抵禦WannaCry勒索病毒,瑞度吹起進攻號角!
文章來自江西瑞度智能科技有限公司
解讀"Wannacry"
北京時間5月12日晚間,全球範圍內有近百個國家遭到大規模網絡攻擊,一款名為WannaCry的惡意勒索軟件在全世界瘋狂蔓延,受攻擊主機被該軟件鎖定大量文件並加密,並被要挾高額比特幣作為數據恢復贖金。截至發稿時,該軟件已經影響到數百個國家,上萬家企業和組織,近百萬臺電腦主機。我國包括教育、能源、政府機構在內的眾多行業用戶也未能幸免,導致大量重要數據無法訪問,造成了嚴重的社會危害和影響。
此次勒索事件與以往相比最大的區別在於,勒索病毒結合了蠕蟲的方式進行傳播,專播方式采用了前不久NSA被泄漏出來的MS17-010漏洞。在NSA泄漏的 文件中,WannaCry傳播方式的漏洞利用代碼被稱為"EternalBlue",所以也有的報道稱此次攻擊為"永恒之藍"。
病毒結合了蠕蟲的方式在局域網進行傳播,每臺中毒的windows終端都會變成傳播者,一傳十,十傳百導致大量終端感染。
勒索軟件的傳播途徑
在互聯網上通過網絡釣魚和郵件附件的方式進行傳播。用戶一旦連接釣魚網站或點擊了攜帶病毒的郵件附件後,用戶將可能中病毒。
勒索病毒文件一旦進入本地,就會自動運行,同時刪除勒索軟件樣本,以躲
中毒的主機會企圖連接局域網中打開445接口的Windows主機,並通過漏洞傳播病毒。
江西瑞度網絡安全解決方案
解決的方式一網絡層面
在邊界去也部署防火墻及入侵檢測系統
1.開啟了TCP端口(139,445 ),建議關閉對該端口的訪問;
2.啟用了入侵規則庫,並且更新到最新版本;
3.啟用了AMP惡意代碼防護及更新;
4.檢查並且攔截針對內部主機的攻擊,減少勒索軟件被植入的可能性;
5.檢測內網中的C&C連接,切斷已有勒索軟件更新密鑰的通路;
解決的方式一郵件方面
部署郵件安全網關
1.開啟Senderbase信營過濾,過濾低信營的郵件發送機構 ;
2.啟用反病毒和反惡意軟件功能,並且更新到最新;
3.對入站的垃圾郵件進行深度分析及防護;
解決的方式一上網行為規範
部署上網行為管理
1.啟用網站的低信營過濾技術;
2.啟用惡意軟件防護功能;
3.檢查URL的訪問,並且過濾可能存在釣魚軟件的URL;
4.檢查終端的異常連接和訪問被攔截記錄;
解決的方式一主機方面
1.安裝MS17-010漏洞補丁
微軟安全公告MS17-010:https://technet.microsoft.com/zh-cn/library/security/MS17-010
對於XP、2003等微軟已不再提供安全更新的機器,推薦使用360 NSA武器庫免疫工具檢測系統是否存在漏洞,並關閉受到漏洞影響的端口,可以避免遭到勒索軟件等病毒的侵害。
免疫工具下載地址:http://dl.360safe.com/nsa/nsatool.exe
2.打開主機防火墻,進入高級設置,禁用文件和打印機共享,或啟用個人防火墻關閉445、135、137、138、139端口;
3.安裝殺毒軟件並更新到最新;
解決的方式一用戶安全意識
對用戶的安全意識進行培訓並建議強調下面幾點:
1.不要打開陌生人或來歷不明的郵件,防止通過郵件附件的攻擊;
2.盡量點擊office宏運行提示,避免來自office組件的病毒感染;
3.需要的軟件從正規(官網)途徑下載,不要雙擊打開“.js”,“.vbs”等後綴名文件;
4.升級病毒軟件到最新的防病毒庫,阻止已存在的病毒樣本攻擊;
5.定期異地備份計算機中重要的數據和文件,萬一中病毒可以進行恢復;
“永恒之藍”勒索蠕蟲漏洞修復工具
360企業安全天擎團隊提供的針對“永恒之藍”勒索蠕蟲所利用漏洞的修復工具。運行該工具後,會自動檢測系統是否存在相關漏洞,並提供修復方法。 該修復工具集免疫、SMB服務關閉和各系統下MS17-010漏洞檢測與修復於一體。可在離線網絡環境下一鍵式修復系統存在的MS17-010漏洞,根本解決勒索蠕蟲利用MS17-010漏洞帶來的安全隱患。
下載
更新時間:2017-05-15 02:50:00
MD5:3b6d7cefd1aacafd2de96d484df570bf
sha1:a93cddfc03341ec84b6a293f8a3caf6d01163b6a
sha256:6c4a68bc28dbff9b98ac119581b11fb41a5ae989426800eb92cc7da5997607ba
註意:以下版本的操作系統,需要手動升級,重啟電腦後再次運行本修復工具進行修復處理。如果暫時不能升級操作系統,可以按照工具提示關閉相關服務,臨時規避風險。
當前系統版本 | 升級目標版本 | 系統升級包下載鏈接 | |
---|---|---|---|
Windows XP | Windows XP x86 | Windows XP x86 SP3(先升級到SP2,然後升級到SP3) | SP2 SP3 |
Windows XP x86 SP1 | Windows XP x86 SP3 | SP3 | |
Windows XP x86 SP2 | Windows XP x86 SP3 | SP3 | |
Windows Server 2003 x86 | Windows Server 2003 x86 | Windows Server 2003 x86 SP2 | SP2 |
Windows Server 2003 x86 SP1 | Windows Server 2003 x86 SP2 | SP2 | |
Windows Vista | Windows Vista x86 | Windows Vista x86 SP2(先升級到SP1,然後升級到SP2) | SP1 SP2 |
Windows Vista x86 SP1 | Windows Vista x86 SP2 | SP2 | |
Windows 7 | Windows 7 x86 | Windows 7 x86 SP1 | SP1 |
Windows 7 x64 | Windows 7 x64 SP1 | SP1 | |
Windows Server 2008 | Windows Server 2008 x86 | Windows Server 2008 x86 SP2 | SP2 |
Windows Server 2008 x86 SP1 | Windows Server 2008 x86 SP2 | SP2 | |
Windows Server 2008 R2 | Windows Server 2008 R2 x64 | Windows Server 2008 R2 x64 SP1 | SP1 |
其它工具:
“永恒之藍”勒索蠕蟲專殺工具
“永恒之藍”勒索蠕蟲免疫工具
恢復445端口工具
江西瑞度智能科技有限公司
為您提供專業的信息安全解決方案
聯系電話:0791-88699625
抵禦WannaCry勒索病毒,瑞度吹起進攻號角!