1、 “永恒之蓝”攻击紧急处置(WannaCry 蠕虫)苏州市信息中心2018 年 01 月 08 日第 1 章 安全通告近期江苏省多地正在遭遇 WannaCry 勒索病毒袭击,网络出现 ONION/Wncry 勒索软件感染情况,磁盘文件会被病毒加密为.onion 后缀,只有支付高额赎金才能解密恢复文件,对重要数据造成严重损失。第 2 章 事件信息根据网络安全机构通报,这是不法分子利用 NSA 黑客武器库泄漏的“永恒之蓝”发起的蠕虫病毒攻击事件。恶意代码会扫描开放 445 文件共享端口的 Windows 机器,无需用户任何操作,只要开机上网,不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、
2、虚拟货币挖矿机等恶意程序。由于以前国内多次爆发利用 445 端口传播的蠕虫,部分运营商在主干网络上封禁了 445 端口,但是教育网并没有此限制,仍然存在大量暴露 445 端口且存在漏洞的电脑,导致目前此蠕虫在教育网内大量传播,大概量级是每天 5000 个用户中招。特别提醒:WanaCry!勒索软件除了通过 ms17-010 的 SMBv1 传播,还可能通过曾经被安装过 NSA DoublePulsar 后门的渠道进行传播,曾被 EternalBlue 攻击并成功安装过 DoublePulsar 后门的系统,即便已安装 ms17-010 补丁仍有可能被该勒索软件感染第 3 章 处置建议3.1 安
3、全操作提示 从目前掌握的情况来看: 1. 不要轻易点击不明附件,尤其是 rtf、 doc 等格式,可以安装360 杀毒软件等相关安全产品进行查杀;2. 及时更新 windows 系统补丁;3. 内网中存在使用相同账号、密码情况的机器请尽快修改密码,未开机的电脑请确认口令修改完毕、补丁安装完成后再进行联网操作。 4. 立即封堵不必要的 SMB 协议(TCP 445 端口) ;5. 针对必须启用 SMB 协议的网络进行深度的 IPS 检测,及时阻断攻击;6. 在网络内部安全域间部署防火墙设备,通过隔离安全域降低攻击的影响范围3.2 修复工具 安全团队开发的勒索蠕虫漏洞修复工具,可根本解决勒索蠕虫利
4、用 MS17-010 漏洞带来的安全隐患。此修复工具集成免疫、SMB 服务关闭和各系统下 MS17-010 漏洞检测与修复于一体。可在离线网络环境下一键式修复系统存在的 MS17-010 漏洞,工具下载地址: http:/ 政务网主机应急处置3.3.1.命令行检查端口开放情况点击 windows 图标,在搜索框中输入 “cmd”在搜索结果中的“cmd”上点击右键单击“以管理员身份运行”按钮3.3.2.针对主机的处置方式3.3.2.1. 方式一:启用蠕虫快速免疫工具采用快速处置方式,建议使用 360 安全卫士的“NSA 武器库免疫工具 ”,可一键检测修复漏洞、关闭高风险服务,包括精准检测出 NS
5、A 武器库使用的漏洞是否已经修复,并提示用户安装相应的补丁。针对 Windows XP、Windows 2003 等无补丁的系统版本用户,防御工具能够帮助用户关闭存在高危风险的服务,从而对 NSA 黑客武器攻击的系统漏洞彻底“免疫”免疫工具的下载地址 http:/ 方式二:启用 windows 防火墙在桌面右下角网络连接处点击右键,单击“打开网络和共享中心” ,在网络和共享中心,点击左下角“Windows 防火墙”字样,打开“Windows 防火墙”管理界面,在左侧功能区点击“打开或关闭 Windows 防火墙” ,打开“自定义设置”界面,分别点击下图中红框内“启用 Windows 防火墙” ,然后点击“确定” ,回到“Windows 防火墙”窗口。在左侧功能区点击“高级设置“字样打开“高级安全 Windows 防火墙“窗口,点击“入站规则”- “新建规则” ,打开“新建入站规则向导”界面,在规则类型页,选择“端口(O) ”,然后点击“下一步” ,在协议和端口页,特定本地端口处,输入“445” ,然后点击“下一步” ,在操作页,选中“阻止连接” ,然后点击下一步,在配置文件页, “何时应用该规则?”处全部选中,然后点击下一步,
