关于勒索病毒的应对措施
来源:betway必威日期:2017-05-14点击:53
一、
本次爆发的勒索软件是一个名为“wannacry”的新家族,目前无法解密该勒索软件加密的文件。该勒索软件迅速感染全球大量主机的原因是利用了基于445端口传播扩散的SMB漏洞MS17-010(永恒之蓝)。
安全应急处置策略:
1、 对于已经感染勒索蠕虫的机器设备立即进行隔离处置,进行恢复时针对重要业务系统进行数据备份,针对重要业务终端进行系统镜像,制作足够的系统恢复盘护着设备进行替换。
2、 对于未感染勒索蠕虫的机器设备立即进行数据备份,不点击下载可疑邮件、文件、程序,不访问可疑网站平台。
3、 对尚未发现攻击的机构,网络管理员在网络边界的防火墙上阻断445端口的访问,如果边界上有IPS和360天堤智慧防火墙之类的设备,请升级设备的检测规则到最新版本并设置相应漏洞攻击的阻断,直到确认网内的电脑已经安装了MS17-010补丁或关闭了Server服务。
4、 对于Win7及以上版本的操作系统,目前微软已发布补丁MS17-010修复了“永恒之蓝”攻击的系统漏洞,请立即电脑安装此补丁。出于基于权限最小化的安全实践,建议用户关闭并非必需使用的Server服务。
5、 对于不确定是否成功打补丁的机器,推荐使用360“NSA武器库免疫工具”检测系统是否存在漏洞,并关闭受到漏洞影响的端口,以避免遭到勒索蠕虫病毒的侵害。机构企业用户正确360天擎安全防护功能,在天擎控制台将病毒库升级至2017-05-13版本,检查天擎补丁库版本,确保补丁库升级到1.0.1.2823版本,该补丁库包含3月、4月、5月的高危漏洞。
二、
由于本次Wannacry蠕虫事件的巨大影响,微软总部刚才决定发布已停服的XP和部分服务器版特别补丁https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/
该漏洞的相关说明、补丁:
https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx
三、
针对这次大规模的黑客袭击事件,微软已经发布了相关的补丁 MS17-010 用以修复被 “ Eternal Blue” 攻击的系统漏洞,请大家尽快安装此安全补丁,网址为 https://technet.microsoft.com/zh-cn/library/security/MS17-010;不过对于 windows XP、Windows 2003 等更加久远的系统,微软则不再提供安全补丁。不过如果还有使用老系统并中招的用户可尝试使用 360 “NSA武器库免疫工具”检测系统是否存在漏洞,并关闭受到漏洞影响的端口,可以避免遭到勒索软件等病毒的侵害。
四、
在 Windows 电脑上运行系统自带的免费杀毒软件并启用 Windows Updates 的用户可以免受这次病毒的攻击。Windows 10 的用户可以通过设置-Windows 更新启用 Windows Updates 安装最新的更新,同时可以通过设置-Windows Defender,打开安全中心。
另外,关闭 445、135、137、138、139 端口,关闭网络共享也可以避免中招。方法如下:
1、运行 输入“dcomcnfg”
2、在“计算机”选项右边,右键单击“我的电脑”,选择“属性”。
3、在出现的“我的电脑属性”对话框“默认属性”选项卡中,去掉“在此计算机上启用分布式 COM”前的勾。
4、选择“默认协议”选项卡,选中“面向连接的TCP/IP”,单击“删除”按钮
关闭 135、137、138 端口
在网络邻居上点右键选属性,在新建好的连接上点右键选属性再选择网络选项卡,去掉 Microsoft 网络的文件和打印机共享,和 Microsoft 网络客户端的复选框。这样就关闭了共享端 135 和 137 还有 138端口
关闭 139 端口
139 端口是 NetBIOS Session 端口,用来文件和打印共享。关闭 139 的方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议 (TCP/IP)”属性,进入“高级 TCP/IP 设置”“WINS设置”里面有一项“禁用 TCP/IP的 NETBIOS ”,打勾就可关闭 139 端口。
关闭 445 端口
开始-运行输入 regedit. 确定后定位到 HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Servi ces/NetBT/Parameters,新建名为“SMBDeviceEnabled”的DWORD值,并将其设置为 0,则可关闭 445 端口。
请做好重要文件备份工作,及时采取相应措施。
