|
bQz免费翻墙网
瑞星客服联系方式:在线咨询:http://www.sobot.com/chat/h5 /index.html?sysNum=4519e624e2c143cca6149a0d39a7227b 电话:01082616666 (7X24小时紧急联系电话:18600176950 / 15611628752)bQz免费翻墙网
技术分析
据瑞星反病毒监测网监测, 这是不法分子通过改造之前泄露的NSA黑客武器库中“永恒之蓝”攻击程序发起的网络攻击事件。“永恒之蓝”通过扫描开放445文件共享端口的 Windows电脑甚至是电子信息屏,无需用户进行任何操作,只要开机联网,不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等 一系列恶意程序。bQz免费翻墙网
利用445文件共享端口实施破坏的蠕虫病毒,曾多次在国内爆发。因此,运营商很早就针对个人用户将445端口封闭,但是教育网并未作此限制,仍然存 在大量开放的445端口。据有关机构统计,目前国内平均每天有5000多台电脑遭到NSA“永恒之蓝”黑客武器的远程攻击,教育网已成重灾区!bQz免费翻墙网
瑞星安全专家分析:该勒索软件利用了微软SMB远程代码执行漏洞CVE-2017-0144,微软已在今年3月份发布了该漏洞的补丁。2017年4 月黑客组织影子经纪人(Shadow Brokers)公布的方程式组织(Equation Group)使用的“EternalBlue”中包含了该漏洞的利用程序,而该勒索软件的攻击者在借鉴了该“EternalBlue”后进行了这次全球性 的大规模勒索攻击事件。bQz免费翻墙网
下载地址
bQz免费翻墙网
内网用户免疫病毒方法
WanaCrypt的主程序启动时,首先会访问http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com,如果可以访问,则会停止工作。bQz免费翻墙网
目前该域名已经被注册,在互联网环境下,WanaCrypt应该已经不再起效。对于无法连接互联网的用 户,可以在本地网络环境中增加该域名的解析,起到抑WanaCrypt活性的作用。或者在本机修改host文件,让该域名指向任意有效HTTP服务,都可 以起到“免疫”的效果。无法连接互联网的用户需要自己手工修改指向一个内部可访问的HTTP服务,防毒墙可以在拦截到这个HTTP请求时返回成功信息。bQz免费翻墙网
瑞星所有产品解决方案
瑞星针对此次“永恒之蓝”发起的蠕虫病毒攻击传播勒索恶意事件,给出相关产品应对措施及风险应对方案。bQz免费翻墙网
一、瑞星终端安全产品解决方案
瑞星杀毒软件网络版查杀截图:bQz免费翻墙网
 bQz免费翻墙网
瑞星安全云查杀截图:bQz免费翻墙网
 bQz免费翻墙网
1. 更新微软MS17-010漏洞补丁,对应不同系统的补丁号对照表:bQz免费翻墙网
ESM版: 2.0.1.29bQz免费翻墙网
10网络版:22.04.63.50bQz免费翻墙网
11网络版:23.00.11.85bQz免费翻墙网
12网络版:24.00.12.60bQz免费翻墙网
13网络版:25.00.03.35bQz免费翻墙网
以上版本带的漏洞扫描功能已经可以支持以上补丁。bQz免费翻墙网
2. ESM产品安装了行为审计、防火墙组件的用户可以设置防火墙规则(XP或非XP系统都可以)bQz免费翻墙网
 bQz免费翻墙网
使用行为审计\IP规则策略,设置端口规则bQz免费翻墙网
- 启用端口规则,根据需要考虑是否勾选“阻止访问时通知用户”
- 从右边增加一条新端口规则,勾选离线生效
- 选择“单个端口”,并设置端口号为445
- 协议选择TCP,方向选择入站
- 注意“允许联网”不要勾选,表示拒绝访问
3. 网络版产品设置防火墙规则bQz免费翻墙网
通过控制,给组设置防火墙组规则,右键组,出操作菜单,设置防火墙规则bQz免费翻墙网
 bQz免费翻墙网
 bQz免费翻墙网
 bQz免费翻墙网
特别注意“常规”里一定要选择“禁止”,协议里协议类型选TCP,对方端口选任意端口,本地端口选指定端口,并填445bQz免费翻墙网
4. 使用公安专版或只有杀毒模块的用户bQz免费翻墙网
瑞星杀毒软件会进行病毒库紧急升级,用来查杀相应的病毒。 因为公安专版、单杀毒模块产品上就即不带漏洞补丁修复,又不带防火墙功能,所以请使用公安网内部的其他方式安装系统补丁或配置防火墙规则(也可参考下一条说明方案)进行防御措施。bQz免费翻墙网
5. 没有防火墙功能的用户,可以在终端上执行以下命令bQz免费翻墙网
netsh firewall set opmode enablebQz免费翻墙网
netsh advfirewall firewall add rule name="deny445" dir=in protocol=tcp localport=445 action=blockbQz免费翻墙网
netsh advfirewall firewall add rule name="deny139" dir=in protocol=tcp localport=139 action=blockbQz免费翻墙网
netsh firewall set portopening protocol=TCP port=445 mode=disable name=deny445bQz免费翻墙网
netsh firewall set portopening protocol=TCP port=139 mode=disable name=deny139bQz免费翻墙网
也可以将上述命令保存为.bat批处理文件,管理员权限直接运行,制作.bat批处理文件方法:bQz免费翻墙网
- 新建一个文本文件
- 把上述命令拷贝到文件里,并保存
- 重命名.txt后缀改为.bat
二、瑞星云安全产品解决方案
(一)关闭系统445文件共享端口bQz免费翻墙网
1、安装了瑞星虚拟化系统安全软件最新版windows安全防护终端的用户可以在 “网络防护”功能中增加新的“IP规则”以关闭445端口,防止黑客通过445端口共享入侵感染系统。具体步骤如下:bQz免费翻墙网
 bQz免费翻墙网
开启windows安全防护终端的“网络防护”功能bQz免费翻墙网
 bQz免费翻墙网
在“IP规则”中增加禁用共享445端口的规则设置bQz免费翻墙网
 bQz免费翻墙网
亦可通过瑞星虚拟化系统安全软件管理中心进行规则设置bQz免费翻墙网
 bQz免费翻墙网
通过系统管理中心的终端管理对终端规则进行设置bQz免费翻墙网
 bQz免费翻墙网
设置终端的“IP规则”bQz免费翻墙网
 bQz免费翻墙网
增加禁用共享445端口的规则设置bQz免费翻墙网
 bQz免费翻墙网
注:此设置方法也可应用于策略模板生成,生成的模板可以批量应用于环境内的所有终端。bQz免费翻墙网
2、使用了瑞星虚拟化系统安全软件华为无代理防火墙的用户,亦可通过增加防火墙规则,关闭445共享端口,实现无代理网络安全防护。设置方法如下:bQz免费翻墙网
 bQz免费翻墙网
增加无代理防火墙禁用共享445端口的规则bQz免费翻墙网
 bQz免费翻墙网
3、如果没有使用瑞星虚拟化系统安全软件的网络防护功能,也可采用以下临时解决方案暂时缓解安全问题:bQz免费翻墙网
A.打开“Windows防火墙”,在“高级设置”的入站规则里禁用“文件和打印机共享”相关规则。bQz免费翻墙网
B.或通过在终端上执行命令关闭445端口共享,命令如下:bQz免费翻墙网
netsh firewallbQz免费翻墙网
set opmode enablebQz免费翻墙网
netsh advfirewallbQz免费翻墙网
firewall add rule name=”deny445” dir=in protocol=tep localport=445 action=blockbQz免费翻墙网
通过管理员权限直接运行即可。bQz免费翻墙网
(二)针对SMB远程代码执行漏洞进行补丁修补
2/4 首页 上一页 1 2 3 4 下一页 尾页
|
