|
bQz免费翻墙网
1、通过修补Microsoft 安全公告 MS17-010 - 严重安全漏洞补丁https://technet.microsoft.com/zh-cn/library/security/MS17-010,解决 黑客利用SMB的远程代码执行漏洞感染计算机的问题。bQz免费翻墙网
对应操作系统漏洞补丁编号如下:bQz免费翻墙网
| 系统 |
补丁号 |
| Windows Vista/ Windows Server 2008 |
KB4012598 |
| Windows 7/ Windows Server 2008 R2 |
KB4012212/KB4012215 |
| Windows 8.1 |
KB4012213/KB4012216 |
| Windows Server2012 |
KB4012214/KB4012217 |
| Windows Server2012 R2 |
KB4012213/KB4012216 |
| Windows 10 |
KB4012606 |
| Windows 10 1511 |
KB4013198 |
| Windows 10 1607 |
KB4013429 |
2、如果担心补丁稳定性问题,亦可通过如下步骤临时缓解部分系统问题:bQz免费翻墙网
通过运行终端命令关闭SMBbQz免费翻墙网
适用于运行Windows XP的客户解决方法bQz免费翻墙网
net stop rdrbQz免费翻墙网
net stop srvbQz免费翻墙网
net stop netbtbQz免费翻墙网
适用于运行 Windows 8.1 或 Windows Server 2012 R2 及更高版本的客户的替代方法bQz免费翻墙网
对于客户端操作系统:bQz免费翻墙网
1、打开“控制面板”,单击“程序”,然后单击“打开或关闭 Windows 功能”。bQz免费翻墙网
2、在“Windows 功能”窗口中,清除“SMB 1.0/CIFS 文件共享支持”复选框,然后单击“确定”以关闭此窗口。bQz免费翻墙网
3、重启系统。bQz免费翻墙网
对于服务器操作系统:bQz免费翻墙网
1、打开“服务器管理器”,单击“管理”菜单,然后选择“删除角色和功能”。bQz免费翻墙网
2、在“功能”窗口中,清除“SMB 1.0/CIFS 文件共享支持”复选框,然后单击“确定”以关闭此窗口。bQz免费翻墙网
3、重启系统。bQz免费翻墙网
受此临时缓解方法的影响。目标系统上将禁用 SMBv1 协议。bQz免费翻墙网
受此临时缓解方法的影响。目标系统上将禁用 SMBv1 协议。bQz免费翻墙网
有很多用户无法第一时间获取各类补丁,或者由于重要业务无法中断,无法安装补丁,还有很多用户不愿关闭自身的445端口文件共享以及SMB,同时又 不希望自己被Wannacry影响环境内的安全,如果用户已经部署了瑞星虚拟化系统安全软件,那么可以通过开启入侵防御规则,有效解决此次 Wannacry安全威胁,同时不影响当前环境的稳定性。bQz免费翻墙网
用户可以在安全防护终端本地开启IPS规则。bQz免费翻墙网
 bQz免费翻墙网
或者在瑞星虚拟化系统安全软件管理中心为需要保护的系统开启IPS防护规则bQz免费翻墙网
 bQz免费翻墙网
当然如果用户的数据中心使用的是瑞星虚拟化系统安全软件的无代理网络防护功能,我们亦可为用户提供无代理网络防护内的IPS防护功能,通过瑞星虚拟化系统安全软件管理中心为云环境内的虚拟机设置无代理IPS规则,解决数据中心内部的微分段网络内的安全风险。bQz免费翻墙网
 bQz免费翻墙网
(三)将防病毒软件病毒库更新至最新版本解决系统内的WannaCry勒索病毒。bQz免费翻墙网
对于已经部署瑞星虚拟化系统安全软件子产品的用户,可以将安全防护产品更新至2.0.0.40版本(病毒库版本:29.0513.0001)以上,即可解决本地存在的Wannacry勒索病毒。bQz免费翻墙网
 bQz免费翻墙网
 bQz免费翻墙网
用户亦可在更新至最新版本后通知数据中心或管理中心内全部环境上的子产品进行全盘查杀,已解决当前环境内的全部Wannacry安全威胁。bQz免费翻墙网
 bQz免费翻墙网
勒索病毒已经存在很久,并且已经成为最具威胁的恶意代码,由于黑客通过勒索软件可以获取大量的利益,因此,勒索软件的变种速度也极快,给各大安全厂 商带来很多的麻烦,此次勒索软件使用的445共享端口,SMB远程执行漏洞,都是已知的安全缺陷或是安全漏洞,并且微软也已经发布了相应的安全补丁,所以 提升安全防护意识,才是解决安全风险的第一要素。bQz免费翻墙网
三、瑞星网关安全产品解决方案
(一)瑞星导线式防毒墙防护方法bQz免费翻墙网
瑞星导线式防毒墙查杀截图:bQz免费翻墙网
 bQz免费翻墙网
登录导线式防毒墙WEB管理界面,进入【系统管理】》【安全加固】菜单,选择"系统补丁升级"页面,使用瑞星官网最新发布的系统补丁对导线式防毒墙进行系统升级,如图所示:bQz免费翻墙网
 bQz免费翻墙网
登录导线式防毒墙WEB管理界面,进入【系统管理】》【安全加固】菜单,选择"病毒库升级",使用瑞星官网最新发布的病毒库升级包,对导线式防毒 墙进行病毒库的升级,最新版本的病毒库中已经加入了对勒索病毒各种变种病毒文件的检测,完成病毒库升级可以有效的检测并阻断勒索病毒文件的传播,如图所 示:bQz免费翻墙网
 bQz免费翻墙网
打开导线式防毒墙的【配置管理】》【高级配置】菜单,选择"查毒策略"配置页面,对导线式防毒墙的查毒策略进行配置,启用蠕虫病毒检测功能和免疫勒索病毒的处理,启用后,导线式防毒墙将阻断拦截蠕虫病毒和所有经过防毒墙 TCP 445端口的出站、入站请求,如下图所示:bQz免费翻墙网
 bQz免费翻墙网
(二)瑞星UTM2.0防毒墙防护方法bQz免费翻墙网
瑞星UTM防毒墙查杀截图:bQz免费翻墙网
 bQz免费翻墙网
登录瑞星UTM2.0防毒墙WEB管理界面,进入【系统管理】》【系统维护】菜单,选择"软件升级"标签页,使用瑞星官网最新发布的病毒库升级 包,对UTM2.0防毒墙进行病毒威胁库的升级,最新版本的病毒威胁库中已经加入了对勒索病毒各种变种病毒文件的检测,完成病毒库升级可以有效的检测并阻 断勒索病毒文件的传播,如图所示:bQz免费翻墙网
 bQz免费翻墙网
打开【防火墙】》【安全策略配置】菜单,选择"安全策略配置"标签页,在安全策略中点击"增加"添加一条安全策略,如图所示:bQz免费翻墙网
 bQz免费翻墙网
在新增的安全策略配置窗口中,选择服务内容配置项,在下拉菜单最下方选择【增加】,如下图所示:bQz免费翻墙网
 bQz免费翻墙网
新增一个服务对象,服务对象的配置如下图所示:bQz免费翻墙网
 bQz免费翻墙网
点击"确定"后,安全策略中服务内容将会增加一个勒索病毒防护的服务对象,如下图所示,选择新增的服务对象并点击"确定"完成防火墙安全策略的加。bQz免费翻墙网
 bQz免费翻墙网
回"安全策略配置"页面,勾选新增加的安全策略,点击"启用"按钮完成安全策略的启用,如下图所示,启用成功后,新增安全策略的状态变为 bQz免费翻墙网
 bQz免费翻墙网
(三)瑞星下一代防毒墙防护方法bQz免费翻墙网
瑞星下一代防毒墙查杀截图:bQz免费翻墙网
bQz免费翻墙网
登录瑞星下一代防毒墙WEB管理界面,进入【系统管理】》【软件升级】菜单,使用瑞星官网最新发布的病毒库升级包,对下一代防毒墙进行病毒威胁库 的升级,最新版本的病毒威胁库中已经加入了对勒索病毒各种变种病毒文件的检测,完成病毒库升级可以有效的检测并阻断勒索病毒文件的传播,如图所示:bQz免费翻墙网
 bQz免费翻墙网
打开【策略配置】》【安全策略】菜单,点击屏幕下方的"新增"按钮,增加一条新的安全策略,如下图所示,在常规配置标签中,在服务内容下拉菜单最下方点击"添加"增加一条服务对象。bQz免费翻墙网
 bQz免费翻墙网
配置指定的协议和端口,如下图所示,点击"确定"完成服务对象的增加。bQz免费翻墙网
 bQz免费翻墙网
完成增加后在服务对象中选择新增的这条服务对象,如下图所示:bQz免费翻墙网
 bQz免费翻墙网
切换到"其他配置"标签页,将安全策略的处理动作设置为“拒绝”,如下图所示。bQz免费翻墙网
 bQz免费翻墙网
配置完成后,点击“确定”完成策略的增加。bQz免费翻墙网
返回安全策略列表,勾选新增的安全策略,点击下方的"启用"按钮,完成策略的启用,如下图所示,启用成功后,安全策略状态会变为 bQz免费翻墙网
 bQz免费翻墙网
(四)瑞星网络安全预警系统全面监控bQz免费翻墙网
瑞星网络安全预警系统监控截图:bQz免费翻墙网
 bQz免费翻墙网
瑞星网络安全预警系统用户只需升级到最新版本,即可全面监控“永恒之蓝”勒索病毒的全网传播及感染情况。bQz免费翻墙网
四、临时解决方案及建议
1、Win7、Win 8.1、Win 10用户,尽快安装微软MS17-010的官方补丁。https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspxbQz免费翻墙网
2、Windows XP用户,点击开始-》运行-》输入cmd,确定。在弹出的命令行窗口中输入下面三条命令以关闭SMB。bQz免费翻墙网
net stop rdrbQz免费翻墙网
net stop srvbQz免费翻墙网
net stop netbtbQz免费翻墙网
3、升级操作系统的处理方式:建议广大用户使用自动更新升级到Windows的最新版本。bQz免费翻墙网
4、在边界出口交换路由设备禁止外网对校园网135/137/139/445端口的连接。bQz免费翻墙网
5、在校园网络核心主干交换路由设备禁止135/137/139/445端口的连接。bQz免费翻墙网
6、及时升级操作系统到最新版本;bQz免费翻墙网
7、勤做重要文件非本地备份;bQz免费翻墙网
8、停止使用Windows XP、Windows 2003等微软已不再提供安全更新的操作系统。bQz免费翻墙网
bQz免费翻墙网
瑞星客服联系方式:bQz免费翻墙网
bQz免费翻墙网
在线咨询:http://www.sobot.com/chat/h5/index.html?sysNum=4519e624e2c143cca6149a0d39a7227bbQz免费翻墙网
bQz免费翻墙网
电话:01082616666 (7X24小时紧急联系电话:18600176950)bQz免费翻墙网
bQz免费翻墙网
bQz免费翻墙网
bQz免费翻墙网
bQz免费翻墙网
具体病毒行为分析
WannaCry勒索病毒 通过windows操作系统漏洞EternalBlue永恒之蓝 发起攻击。3月14 微软已经发布补丁,由于很多受害者没有及时安装补丁,导致被病毒攻击,计算机中的文件被加密。bQz免费翻墙网
1. 病毒伪装为Windows系统文件bQz免费翻墙网
 bQz免费翻墙网
图:伪装系统文件bQz免费翻墙网
2. 病毒会删除windows自动备份 无法还原被加密的文件bQz免费翻墙网
 bQz免费翻墙网
图:删除备份bQz免费翻墙网
3. 病毒会加密指定类型的文件bQz免费翻墙网
 bQz免费翻墙网
图:加密的文件类型bQz免费翻墙网
4. 加密后的文件添加后缀 .WNCRYTbQz免费翻墙网
 bQz免费翻墙网
图:加密的文件类型bQz免费翻墙网
5. 释放病毒文件bQz免费翻墙网
释放到C:\ProgramData\dhoodadzaskflip373目录下bQz免费翻墙网
bQz免费翻墙网
 bQz免费翻墙网
图:释放的病毒bQz免费翻墙网
6. 伪装为系统服务bQz免费翻墙网
 bQz免费翻墙网
图:伪装为服务bQz免费翻墙网
7. 修改桌面背景 显示勒索信息bQz免费翻墙网
 bQz免费翻墙网
图:勒索信息bQz免费翻墙网
8. 作者的比特币钱包地址bQz免费翻墙网
 bQz免费翻墙网
图:比特币钱包地址bQz免费翻墙网
来自http://it.rising.com.cn/dongtai/18839.htmlbQz免费翻墙网
关于防范Windows操作系统勒索软件Wannacry的情况通报bQz免费翻墙网
国家互联网应急中心bQz免费翻墙网
北京时间5月12日,互联网上出现针对Windows操作系统的勒索软件(Wannacry)攻击案例。勒索软件利用此前披露的Windows SMB服务漏洞(对应微软漏洞公告:MS17-010)攻击手段,向终端用户进行渗透传播,并向用户勒索比特币或其他价值物。包括高校、能源等重要信息系 统在内的多个国内用户受到攻击,已对我国互联网络构成较为严重的安全威胁。bQz免费翻墙网
一、勒索软件情况bQz免费翻墙网
综合CNCERT和国内网络安全企业(奇虎360公司、安天公司等)已获知的样本情况和分析结果,该勒索软件在传播时基于445端口并利用SMB服务漏洞 (MS17-010),总体可以判断是由于此前“Shadow Brokers”披露漏洞攻击工具而导致的后续黑产攻击威胁。4月16日,CNCERT主办的CNVD发布《关于加强防范Windows操作系统和相关软 件漏洞攻击风险的情况公告》,对影子纪经人“Shadow Brokers”披露的多款涉及Windows操作系统SMB服务的漏洞攻击工具情况进行了通报(相关工具列表如下),并对有可能产生的大规模攻击进行了 预警:
3/4 首页 上一页 1 2 3 4 下一页 尾页
|
