571
"永恒之藍"勒索病毒凶勐 周一上班請用正確姿勢打開電腦
一、概述
這個周末,對於網絡安全圈來說可以用“血雨腥風”來形容。北京時間5月12日開始,全球範圍內爆發了基於Windows網絡共享協議進行攻擊傳播的“永恒之藍”勒索病毒。截止發稿時為止,包括美國、俄羅斯以及整個歐洲在內的100多個國家,及國內眾多大型企事業單位內網和政府機構專網中招,電腦磁盤上的文件被加密,用戶被勒索支付高額贖金才能解密恢複文件。由於病毒使用的是高強度的RSA和AES加密算法,目前還無法破解。換句話說,用戶一旦中招,基本無解。
鑒於病毒還在全麵傳播,如暫時無法進行係統處置,內網用戶應盡量先斷網關機,等候使用離線工具處理。根據實際情況配置指南的版本會動態持續更新。
經分析,判定該勒索軟件是一個名稱為“WannaCry”的新家族。該勒索軟件迅速感染全球大量主機的原因是利用了基於445端口傳播擴散的SMB漏洞MS17-010,微軟在今年3月份發布了該漏洞的補丁。2017年4月14日黑客組織Shadow Brokers(影子經紀人)公布的Equation Group(方程式組織)使用的“網絡軍火”中包含了該漏洞的利用程序,而該勒索軟件的攻擊者或攻擊組織在借鑒了該“網絡軍火”後進行了這次全球性的大規模攻擊事件。
二、開機防護操作指南
關於尚未感染的用戶群體的詳細防護步驟如下:
1)關閉網絡,開啟係統防火牆;
2)利用係統防火牆高級設置阻止向445端口進行連接(該操作會影響使用445端口的服務)及網絡共享;
3)打開網絡,開啟係統自動更新,並檢測更新進行安裝;
2.1 Win7、Win8、Win10操作指南:
1)關閉網絡:拔下網線,關閉無線路由器,已開機PC可關閉本機無線網卡,或禁用網絡連接。
2)打開控製麵板-係統與安全-Windows防火牆,點擊左側啟動或關閉Windows防火牆
3)選擇啟動防火牆,並點擊確定
4)點擊高級設置
5)點擊入站規則,新建規則,以445端口為例
6)選擇端口、下一步
7)選擇特定本地端口,輸入445,下一步
8)選擇阻止連接,下一步
9)配置文件,全選,下一步
10) 名稱,可以任意輸入,完成即可。
11) 插入網線,啟用網卡,恢複網絡。
12) 開啟係統自動更新,並檢測更新進行安裝
注:在係統更新完成後,如果業務需要使用SMB服務,將上麵設置的防火牆入站規則刪除即可。
2.2XP係統操作流程
1、依次打開控製麵板,安全中心,Windows防火牆,選擇啟用
2、通過注冊表關閉445端口,單擊“開始”——“運行”,輸入“regedit”,單擊“確定”按鈕,打開注冊表。
3、找到HKEY_LOCAL_MACHINE\System\Controlset\Services\NetBT\Parameters,選擇“Parameters”項,右鍵單擊,選擇“新建”——“DWORD值”。
4、將DWORD值命名為“SMBDeviceEnabled”,值修改為0。
5、重啟機器,查看445端口連接已經沒有了。
6、鑒於本次WannaCry蠕蟲事件的影響巨大,微軟總部決定對已停服的XP和部分服務器版本發布特別補丁,微軟公告詳情 https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/。
被感染的用戶補救方案
1)首先拔掉網線,與內網其他機器隔離;
2)參考“二、開機防護操作指南”操作免疫;
3)使用蠕蟲勒索軟件專殺工具(WannaCry)清除病毒;
4)使用PE盤進入操作係統,將可用文件進行備份,並對備份數據進行離線處理;
5)如果重裝係統,重裝後重複2)、3)步驟,並參考做好防護工作。
最後更新:2017-05-15 10:01:59