永恒之蓝勒索病毒完整解决方案

释放双眼,带上耳机,听听看~!

涉嫌泄露百亿条个人用户信息,知名大数据公司被查

据新华社消息:山东日前成功破获一起特大侵犯公民个人信息案,共抓获犯罪嫌疑人57名,打掉涉案公司11家,查获公民信息数据4000GB、数百亿条。 经查 涉案的数据堂公司在8个月时间内,日均传输公民个人信息1亿3千万余条,累计传输数据压缩后约为4000GB左右,公

一.  核心结论

正值我国“一带一路”全球化会议召开期间,北京时间2017512日晚20时左右,在国内大规模爆发勒索攻击,我国大量金融机构、企业、教育网遭受冲击。

勒索攻击名为“wannacryONIONWncry”是早前披露NSA黑客武器库泄漏的“永恒之蓝”发起的攻击事件,目前无法解密该勒索软件加密的文件。磁盘感染后,文件会被加密为.onion后缀,只有支付高额赎金才能解密恢复文件,对重要数据造成严重损失。

攻击行为会扫描开放445文件共享端口的Windows机器,无需用户任何操作,只要开机上网,攻击者就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序。

由于以前国内多次爆发利用445端口传播的蠕虫,部分运营商在主干网络上封禁了445端口,但是教育网并没有此限制,仍然存在大量暴露445端口且存在漏洞的电脑,导致目前此蠕虫在教育网内大量传播,大概量级是每天5000个用户中招。

该勒索攻击迅速感染的原因是利用了基于445端口传播扩散的“SMB漏洞MS17-101”,微软在今年3月份发布了该漏洞的补丁,补丁链接下:

https://technet.microsoft.com/zh-cn/library/security/MS17-010

防护的有效性最终会体现在与攻击者的对抗过程,尽管这次事件带来的损失可能十分惨痛,但能够警醒所有信息管理者,这种后果严重的大规模灾难本质上是一种浅层次风险造成的后果,相对更为深度、隐蔽风险,这些浅层次风险有效完善纵深防御体系和执行能力更是日常信息安全工作的重中之重。

 二.  通用预防解决方案

为防止勒索病毒,以下几个事情一定要做:

1、  备份、备份、备份。重要的事情说三遍。系统和数据一定都要备份。

2、  安装管用的杀毒软件并及时更新病毒库。杀毒软件有很多,要装管用的。

3、  及时给系统和软件打补丁。

4、  不要隐藏文件扩展名。Windows系统默认隐藏已知文件类型扩展名,取消这个选择。

5、  不要轻信任何人发来的链接。

6、  如果发现电脑中有可疑进程,立刻断开网络,比如WIFI


三.  卡巴斯基用户防御措施

3.1确认功能模块

如果你是卡巴斯基用户,请打开电脑,确认卡巴斯基工作正常,确认安装的有系统监控模块和防火墙模块。

 

                           

2.2确认设置

打开设置,确认系统监控功能已打开,确认系统监控设置中的可选项都已选择,默认值都已选中。

 

打开防火墙设置,选择“网络数据包规则”,检查“通过本地端口UDP连接”后的权限设置为“拒绝”,这是系统默认设置,只要没有修改过都没有问题。

2.3、回家睡觉

如果以上功能模块都已安装,且默认设置没有更改,就可以回去睡觉了。卡巴斯基系统监控功能可以在不打补丁、不升级病毒库的前提下有效防御永恒之蓝勒索病毒。


2.4、如果……

如果没有安装系统监控和防火墙功能,请先到微软网站下载MS17-010补丁,然后再确保病毒库更新到最新,就可有效防范永恒之星勒索病毒。下载地址:

https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/ 或我公司网站下载地址:http://www.easybak.com/Home/Support

 

四.  非卡巴斯基用户防御措施

 

4.1  影响范围

此次利用的SMB漏洞影响以下未自动更新的操作系统:

   Windows XP、Windows 2000、Windows 2003

   Windows Vista、Windows Server 2008、Windows Server 2008 R2

   Windows 7、Windows 8、Windows 10

   Windows Server 2012、Windows Server 2012 R2、Windows Server 2016

 

注:以下设备不受影响

安卓手机,iOS设备,MacOS设备,*nix设备、Win10用户如果已经开启自动更新不受影响。

 

4.2  解决办法

4.2.1  网络侧应急解决方案

  • 在边界出口交换路由设备禁止外网对内网135/137/139/445端口的连接。

  • 在内网核心主干交换路由设备禁止135/137/139/445端口的连接。

  • 如果有部署入侵防御等防护系统则尽快检查漏洞库升级,开启防御策略。

  • 发布通知重点留意邮件、移动存储介质等传播渠道,做好重点检查防护工作

4.2.2 终端侧应急 解决方案

注:请扫描内网,发现所有开放445 SMB服务端口的终端和服务器,对于Win7及以上版本的系统确认是否安装了MS07-010补丁,如没有安装则受威胁影响。如果是WindowsXP/2003,请到以下地址下载补丁:https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/。或到我公司网站下载:http://www.easybak.com/Home/Support

警报:新型病毒来袭可清空硬盘所有文件

勒索病毒的正猖狂,最近,又有一种新型电脑病毒被发现,该病毒在感染后,电脑界面会被替换成双眼发光的斯大林,同时无限循环播放苏联国歌。你必须在10分钟内输入正确密码,否则硬盘全部数据都会被清空。       你可以选择紧急切断电源,但是重新开机后,依然

 

1)  利用本地防火墙阻挡防护

Win7、Win8、Win10的处理流程

1、打开控制面板系统与安全-Windows防火墙,点击左侧启动或关闭Windows防火墙

 

2、选择启动防火墙,并点击确定

 

3、点击高级设置

4、点击入站规则,新建规则

 

 

5、选择端口,下一步

 

6、特定本地端口,输入445,下一步

 

7、选择阻止连接,下一步


8、配置文件,全选,下一步

 

9、名称,可以任意输入,完成即可。

 

XP系统的处理流程

1、依次打开控制面板,安全中心,Windows防火墙,选择启用

 

2、点击开始,运行,输入cmd,确定执行下面三条命令

2)  手动下载安装补丁

补丁下载地址

https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

也可以去我公司网站下载:

http://www.easybak.com/Home/Support

 

参考链接:
https://technet.microsoft.com/zh-cn/library/security/MS17-010

五.  已经感染设备应急解决方案

  • 断开网络连接,组织进一步扩散。

  • 优先检查未感染主机的漏洞状况,做好漏洞加固工作后方可恢复网络连接。

  • 已经感染终端,根据终端数据类型决定处置方式,如果重新安装系统则建议完全格式化硬盘、使用新操作系统、完善操作系统补丁、通过检查确认无相关漏洞后再恢复网络连接。

  • 如果有重要数据,建议硬盘封存,等杀毒软件推出解密工具后再进行解密。

 

最后强调一句: 备份、备份、备份。

对备份数据采取321原则,即保持三份备份副本,存储在两种不同的介质上,其中有一份在异地。

 

欢迎关注:大兵说安全

本文源自微信公众号:大兵说安全

这是一篇价值几十万的文章!

上周我发了一篇关于医院行业被勒索病毒攻击的公告文章《注意:新一轮勒索病毒攻击医院行业》,就是这短短一周的时间,又陆续收到多家客户和合作伙伴发来的消息,其服务器感染勒索病毒了,包括HIS\PACS等重要业务服务器被加密。病毒不仅仅是gandcrab5.0.4,还

人已赞赏
安全工具

病毒究竟是怎么自动执行的(下)?

2019-10-14 17:31:12

安全工具

涉嫌泄露百亿条个人用户信息,知名大数据公司被查

2019-10-14 17:31:19

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索