当前位置:首页 > 通知公告

勒索软件(Wannacry)发出预警通知(附应急处理办法)

来源:   时间:

   5月12日,名为“要加密”(Wannacry)的“蠕虫”式勒索软件在全球较大规模传播。该软件利用Windows SMB服务漏洞,对计算机中的文档、图片等实施高强度加密,并勒索赎金。目前,包括高校、能源等重要信息系统在内的多类用户受到攻击,已对我国互联网络构成较为严重的安全威胁。

  建议互联网用户:

  一、微软已经发布相关的补丁 MS17-010 用以修复被 “Eternal Blue”攻击的系统漏洞,请尽快安装此安全补丁。

  网址为 https://technet.microsoft.com/zh-cn/library/security/MS17-010。对于 windows XP、Windows 2003 等更加久远的系统,微软则不再提供安全补丁,请通过关闭端口的方式进行防护。

  在 Windows 电脑上运行系统自带的免费杀毒软件并启用 Windows Updates 的用户可以免受这次病毒的攻击。Windows10 的用户可以通过设置-Windows 更新启用 Windows Updates 安装最新的更新,同时可以通过设置-Windows Defender,打开安全中心。

  二、关闭 445、135、137、138、139 端口,关闭网络共享,也可以避免中招。

  (一)方法

  1、运行 输入“dcomcnfg”。

  2、在“计算机”选项右边,右键单击“我的电脑”,选择“属性”。

  3、在出现的“我的电脑属性”对话框“默认属性”选项卡中,去掉“在此计算机上启用分布式 COM”前的勾。

  4、选择“默认协议”选项卡,选中“面向连接的TCP/IP”,单击“删除”按钮。

  (二)关闭 445 端口

  开始-运行输入 regedit. ,确定后定位到 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServi cesNetBTParameters,新建名为“SMBDeviceEnabled”的DWORD值,并将其设置为 0,则可关闭 445 端口。

  (三)关闭 135、137、138 端口

  在网络邻居上点右键选属性,在新建好的连接上点右键选属性,再选择网络选项卡,去掉 Microsoft 网络的文件和打印机共享,以及 Microsoft 网络客户端的复选框。这样就关闭了共享端 135 、137、138端口。

  (四)关闭 139 端口

  139 端口是 NetBIOS Session 端口,用来文件和打印共享。关闭 139 的方法是:在“网络和拨号连接”中的“本地连接”中,选取“Internet协议 (TCP/IP)”属性,进入“高级 TCP/IP 设置”“WINS设置”里面有一项“禁用 TCP/IP的 NETBIOS ”,打勾就可关闭 139 端口。

  三、针对WannaCry蠕虫感染应急处理办法 

 (一)已感染主机应急隔离办法

  鉴于WannaCry蠕虫具有极大的危险性,所有已知的被感染主机务必脱离当前工作网络进行隔离处理。

  针对已被蠕虫破坏的文件,截至2017/5/14尚未发现任何有效恢复手段。为防止蠕虫进一步传播,禁止将被感染主机任何文件拷贝至其他主机或设备,严格禁止将已知的被感染主机重新接入任何网络。

  (二)重要文件应急处理办法

  为保证重要文件不被WannaCry蠕虫破坏,最大程度减小损失,所有未受感染主机或不确定是否感染的主机禁止开机。

  对该类型主机需采取物理拷贝的方式进行处理,即:由专业人员打开主机,将全部存放重要文件的硬盘取出,并使用外置设备挂载至确定未受感染的主机进行拷贝。

  为防止二次感染,拷贝出的文件务必在隔离区进行处理。

  严格禁止将可能被感染的硬盘通过IDE、SATA等主板接口直接挂载至拷贝机,以防止拷贝机使用此硬盘启动,从而导致可能的被感染行为。

  对网络中现有的、曾经接入过的所有windows主机都应当采取上述方法进行重要文件备份。

  物理拷贝流程结束后,按照:三、 主机应急检测策略 进行应急检测处理。

  

  对于暂时没有上述条件的或因某些情况必须开机的,务必保证在脱离办公网络环境下保持接入互联网开机(例如4G网络、普通宽带等),同时必须做到全程保持互联网畅通。

  (接入互联网成功的标准为:可以在浏览器中打开以下网站,并看到如图所示内容:

  www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com

  )

  对于无法接入互联网的涉密机,务必在内网配置web服务器,并将上述域名解析至可访问的内网服务器中。

  此内网服务器的主页务必返回以下内容:

  sinkhole.tech - where the bots party hard and the researchers harder.

  

  

  在临时开机处理结束后,关机并进行物理拷贝流程。

    

  四、主机应急检测策略

  针对物理拷贝结束后的主机,需进行以下处理:

  检测被挂载硬盘的windows目录,查看是否存在文件:mssecsvc.exe,如果存在则证明被感染。

  针对其他已开机的主机,检查系统盘windows目录中是否存在文件:mssecsvc.exe;检查系统中是否存在服务mssecsvc2.0(具体操作见本部分结尾)。存在任何之一则证明已受感染。

  针对存在防火墙其他带有日志功能设备的网络,检查日志中是否存在对域名:www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com的解析,若存在则证明网络内存在被感染主机。

  

  针对检测出的受感染主机,务必在物理拷贝流程结束后对所有硬盘进行格式化处理。

  类似主机如果存在2017/4/13之前的备份,可进行全盘恢复操作(包含系统盘以及其他全部),在此时间之后的备份可能已被感染,不得进行恢复。

  

  针对已知存在受感染主机的网络,禁止打开已关闭主机,同时对此类主机进行物理拷贝流程。对于已开机的主机,立即进行关机,并进行物理拷贝流程。

  

  附:检查服务的方法:

  按window + R键打开“运行”窗口:

   

  输入services.msc回车,打开服务管理页面:

    检查“名称”一栏中所有项目,存在mssecsvc2.0则表明被感染。

  五、未受感染主机应急防御策略

  针对未受感染的主机,存在以下四种应急防御策略。

  其中 策略一为最有效的防御手段,但耗时较长。其他策略为临时解决方案,供无法实行策略一时临时使用。

  应用策略二或策略三的主机将无法访问网络中的共享,请慎重使用。

  在无法立即应用策略一时,建议首先应用策略四进行临时防御。无论使用了哪种临时策略,都必须尽快应用策略一以做到完整防御。

    

  针对windows 10版本之下的主机,建议升级至windows 10并更新系统至最新版本。因情况无法升级的,务必使用一种应急防御策略进行防御。

  策略一:安装MS17-010系统补丁

  根据系统版本,安装ms17-010漏洞补丁。其中windows 7以及更高版本可以通过自动更新安装全部补丁获得,windows xp、windows 2003以及windows vista可以通过安装随文档提供的临时工具获得。

  此补丁微软提供的官方下载地址为:

  https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

   

  策略二:关闭漏洞相关服务

  可通过专业人员使用以下命令对漏洞相关服务进行关闭:

  sc stop LmHosts

  sc stop lanmanworkstation

  sc stop LanmanServer

  sc config LmHosts start=DISABLED

  sc config lanmanworkstation start=DISABLED

  sc config LanmanServer start= DISABLE

  

  策略三:配置防火墙禁止漏洞相关端口

  针对windows 2003或windows xp系统,点击开始菜单,并打开“控制面板”。

  在控制面板中双击“windows 防火墙”选项,点击“例外”选项卡,取消勾选“文件和打印机共享”,并点击确定。

    

  针对windows 7及以上系统,点击开始菜单,打开“控制面板”,点击“系统和安全”“Windows 防火墙”。

   

  在windows防火墙配置页面,点击“允许程序或功能通过windows防火墙”选项,点击上方的“更改设置”:

  在列表中找到“文件和打印机共享”的复选框,取消勾选,最后点击确定。

  策略四:使用漏洞防御工具

  360公司提供了蠕虫免疫工具进行临时防御,此工具可以在360网站下载。

  直接执行此工具即可进行简单的临时防御,每次重启主机都必须重新执行此工具。

   六、公网服务器与网络应急安全防御策略

  针对公网服务器(例如网站、公开系统等)多数可以连接至互联网,对于windows 2008 r2及更高版本的服务器,建议打开系统的“自动更新”功能,并安装全部漏洞补丁。

  对于windows 2003服务器,可选择 四、未受感染主机应急防御策略 中的 策略一 进行防御,同时建议尽快升级至更高版本的服务器(如windows 2008 r2等)。

  针对内部网络,需要在保证主机安全的情况下防止可能的传染。

  无需使用共享功能的,可在防火墙、路由器等设备上禁止445端口的访问。

  

  由于此蠕虫使用域名:www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com作为“发作开关”,在无法访问此域名时即刻发作。因此,禁止在防火墙、IPS等网络安全设备上拦截该域名,否则会触发已感染主机的加密流程,造成不可挽回的损失。

  

  使用内网私有dns的,务必配置此域名的解析,并将其指向内网中存活的web服务器。此内网服务器的主页需返回以下内容:

  sinkhole.tech - where the bots party hard and the researchers harder.

  

  


打印
【相关报道】

网站管理:陕西省民政厅
地址:陕西省西安市新城广场省政府东院2号楼
邮编:710006 联系电话:029-63917570