422
84小時,230台服務器,袋鼠雲和客戶一起全力阻擊WannaCrypt蠕蟲病毒
1
——
上周全球最轟動的事件,莫過於WannaCrypt蠕蟲病毒的蔓延
上周五起(美國時間 5 月 12 日,北京時間淩晨),從英國和西班牙開始,惡意軟件 WannaCrypt 迅速蔓延到全球,該病毒阻止客戶訪問自己的數據,除非用戶以比特幣方式支付贖金。
WannaCrypt 利用了從美國國家安全局(NSA)竊取的漏洞利用工具進行攻擊。媒體從病毒爆發時到如今持續報道,一時成為焦點和熱點,各安全廠商股票紛紛漲停,袋鼠雲一家關係民生,關係社會治安的政府客戶,也不幸遭受此次病毒重創,數據丟失,係統癱瘓。
WannaCry也被稱為WannaCrypt / WannaCrypt0r,此病毒文件的大小3.3MB,是一款蠕蟲勒索式惡意軟件,由不法分子利用NSA(National Security Agency,美國國家安全局)泄露的危險漏洞“EternalBlue”(永恒之藍)進行傳播。
除 Windows 10係統外,所有未及時安裝 MS17-010補丁的 Windows係統都可能被攻擊。WannaCry通過 MS17-010漏洞進行快速感染和擴散,使用 RSA加密算法對文件進行加密,刪除原文件,阻止客戶訪問自己的數據,除非用戶以比特幣方式支付贖金。
一旦某個電腦被感染,同一網絡內存在漏洞的主機都會被它主動攻擊,因此受感染的主機數量迅速蔓延。安全機構全球監測已經發現目前多達74個國家遭遇本次敲詐者蠕蟲攻擊。
2
——
對WannaCrypt蠕蟲病毒,唯“快”不破
我們都知道RSA加密幾乎不可能被破擊,所以唯有快速出擊,回應,及時止損和係統維護,做好安全防範措施,避免更大影響。
作為處在一線的戰鬥方,從病毒爆發起,我們就快速響應,全力協調工程師資源和采取措施進行搶救,在寫這篇文章之前,袋鼠雲已經和自己的客戶並肩奮鬥了84個小時,盡最大努力將病毒控製,防止進一步的感染或傳播。
到周日上午9時,雖然病毒蔓延已經基本被控製住,但我們仍然要為客戶業務係統的恢複繼續戰鬥。
袋鼠雲和客戶全力狙擊WannaCry 2.0工作表
5月13日
防禦
已完成
5月14日
防禦、加固
已完成
5月15日
加固
已完成
5月16日
加固
階段性勝利
5月17日
業務係統恢複
恢複中
···
業務係統恢複
恢複中
在此,袋鼠雲非常感謝戰鬥在一線的工程師們、安全專家們、開發商、合作夥伴們,大家辛苦了,因為大家的堅持和努力,這次病毒事件我們扛住了,更沒有要了我們的命。
而對於和我們戰鬥在一線的客戶,我們謝謝大家的支持和信任,袋鼠雲不會逃避困難,對於客戶的合理需求,我們都全力以赴。
3
——
5月13日,5月14日
與阿裏雲合作夥伴一起,我們在采取了如下防禦措施
1、在網絡和安全這層,對於每台Windows服務器的445、139端口的入方向進行隔離操作
2、對健康未感染的Windows 服務器的IP安全策略實施445、139入方向禁止操作
3、對於感染的Windows服務器進行關機,避免正常數據文件被加密
4、安裝MS17-010係統補丁、多渠道通知,公布官方MS17-010補丁鏈接
5、安裝免疫防護工具
6、檢查服務器的賬號密碼,修改為強口令密碼並定期更新密碼
7、向用戶發布疫情信息,要求辦公電腦采取防禦措施,提供合理的方法,避免周一上班二次病毒爆發
8、建議安裝防病毒軟件、殺毒軟件,推薦MSE(Microsoft Security Essentials)、企業版卡巴斯基、諾頓等
4
——
5月14日、5月15日、5月16日
後續的防禦和加固措施
如下:
1、搭建https://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com 服務器查找感染,防止傳播;
2、在網絡和安全這層,對於每台Windows服務器禁止135、137端口入方向訪問
3、對健康未感染的Windows 服務器的IP安全策略實施禁止135、137入方向訪問
4、發現服務器會對外請求445端口,在網絡、安全、服務器禁止445、135、137、139的出方向,阻隔病毒傳播。
5、做好係統快照和係統備份
5
——
接下來1-2周,工作重心轉向業務係統的恢複
1、為受災的業務係統申請ECS資源,重新搭建業務係統進行恢複
2、對於感染的數據庫,采用數據備份恢複,或嚐試搶救恢複數據,方式是數據盤做快照備份後,采用部分安全廠商數據恢複工具嚐試恢複數據。
3、對於健康服務器做快照備份,數據庫做好數據備份和容災
6
——
道阻且長,袋鼠寶寶們仍將上下而求索
基於這次勒索病毒事件,顛覆了我們專網比公網安全的認知,袋鼠雲也對以往工作進行了總結和反思:
1、對於所有係統,做好補丁升級工作,推動局方搭建WSUS(Windows Server Update Services)和Yum Server,做好內網係統的補丁升級
2、按安全等保要求,對整個係統平台進行安全加固,
最後更新:2017-06-15 11:31:43