1.背景介紹
? ? ? 2017年5月12日起, 全球性爆發(fā)基于Windows網(wǎng)絡(luò )共享協(xié)議進(jìn)行攻擊傳播的蠕蟲(chóng)惡意代碼, 經(jīng)研究發(fā)現這是不法分子通過(guò)改造之前泄露的NSA黑客武器庫中“永恒之藍”攻擊程序發(fā)起的網(wǎng)絡(luò )攻擊事件?!坝篮阒{”通過(guò)掃描開(kāi)放445文件共享端口的Windows電腦甚至是電子信息屏,無(wú)需用戶(hù)進(jìn)行任何操作,只要開(kāi)機聯(lián)網(wǎng),不法分子就能在電腦和服務(wù)器中植入勒索軟件、遠程控制木馬、虛擬貨幣挖礦機等一系列惡意程序。
? ? ? 該蠕蟲(chóng)迅速感染全球大量主機的原因是利用了基于445端口傳播擴散的SMB漏洞MS17-010,微軟在今年3月份發(fā)布了該漏洞的補丁。2017年4月14日黑客組織Shadow Brokers(影子經(jīng)紀人)公布的Equation Group(方程式組織)使用的“網(wǎng)絡(luò )軍火”中包含了該漏洞的利用程序,而該勒索軟件的攻擊者或攻擊組織在借鑒了該“網(wǎng)絡(luò )軍火”后進(jìn)行了這次全球性的大規模攻擊事件。
? ? ??經(jīng)過(guò)分析,該蠕蟲(chóng)名稱(chēng)為“WannaCry”,感染該蠕蟲(chóng)后會(huì )加密系統中的照片、圖片、文檔、壓縮包、音頻、視頻、可執行程序等幾乎所有類(lèi)型的文件,被加密的文件后綴名被統一修改為“.WNCRY”,由于加密強度大、沒(méi)有密鑰的情況下,暴力破解需要極高的運算量,導致目前無(wú)法解密該勒索軟件加密的文件。
? ? ? 部分運營(yíng)商在主干網(wǎng)絡(luò )上封禁了445端口,而內部專(zhuān)用網(wǎng)絡(luò )對安全風(fēng)險的敏感度相對較低,所以受蠕蟲(chóng)的影響較大。
2.大批量設備解決方案
? ? ??已部署遠望終端安全監管防護系統的用戶(hù),請大家按以下流程操作。
2.1阻止擴散
? ? ? 從管理界面打開(kāi)“防火墻”策略,并按如下配置后分配到所有設備。
2.2減少感染途徑
? ? ? 從管理界面打開(kāi)“外設控制”策略,并按如下配置后分配到所有設備,減少通過(guò)USB移動(dòng)存儲設備的感染風(fēng)險。
2.3評估感染面
? ? ??從管理界面打開(kāi)“進(jìn)程運行檢查”策略,并按如下配置后分配到所有設備。
? ? ? taskse.exe、taskdl.exe、 @WanaDecryptor@.exe為WannaCry的運行進(jìn)程。
? ? ??按上述配置后如果計算機被感染了,客戶(hù)端會(huì )自動(dòng)斷開(kāi)該計算機的網(wǎng)絡(luò )連接,避免擴散,同時(shí)被感染的設備信息會(huì )上報至管理端,管理員可聯(lián)系當事人排除問(wèn)題。
2.4隔離受感染的設備
? ? ?如果大量設備被感染,建議從管理界面打開(kāi)“未注冊認證”策略,并按如下配置后分配到所有設備,確保未被感染設備的安全。
2.5分發(fā)修復工具
? ? ??從管理界面打開(kāi)“文件分發(fā)”策略,將修復工具(第三方提供)分發(fā)到所有感染的設備,然后通過(guò)2.3評估感染消除情況。
3.單機解決方案
? ? ?未部署遠望終端安全監管防護系統的用戶(hù),請按以下方案逐臺處理。
3.1端口開(kāi)放檢查
? ? ?開(kāi)始---->運行---->cmd,或者是window+R組合鍵,調出命令窗口,輸入命令:netstat -ano,列出所有端口的情況。在列表中我們觀(guān)察開(kāi)放的445端口。
3.2本地防火墻配置方法
? ? ??本地防火墻配置需要逐臺設備調整,步驟如下:
3.3手動(dòng)安裝補丁
? ? ? 下載微軟補丁進(jìn)行修復,鏈接地址:https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx