法判断是否感染该勒索软件的情况下,立即断网,检查电脑主机,修复MS17-010漏洞、关闭445端口。

2、对已经感染勒索软件攻击的机器建议立即隔离处置,防止感染范围进一步扩大。

3、出于基于权限最小化的安全实践,建议用户关闭并非必需使用的Server服务。

4、及时备份重要业务系统数据,针对重要业务终端进行系统镜像,制作足够的系统恢复盘或者设备进行替换。

5、目前亚信、安天、360三家公司已经研发出针对该病毒的最新专杀工具。

亚信专杀下载地址:https://ssfe.asiainfo-sec.com/app#folder/JKKG/%E4%B8%93%E6%9D%80%E5%B7%A5%E5%85%B7/?a=HgdYwHS_CxA。

亚信专杀使用说明:http://support.asiainfo-sec.com/Anti-Virus/Clean-Tool/ATTK_CN/。

安天专杀下载地址:http://www.antiy.com/response/wannacry/ATScanner.zip

安天免疫下载地址:http://www.antiy.com/response/wannacry/Vaccine_for_wannacry.zip。

安天应对说明链接:http://www.antiy.com/response/Antiy_Wannacry_FAQ.html。

360公司免疫工具下载链接:http://b.360.cn/other/onionwormimmune

360公司专杀工具下载链接:http://b.360.cn/other/onionwormkiller

总结

1.及时更新最新的操作系统补丁。

2.关闭操作系统不必要开放的端口如445、135、137、138、139等或关闭server服务。

3.备份重要文件数据。

4.在网络中部署安思易平台及时发现勒索病毒传播情况,切断传播途径,形成针对性的防护策略。

工具+补丁

检测工具+补丁下载地址:

链接:http://pan.baidu.com/s/1nvM9MLN 密码:woaz



附件下载地址:

http://pan.baidu.com/s/1eS8AS2u






京联成科技发展股份有限公司

2017-05-13




>