“WannaCry”來(lái)襲，遠望在行動(dòng)（二）

發(fā)布日期：2017/05/15

? ? ? 北京時(shí)間2017年5月12日，全球爆發(fā)大規模勒索軟件感染事件，截止到目前，已有近百個(gè)國家超過(guò)10萬(wàn)家企業(yè)和公共組織數十萬(wàn)臺機器感染。國內被感染的組織和機構幾乎覆蓋了所有地區，影響范圍遍布高校、火車(chē)站、自助終端、郵政、加油站、醫院、政府辦事終端等多個(gè)領(lǐng)域，被感染的電腦數字還在不斷增長(cháng)中。一旦被感染，電腦中的文檔、圖片、壓縮包、音頻、視頻、可執行程序等幾乎所有類(lèi)型的文件都會(huì )被加密，目前業(yè)內也沒(méi)有解決方案對其解密還原，主流方案也以防御為主。

? ? ? 遠望信息將持續報告事件動(dòng)態(tài)，本文基于“遠望在行動(dòng)（一）”對解決方案進(jìn)行了更新細化。

? ? ??上期鏈接：http://mp.weixin.qq.com/s/AkUoITTP0GkwdSP6uavtXQ

“周一”個(gè)人電腦開(kāi)機指南

? ? ? 由于該事件發(fā)生在周末，個(gè)人電腦都處于關(guān)機狀態(tài)，感染對象以服務(wù)器為主，周一上班后個(gè)人電腦均會(huì )開(kāi)機，我們需要做好開(kāi)機預案，規避風(fēng)險。

? ? ??1.1 直接拔掉網(wǎng)線(xiàn)，筆記本電腦還需關(guān)閉無(wú)線(xiàn)網(wǎng)卡，如無(wú)法關(guān)閉無(wú)線(xiàn)網(wǎng)卡，應在撥出網(wǎng)線(xiàn)后，關(guān)閉所連接的無(wú)線(xiàn)路由器。

? ? ? 1.2 準備大容量的移動(dòng)U盤(pán)或者光盤(pán)。

? ? ? 1.3 開(kāi)機后使用相應的免疫工具，禁用系統服務(wù)、修改hosts文件、設置ipsec本地組策略等多種方式對勒索軟件WannaCry的傳播途徑進(jìn)行有效阻斷。

? ? ??1.4 完成免疫后，再使用專(zhuān)殺工具，對已經(jīng)感染的電腦進(jìn)行勒索軟件的清除。

? ? ? 1.5 如已被感染，可使用文件恢復工具，對加密文件進(jìn)行恢復處理。

? ? ??（如需上述工具，請聯(lián)系遠望信息技術(shù)人員。）

已部署遠望終端安全監管防護系統解決方案

? ? ? 遠望信息從預防和控制兩方面入手，有效阻止“WannaCry”的繼續侵入及蔓延。

1 預防

1.1 阻止擴散

? ? ??從管理界面打開(kāi)“防火墻”策略，并按如下配置后分配到所有設備。

1.2 分發(fā)修復工具

? ? ? 通過(guò)文件分發(fā)下發(fā)免疫工具、專(zhuān)殺工具，并開(kāi)啟默認執行。

2 控制

2.1 減少感染途徑

? ? ? 從管理界面打開(kāi)“外設控制”策略，并按如下配置后分配到所有設備，減少通過(guò)USB移動(dòng)存儲設備的感染風(fēng)險。

2.2 評估感染面

? ? ??從管理界面打開(kāi)“進(jìn)程運行檢查”策略，并按如下配置后分配到所有設備。禁止運行的進(jìn)程名稱(chēng)：mssecsvc.exe、tasksche.exe、tor.exe、taskdl.exe、taskse.exe、@wanadecryptor@.exe。

? ? ? 當系統檢測到上述進(jìn)程后，自動(dòng)斷開(kāi)電腦的網(wǎng)絡(luò )連接，避免擴散。

未部署遠望終端安全監管防護系統解決方案

1.1 端口開(kāi)放檢查

? ? ? 開(kāi)始---->運行---->cmd，或者是window+R組合鍵，調出命令窗口，輸入命令：netstat -ano，列出所有端口的情況。在列表中我們觀(guān)察開(kāi)放的445端口。

1.2 本地防火墻配置方法（禁止135、137、139、445端口的連接）

? ? ? 本地防火墻配置需要逐臺設備調整，步驟如下：

1.3 手動(dòng)安裝補丁

? ? ??微軟官方地址：https://technet.microsoft.com/library/security/MS17-010

? ? ? 百度云盤(pán)：http://pan.baidu.com/s/1nuSzjGP

? ? ??由于本次WannaCry蠕蟲(chóng)事件的巨大影響，微軟總部發(fā)布XP和部分服務(wù)器版特別補?。?

? ? ??https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-f

1.4 做好重要文件的備份工作（非本地備份）

1.5 如無(wú)需使用共享服務(wù)建議關(guān)閉該服務(wù)

右擊網(wǎng)絡(luò )圖標，點(diǎn)屬性

點(diǎn)擊更改高級共享設置

有專(zhuān)網(wǎng)、來(lái)賓或公網(wǎng)、所有網(wǎng)絡(luò )三項

都進(jìn)行關(guān)閉即可

1.6 注冊域名

? ? ??最新分析結論表明，“WannaCry”的觸發(fā)機制為是否能訪(fǎng)問(wèn)iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com，如果訪(fǎng)問(wèn)成功，則不會(huì )觸發(fā)勒索功能。根據此結論，網(wǎng)絡(luò )管理人員可以通過(guò)在內部網(wǎng)絡(luò )搭建DNS Server，將iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com域名地址解析到內網(wǎng)WEB Server的IP地址，同時(shí)WEB Server可以接受該域名的連接請求，從而實(shí)現免疫。同時(shí)，也可以監測內網(wǎng)訪(fǎng)問(wèn)該域名的用戶(hù)IP地址和用戶(hù)數量統計出內部用戶(hù)的感染情況。該方法對“WannaCry2.0”無(wú)效