閱讀668 返回首頁    go 阿裏雲 go 技術社區[雲棲]

不容錯過 | “永恒之藍”勒索病毒安全處置FAQ

 

病毒相關


Q

為什麼此次勒索病毒“永恒之藍”感染人數如此之多?

A

此次勒索軟件利用了NSA黑客武器庫泄漏的“永恒之藍”工具進行網絡感染,隻要是Windows XP、Windows2003、Windows Vista、Windows7 、Windows 2008、Windows 10、Windows2012,對外開放445端口(係統默認開放)且沒有更新微軟官方MS17-010漏洞補丁的均有可能被感染,而在國內符合這些條件的PC主機數量非常大,而且經過安恒信息安全專家分析發現該病毒可以通過智能生成IP地址進行網絡感染,所以幾乎一夜間感染量達到數萬台之多。


Q

此次勒索病毒“永恒之藍”受影響操作係統版本是哪些?

A

此次勒索軟件利用了NSA黑客武器庫泄漏的“永恒之藍”工具進行網絡感染,影響範圍如下:


桌麵版本操作係統:

Windows 2000

Windows XP

Windows Vista

Windows7

Windows8

Windows8.1

Windows10


服務器版本操作係統:

Windows Server 2000

Windows Server 2003

Windows Server 2008

Windows Server 2012

Windows Server 2016


安恒信息安全專家強烈建議,如果涉及相關的操作係統一定要采用適當的方式開展係統更新,防止勒索病毒“永恒之藍”感染。


Q

此次勒索病毒“永恒之藍”的勒索方式是怎樣的?

A

此次勒索病毒與先前的勒索方式一樣,采用暗網Tor網絡支付比特幣方式進行勒索,一般勒索數額至少為1個比特幣,折合人民幣至少12000元。

Q

勒索病毒“永恒之藍”被加密的數據能否通過正常途徑進行解密?

A

勒索病毒“永恒之藍”加密方式一般為AES或RSA,加密密鑰掌握在黑客手中,沒有相關密鑰不能正確解密,就相當於你的家門被別人上了一把鎖,但是這把鎖的鑰匙卻掌握在別人的手裏。目前,安恒信息及國內各大安全廠商都在積極分析相關病毒樣本數據,以求獲取能夠查殺、遏製、解密被加密數據的方法。

Q

此次勒索病毒“永恒之藍”對於不連接互聯網的專有網絡有影響麼?

A

安恒信息安全專家根據對目前發現的全網勒索病毒“永恒之藍”樣本分析,並未發現該病毒具有通過存儲介質傳播的能力,但專網中的安全防護、係統補丁更新情況較落後,一旦存在私自外接WiFi等方式導致一台感染病毒後極易造成專網大麵積感染情況,所以建議相關單位做好網絡層麵、主機層安全預防處置。

Q

什麼是“永恒之藍EternalBlue”?

A

“永恒之藍”工具是美國國家安全局開發的漏洞利用程序,於2017年4月14日被黑客組織影子經紀人泄露。盡管微軟於2017年3月14日發布補丁修補了這個漏洞,5月12日“永恒之藍”病毒利用這個漏洞傳播時,很多Windows用戶仍然沒有安裝補丁。由於“永恒之藍”病毒的嚴重性,微軟於2017年5月13日為已超過支持周期的操作係統Windows XP、Windows 8和Windows Server 2003發布了緊急安全更新,以阻止“永恒之藍”病毒的傳播。


“永恒之藍”工具利用的是微軟Windows操作係統的SMBv1協議中的安全漏洞。未經身份驗證的攻擊者可以向目標機器發送特製報文觸發緩衝區溢出,導致在目標機器上遠程執行任意代碼。“永恒之藍”工具會掃描開放445文件共享端口的Windows機器,隻要用戶開機上網,黑客就可能在電腦和服務器中植入勒索軟件。


Q

什麼樣的網絡容易遭受感染?

A

勒索病毒“永恒之藍”是利用Windows操作係統 MS17-010漏洞進行感染的,隻要係統存在相關漏洞,並能夠被其他主機訪問到均有可能受到感染。目前來看,暴露在公網上的445端口受感染的幾率最高,而且一旦被感染後也可以自我感染其他公網主機或者自身所在內網中,其次是辦公內網中,辦公網絡安全防護複雜,極易造成嚴重的大麵積感染情況,再次是服務器區域,而且該區域一旦被感染後損失最大,相關應用、數據等均在此區域,一旦被加密後果不堪設想,內部的專網受感染情況較低。以上幾種網絡環境均需要全麵的安全防護,一旦感染被加密後都會影響到個人、單位、企業的正常運轉。

Q

家庭寬帶、手機4G網絡等個人網絡容易感染勒索病毒麼?

A

家庭寬帶、手機4G網絡都是通過入口網關(路由器等)的方式進行網絡交互的,此次勒索病毒感染的條件是Windows 445端口交互,而在家庭寬帶及手機4G網絡條件下外部網絡不能與內部直接通信,所以家庭寬帶、手機4G較企業網絡更樂觀一些,但安恒信息仍建議做好相關安全防護工作。


 

檢測相關

Q

如何檢測係統是否存在相關Windows MS17-10漏洞?

A

檢測相關IP是否對外監聽445端口,排查是否更新MS17-010補丁兩個條件進行檢測,相關檢測方式如下:

1. 檢測是否對外監聽445端口,可以采用Telnet方式,也可以使用專業的端口掃描工具,如下所示:


1)Telnet命令:telnet [ip 地址] 445


▲ 用Telnet檢測到主機開放445端口


2)使用SoftPerfect Network Scanner進行網絡端口掃描:


▲ 設置掃描端口為445端口


▲ 配置好掃描目標IP段點擊Start Scanning即可


▲ 掃描到的開放445端口的主機


3)使用Nmap進行網絡端口掃描:

# nmap -sS -p 445 -vv 192.168.1.1/24


▲ Nmap掃描445端口(SYN掃描速度快)


2. 檢測係統安裝更新情況

通過檢查係統的更新情況可以知曉係統是否已經針對MS17-010安裝過安全補丁,檢查方法為 “控製麵板”->“程序和功能”->“已安裝更新”(相關布丁編號見https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx )


▲ Windows7係統安全更新情況(上圖未安裝)


Q

我的主機沒有監聽445端口是不是就說明係統是沒有問題的?

A

目前勒索病毒“永恒之藍”的感染途徑為網絡445端口,所以阻斷445端口通信可以防止來自網絡的感染行為,但是係統仍然是不安全的,因為相關安全補丁還未及時更新,安很信息專家建議做好網絡防護後做好相關補丁更新工作。

Q

我的網絡中部署安恒信息專業APT預警平台,是否能夠對相關病毒攻擊行為進行審計告警?

A

明鑒APT預警平台在3月已經針對MS17-010的攻擊開發了專業攻擊預警策略,能夠第一時間審計相關攻擊行為,最快發現攻擊來源及攻擊目標,並及時發出告警,保障係統針對“永恒之藍”病毒爆發、MS17-010攻擊的告警。

 

應急處置相關

Q

已經感染了勒索病毒“永恒之藍”的主機該怎麼處理?

A

已經感染了勒索病毒“永恒之藍”的主機必須第一時間進行網絡隔離處理,防止感染其他主機。直接辦法就是拔掉網線。同時對係統中的數據損失進行分析,拷貝殘留的有價值數據,拷貝完成後對所用的存儲介質進行全麵殺毒處理,並留存相關主機係統。如果要繼續使用已經被感染的設備,安恒信息建議要對相關係統進行全麵重裝,格式化相關硬盤,並重建MBR引導扇區,安裝純淨操作係統,做好全麵安全防護處理後方可連接網絡。

Q

被加密的數據價值遠大於被勒索比特幣的金額,能否通過支付進行加密?

A

勒索病毒加密采用AES或RSA方式加密,正常解密難度非常高。此類勒索病毒勒索方式為Tor洋蔥網絡,支付方式為比特幣,根據國內目前網絡環境及金融環境,支付渠道非常不容易,且有相關受害者在支付後沒有收到相關解密密鑰。安恒信息及國內各大網絡安全廠商均在不遺餘力地開展相關病毒的分析工作,以求找到揭秘被加密數據的方法。

Q

對於未感染設備如何安全防護?

A

未感染的設備請務必做到第一時間斷網處理,防止在加固處理過程中被感染。然後通過主機防火牆加固、漏洞修複方式逐步進行安全防護。

1. 主機防火牆加固:

Windows自帶主機防火牆,能夠通過主機層網絡安全防護,禁止外界445端口連接,保障係統的安全,針對防火牆控製有以下兩種方式:


方法一:Windows vista及以後版本可以采用如下命令方式開啟主機防火牆,並添加TCP 445端口防護策略:

 

echo "請務必以管理員身份運行"

netsh firewall set opmode enable

netsh advfirewall firewall add rule name="deny445" dir=in protocol=tcp localport=445 action=block

 

方法二:

首先啟用Windows防火牆。

“控製麵板”-> 所有控製麵板項 -> Windows防火牆 -> 打開或關閉防火牆


▲ 啟用Windows防火牆配置


然後,針對445端口新建入站策略


▲ Windows防火牆高級設置


▲ 新建端口控製入站規則


▲ 端口選擇TCP 445端口


▲ 操作方式為阻止連接


▲ 選擇相關網絡位置(強烈建議全選)


▲ 填入名稱和描述,點擊完成


▲ 添加防火牆策略後的效果


2.關閉相關服務

Windows 32位關閉445端口批處理(bat):

 

REG ADD HKLM\SYSTEM\CurrentControlSet\services\NetBT\Parameters /v SMBDeviceEnabled /T REG_DWORD /D 0 /F&&sc  config LanmanServer start= disabled&&net stop lanmanserver /y

 

Windows x64位關閉445端口批處理(bat):

 

REG ADD HKLM\SYSTEM\CurrentControlSet\services\NetBT\Parameters /v SMBDeviceEnabled /T REG_QWORD /D 0 /F&&sc  config LanmanServer start= disabled&&net stop lanmanserver /y

 

新建文本文檔,然後複製以上腳本內容,另存為【.bat】格式的文件,並右鍵【管理員運行】,待CMD對話框消失後,重啟電腦即可。


3. MS17-010漏洞修複:

Windows係統更新一般采用Windows update或者第三方係統漏洞修複工具,但由於此勒索病毒通過網絡傳播,在通過網絡更新補丁過程中也即容易造成病毒感染,所以強烈建議通過離線方式進行修複,相關補丁下載參見:https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx


Q

微軟已經放棄了對Windows XP、Windows Server2003等操作係統的安全支持,怎麼進行安全防護?

A

微軟工作真對已經暫停安全支持的Windows XP、Windows Server 2003等操作係統版本特別推出了特殊補丁,大家可以針對相關係統進行安全更新操作,同時安恒信息強烈建議對官方已經不再進行安全支持的操作係統盡快開展升級處理,保障係統的安全。以下提供三條命令關閉Windows XP、Windows Server 2003的445端口監聽,可以關閉相關服務,使用方法為“運行”(Win+R快捷鍵)中依次輸入以下命令即可:

net stop rdr

net stop srv

net stop netbt


Q

Windows官方漏洞補丁下載頁麵打不開,怎麼修複漏洞?

A

勒索病毒“永恒之藍”感染全球範圍內的Windows係列操作係統,造成全世界各地都在針對MS17-010進行漏洞修複工作,導致相關補丁列表頁麵網站打不開或者網絡延時過大,在此安恒信息建議大家耐心刷新幾次,不要圖便利在其他非權威網站下載安全性未知的補丁包,導致感染其他的病毒或者木馬。同時,安恒信息也針對常用的操作係統提供了相關補丁官方下載地址,大家可以放心下載。


Security Update for Windows XP SP3 (KB4012598)

https://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-chs_dca9b5adddad778cfd4b7349ff54b51677f36775.exe

 

Security Update for Windows Server 2003 (KB4012598)

https://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x86-custom-chs_b45d2d8c83583053d37b20edf5f041ecede54b80.exe

 

Security Update for Windows Server 2003 for x64 Systems (KB4012598)

https://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-chs_68a2895db36e911af59c2ee133baee8de11316b9.exe

 

Security Update for Windows 7 (KB4012212)

https://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x86_6bb04d3971bb58ae4bac44219e7169812914df3f.msu

 

Security Update for Windows 7 x64 (KB4012212)

https://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu

 

Security Update for Windows Server 2008 R2 x64 (KB4012212)

https://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu

 

Security Update for Windows10 (KB4012606)

https://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4012606-x86_8c19e23de2ff92919d3fac069619e4a8e8d3492e.msu

 

Security Update for Windows10 x64 (KB4012606)

https://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4012606-x64_e805b81ee08c3bb0a8ab2c5ce6be5b35127f8773.msu

Q

作為網絡管理人員該如何進行控製措施,保障係統安全?

A

網絡管理人員可以針對目前網絡情況進行安全防護,可以從以下方麵入手對網絡環境進行安全加固,防治病毒入侵及感染範圍擴大:


邊界交換機、路由器、防火牆等設備禁止雙向135/137/139/445端口的TCP連接


內網核心主幹交換路由設備禁止雙向135/137/139/445端口的TCP連接


更新入侵防禦、入侵檢測、APT等安全設備漏洞庫,開啟防禦策略


最後更新:2017-05-15 10:02:04

  上一篇:go  “永恒之藍”勒索病毒安全事件應急指導手冊(附工具包)
  下一篇:go  "永恒之藍"勒索病毒凶勐 周一上班請用正確姿勢打開電腦