5月12日晚間,全球近100個(gè)國(guó)家的微軟系統(tǒng)計(jì)算機(jī)同時(shí)遭到名為WannaCry(想哭嗎)或Wanna Decryptor(想解鎖嗎)的電腦病毒襲擊。想要被感染病毒的計(jì)算機(jī)解除鎖定,只能向?qū)Ψ街Ц端蟮谋忍貛?���,否則硬盤將被徹底清空�����。
比特幣勒索病毒到底有多可怕?
病毒在受害者電腦上彈出勒索8比特幣才給解密的提示框
目前勒索病毒已肆虐中國(guó)多所高校���。而國(guó)家網(wǎng)絡(luò)與信息安全中心也發(fā)布了防勒索病毒補(bǔ)丁地址�。
這次勒索病毒襲擊事件來(lái)勢(shì)洶洶,儼然一場(chǎng)空前的大災(zāi)難�����,很多媒體都用了“淪陷”“危險(xiǎn)����!”等字樣。但實(shí)際上��,只要我們的電腦系統(tǒng)經(jīng)常更新�,就不會(huì)受此次病毒攻擊。微軟今年3月份的安全更新中�����,就有針對(duì)這次勒索病毒利用的漏洞的安全修補(bǔ)程序��。
這次在全球爆發(fā)的病毒襲擊��,也說(shuō)明了兩點(diǎn):世界上沒(méi)有絕對(duì)安全的系統(tǒng);別說(shuō)任何程序后門只要掌握在“好人”手里就是安全的。
此次勒索病毒的前身��,是之前泄露的NSA黑客武器庫(kù)中的“永恒之藍(lán)”攻擊程序���,如今被不法分子改造后變成了現(xiàn)在的勒索軟件�����。
這跟實(shí)驗(yàn)室里的生物病毒被盜取后,如不向其支付金錢,就將病毒投放到社會(huì)上傳播一樣����。而如果大家有印象��,就會(huì)記得,去年年初美國(guó)FBI與蘋果等硅谷公司之間有過(guò)一場(chǎng)爭(zhēng)論,即電子產(chǎn)品是否應(yīng)為執(zhí)法部門留下“后門”��,以便用于打擊恐怖分子�����。
現(xiàn)在大家應(yīng)該心里有了答案����。沒(méi)有人能制造絕對(duì)的安全系統(tǒng)����,也沒(méi)有絕對(duì)安全、只為“好人”所使用的“后門”����。
只要工具制造出來(lái)了�,壞人總會(huì)有辦法拿到——在這個(gè)世界上����,也沒(méi)有只能為“好人”所用的武器。
工具沒(méi)有好壞���,決定其利弊的,是使用它的人���。
系統(tǒng)的安全性永遠(yuǎn)是相對(duì)的。如果黑客想要針對(duì)你的電子設(shè)備進(jìn)行攻擊,你基本上沒(méi)有任何可能幸免于難�。
只不過(guò)����,對(duì)于類似的沒(méi)有針對(duì)具體個(gè)人的計(jì)算機(jī)病毒����,普通用戶仍有辦法逃過(guò)一劫�����。勒索病毒雖難根治���,卻可以預(yù)防��。
像前面說(shuō)的���,如果及時(shí)更新了系統(tǒng)��,打上安全漏洞補(bǔ)丁,這次攻擊就與你無(wú)關(guān)�。
對(duì)國(guó)內(nèi)公眾來(lái)說(shuō)���,更新系統(tǒng)版本����,并使用正版的系統(tǒng)���,也尤為重要���。這次襲擊發(fā)生后�,會(huì)發(fā)現(xiàn),很多人的系統(tǒng)仍停留在Windows XP這種已被微軟公司停止支持的系統(tǒng)��。微軟公司此次不得不發(fā)布特別的補(bǔ)丁以幫助用戶消除威脅�。
但如果某些人的系統(tǒng)是盜版的,那只能通過(guò)其他方式解決了?���,F(xiàn)在大家為內(nèi)容、為音樂(lè)等版權(quán)支持費(fèi)用的習(xí)慣正慢慢養(yǎng)成����,在系統(tǒng)安全方面不妨也有此意識(shí)��。
除此之外,備份系統(tǒng)和資料也是“必備修養(yǎng)”��。其實(shí)人們最初買來(lái)的筆記本����,都安裝了正版系統(tǒng),只是后面由于出了各種問(wèn)題����,不會(huì)或不能恢復(fù)系統(tǒng)時(shí)�����,就直接通過(guò)盜版系統(tǒng)重裝。而如果有備份習(xí)慣,出問(wèn)題時(shí)�����,掌握一點(diǎn)技巧就能將電腦恢復(fù)到任意時(shí)間點(diǎn)的狀態(tài)���,更不怕這種勒索病毒了����。
勒索病毒依舊可防范,但它在全球的爆發(fā)也說(shuō)明�,世上沒(méi)有絕對(duì)的安全系統(tǒng)���。
現(xiàn)在我們?cè)絹?lái)越依賴于電子設(shè)備,無(wú)論是電腦還是智能手機(jī)等移動(dòng)設(shè)備,上面加載了我們很多重要的隱私、安全信息����。但世上沒(méi)有絕對(duì)的安全系統(tǒng)����,唯一能保證電子設(shè)備相對(duì)安全的����,就是養(yǎng)成好的習(xí)慣。
接下來(lái)
小編要大聲說(shuō)三遍
請(qǐng)注意��!
下面的這項(xiàng)防病毒技能
大家一定要get到!
為了避免周一上班后剛開(kāi)機(jī)就被感染病毒,導(dǎo)致硬盤所有文件被惡意加密�����,請(qǐng)?jiān)陂_(kāi)機(jī)前先斷網(wǎng)����,并按順序執(zhí)行如下防護(hù)操作:
?1.斷網(wǎng)。拔下網(wǎng)線��!拔下網(wǎng)線�!拔下網(wǎng)線!重要的事情說(shuō)三遍����。
?2.咨詢本單位網(wǎng)絡(luò)安全管理員���,索取windows補(bǔ)丁安裝光盤�。
?3.開(kāi)機(jī)�。注意!凡是已經(jīng)發(fā)現(xiàn)自己電腦已經(jīng)中病毒的��,文件被加密的��,禁止接入網(wǎng)絡(luò)!禁止接入網(wǎng)絡(luò)!禁止接入網(wǎng)絡(luò)�!
?4.使用光盤安裝windows補(bǔ)丁�。
?5.用不同介質(zhì)(光盤等)備份電腦里的重要文件����。
?6.確認(rèn)445端口關(guān)閉。本機(jī)cmd窗口執(zhí)行命令"netstat -ano | findstr ":445""���,回車后無(wú)任何返回。
?7.確認(rèn)光盤補(bǔ)丁已經(jīng)安裝完畢后��,再聯(lián)網(wǎng)檢查更新打補(bǔ)丁��。這幾天微軟補(bǔ)丁更新服務(wù)器訪問(wèn)流量太大�����,連接速度很慢,請(qǐng)大家多試幾次����。
所有使用windows操作系統(tǒng)的主機(jī)都有可能被感染�����,尤其是各單位的“教育網(wǎng)”、“內(nèi)網(wǎng)”、“專網(wǎng)”和“局域網(wǎng)”,網(wǎng)內(nèi)主機(jī)長(zhǎng)期怠于更新補(bǔ)丁��,所以更易被病毒感染�。
請(qǐng)各單位網(wǎng)絡(luò)安全管理員
按照以上要求通知單位所有人員,避免周一出現(xiàn)一波癱瘓高峰��。同時(shí)立即關(guān)閉各服務(wù)器和網(wǎng)絡(luò)設(shè)備上的445等危險(xiǎn)端口�,然后再去處理個(gè)人用戶,防止病毒通過(guò)服務(wù)器和網(wǎng)絡(luò)設(shè)備大范圍傳播��,避免用戶裝新系統(tǒng)又被感染����。如果是內(nèi)網(wǎng)不方便下載和打補(bǔ)丁��,請(qǐng)及時(shí)聯(lián)系當(dāng)?shù)鼐W(wǎng)絡(luò)安全廠商���,各安全廠商應(yīng)急小組會(huì)安排人員提供現(xiàn)場(chǎng)服務(wù)��。
請(qǐng)各網(wǎng)絡(luò)安全公司
及時(shí)發(fā)布公告,提醒用戶不要使用來(lái)路不明的補(bǔ)丁包和解密軟件��,嚴(yán)防有黑客制作夾帶木馬病毒的補(bǔ)丁包和解密軟件傳播�����。
附參考鏈接:
https://blogs.technet.microsoft.com/msrc/2017/04/14/protecting-customers-and-evaluating-risk/?from=timeline&isappinstalled=0(微軟發(fā)布的官方安全公告)
https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/(微軟發(fā)布已停服務(wù)的XP和部分服務(wù)器版特別補(bǔ)?���。?/p>
怎么回事��?
勒索病毒全球肆虐�,盡管那個(gè)英國(guó)“英雄小哥”在病毒代碼中發(fā)現(xiàn)了“隱藏開(kāi)關(guān)”,阻止了勒索病毒進(jìn)一步擴(kuò)散��,但是...
幾個(gè)小時(shí)前���,英國(guó)BBC發(fā)文稱:
安全專家警告��,下一波網(wǎng)絡(luò)攻擊即將來(lái)臨��,很可能在星期一。
文中稱�,這群黑客沒(méi)有理由會(huì)停止����,盡管我們已經(jīng)阻止了勒索病毒進(jìn)一步擴(kuò)散���,但另一波變種的攻擊或?qū)?huì)到來(lái)�����,畢竟修改病毒代碼不會(huì)花費(fèi)多少時(shí)間,很有可能會(huì)發(fā)生在星期一上午�����。
今天�,國(guó)家網(wǎng)絡(luò)與信息安全信息通報(bào)中心緊急通報(bào):監(jiān)測(cè)發(fā)現(xiàn),在全球范圍內(nèi)爆發(fā)的WannaCry 勒索病毒出現(xiàn)了變種:WannaCry 2.0, 與之前版本的不同是,這個(gè)變種取消了Kill Switch,不能通過(guò)注冊(cè)某個(gè)域名來(lái)關(guān)閉變種勒索病毒的傳播,該變種傳播速度可能會(huì)更快�。請(qǐng)廣大網(wǎng)民盡快升級(jí)安裝Windows操作系統(tǒng)相關(guān)補(bǔ)丁��,已感染病毒機(jī)器請(qǐng)立即斷網(wǎng),避免進(jìn)一步傳播感染��。
所以�,如果你周末未開(kāi)機(jī),周一上班前:
第一步:
什么都不用說(shuō)�����,先斷網(wǎng)�,再備份!
拔掉網(wǎng)線��,關(guān)掉WiFi���,然后開(kāi)機(jī)備份文檔��。
注意注意�!不要備份在本機(jī)和網(wǎng)絡(luò)硬盤上����。
第二步:
開(kāi)機(jī)。
第三步:
控制面板 >防火墻>高級(jí)設(shè)置 > 在入站規(guī)則(新建規(guī)則) > 端口 > TCP打勾 >特定輸入(445) > 阻止連接 > 名字輸入(阻擋勒索病毒連接名)
具體如下:
1. 打開(kāi)控制面板->系統(tǒng)和安全->Windows 防火墻
2. 點(diǎn)擊高級(jí)設(shè)置(打開(kāi)高級(jí)安全Windows防火墻)
3. 在入站規(guī)則(也就是外網(wǎng)訪問(wèn)你的電腦的規(guī)則)圖標(biāo)上右鍵->新建規(guī)則
4. 點(diǎn)擊端口���,然后點(diǎn)擊下一步
5. 點(diǎn)擊TCP, 然后在“特定本地端口”里輸入445
6. 點(diǎn)擊下一步
7. 點(diǎn)擊阻止連接
8. 點(diǎn)擊下一步
9. 全選上,然后下一步。
10. 隨便起名字��,然后完成����。
到這里����,你完成了阻止所有通過(guò)445端口連接你的電腦的連接。�����。�����。�。不放心的可以再把UTP也阻止了(方法一樣)���。
445端口關(guān)閉后��,本機(jī)cmd窗口執(zhí)行命令"netstat -ano | findstr ":445""�,回車后無(wú)任何返回�����。
這樣確保了你上網(wǎng)時(shí)不被病毒攻擊
第四步:連接網(wǎng)絡(luò)����,打補(bǔ)丁
補(bǔ)丁升級(jí)地址:
更新最新的5月份KB4012264補(bǔ)丁,如果你的更新記錄如下,則表示已更新
Windows 7 : KB4012215 或 KB4015549 或 KB4019264
Windows 8.1:KB4012216 或 KB4015550 或 KB4019215
===
Windows 10
直接去Windows更新便可
Windows 8.1 64:
Windows 8.1 32:
Windows 7 64:
Windows 7 32:
==
針對(duì)老版本W(wǎng)indows�����,微軟已推出KB4012598 :
Windows Vista 32/64
Windows Server 2008 32/64
Windows 8 32/64
Windows XP SP3
Windows Server 2003
什么是WannaCry���?就是一些混蛋編寫的利用Windows中的SMB漏洞的病毒代碼����,也被稱為Wana Decrypt0r���,WannaCryptor或WCRY��,和其它勒索病毒變體一樣���,阻止你訪問(wèn)計(jì)算機(jī)或文件���,并要求支付贖金解鎖文件�����。
該病毒具有傳染性,傳播快���,所以請(qǐng)大家務(wù)必對(duì)自己的電腦升級(jí)防護(hù),避免二次傳播���。
最后,如果你被感染����,千萬(wàn)不要支付贖金�����,這助長(zhǎng)這些混蛋的囂張氣焰,沒(méi)準(zhǔn)還會(huì)要你支付更多的贖金���。
如果發(fā)現(xiàn)被感染�,趕快關(guān)機(jī),交給專業(yè)人士處理��。
千萬(wàn)不要打開(kāi)可疑的電子郵件�����,永遠(yuǎn)不要打開(kāi)可疑的附件�����!
2017年5 月12 日晚上20 時(shí)左右,全球爆發(fā)大規(guī)模蠕蟲勒索軟件感染事件��,僅僅幾個(gè)小時(shí)內(nèi)��,該勒索軟件已經(jīng)攻擊了99個(gè)國(guó)家近萬(wàn)臺(tái)電腦����。英國(guó)��、美國(guó)�、俄羅斯����、德國(guó)、土耳其�����、意大利�、中國(guó)�、菲律賓等國(guó)家都已中招����,且攻擊仍在蔓延�����。
據(jù)報(bào)道�����,勒索攻擊導(dǎo)致16家英國(guó)醫(yī)院業(yè)務(wù)癱瘓,西班牙某電信公司有85%的電腦感染該惡意程序�����。至少1600家美國(guó)組織�,11200家俄羅斯組織和6500家中國(guó)組織和企業(yè)都受到了攻擊。國(guó)內(nèi)也有大量教學(xué)系統(tǒng)癱瘓�����,包括校園一卡通系統(tǒng)��。
該勒索病毒名為“永恒之藍(lán)”����,偽裝為Windows系統(tǒng)文件����,用戶一旦感染,電腦中大多數(shù)文件類型均會(huì)被加密,然后向用戶勒索價(jià)值300或600美金的比特幣��。該病毒影響所有Windows操作系統(tǒng)���。
目前�����,瑞星所有產(chǎn)品均可對(duì)該病毒進(jìn)行攔截,請(qǐng)將瑞星所有產(chǎn)品更新至最新版。同時(shí)�,瑞星推出該病毒免疫工具“瑞星永恒之藍(lán)免疫工具”�,用戶可下載防御病毒��。
下載地址:
瑞星“永恒之藍(lán)”免疫工具
http://download.rising.net.cn/zsgj/EternalBluemianyi.exe
瑞星“永恒之藍(lán)”免疫工具+殺軟
http://download.rising.net.cn/zsgj/EternalBluemianyi_sharuan.exe
內(nèi)網(wǎng)用戶免疫病毒方法:
WanaCrypt的主程序啟動(dòng)時(shí)��,首先會(huì)訪問(wèn)
http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com,如果可以訪問(wèn),則會(huì)停止工作。
目前該域名已經(jīng)被注冊(cè)�����,在互聯(lián)網(wǎng)環(huán)境下���,WanaCrypt應(yīng)該已經(jīng)不再起效����。對(duì)于無(wú)法連接互聯(lián)網(wǎng)的用戶,可以在本地網(wǎng)絡(luò)環(huán)境中增加該域名的解析����,起到抑WanaCrypt活性的作用����?����;蛘咴诒緳C(jī)修改host文件���,讓該域名指向任意有效HTTP服務(wù)����,都可以起到“免疫”的效果�。
瑞星所有產(chǎn)品解決方案
瑞星終端安全產(chǎn)品解決方案
瑞星殺毒軟件網(wǎng)絡(luò)版查殺截圖:
瑞星安全云查殺截圖:
1、更新微軟MS17-010漏洞補(bǔ)丁���,對(duì)應(yīng)不同系統(tǒng)的補(bǔ)丁號(hào)對(duì)照表:
| 系統(tǒng) | 補(bǔ)丁號(hào) | 補(bǔ)丁下載地址 |
| Windows VistaWindows Server 2008 | KB4012598 | http://softdown.rising.net.cn/soft/windows/MS17/MS17-010/File/windows6.0-kb4012598-x86_13e9b3d77ba5599764c296075a796c16a85c745c.msuhttp://softdown.rising.net.cn/soft/windows/MS17/MS17-010/File/windows6.0-kb4012598-x64_6a186ba2b2b98b2144b50f88baf33a5fa53b5d76.msu |
| Windows 7Windows Server 2008 R2 | KB4012212 | http://softdown.rising.net.cn/soft/windows/MS17/MS17-010/File/windows6.1-kb4012212-x86_6bb04d3971bb58ae4bac44219e7169812914df3f.msuhttp://softdown.rising.net.cn/soft/windows/MS17/MS17-010/File/windows6.0-kb4012598-x64_6a186ba2b2b98b2144b50f88baf33a5fa53b5d76.msu |
| KB4012215 | http://softdown.rising.net.cn/soft/windows/MS17/MS17-010/File/windows6.1-kb4012215-x86_e5918381cef63f171a74418f12143dabe5561a66.msuhttp://softdown.rising.net.cn/soft/windows/MS17/MS17-010/File/windows6.1-kb4012215-x64_a777b8c251dcd8378ecdafa81aefbe7f9009c72b.msu |
|
| Windows 8.1 | KB4012213 | http://softdown.rising.net.cn/soft/windows/MS17/MS17-010/File/windows8.1-kb4012213-x86_e118939b397bc983971c88d9c9ecc8cbec471b05.msuhttp://softdown.rising.net.cn/soft/windows/MS17/MS17-010/File/windows8.1-kb4012213-x64_5b24b9ca5a123a844ed793e0f2be974148520349.msu |
| KB4012216 | http://softdown.rising.net.cn/soft/windows/MS17/MS17-010/File/windows8.1-kb4012216-x86_d4facfdaf4b1791efbc3612fe299e41515569443.msuhttp://softdown.rising.net.cn/soft/windows/MS17/MS17-010/File/windows8.1-kb4012216-x64_cd5e0a62e602176f0078778548796e2d47cfa15b.msu |
|
| Windows Server2012 | KB4012214 | http://softdown.rising.net.cn/soft/windows/MS17/MS17-010/File/windows8-rt-kb4012214-x64_b14951d29cb4fd880948f5204d54721e64c9942b.msu |
| KB4012217 | http://softdown.rising.net.cn/soft/windows/MS17/MS17-010/File/windows8-rt-kb4012217-x64_96635071602f71b4fb2f1a202e99a5e21870bc93.msu |
|
| Windows Server2012 R2 | KB4012213 | http://softdown.rising.net.cn/soft/windows/MS17/MS17-010/File/windows8.1-kb4012213-x64_5b24b9ca5a123a844ed793e0f2be974148520349.msu |
| KB4012216 | http://softdown.rising.net.cn/soft/windows/MS17/MS17-010/File/windows8.1-kb4012216-x64_cd5e0a62e602176f0078778548796e2d47cfa15b.msu |
|
| Windows 10 | KB4012606 | http://softdown.rising.net.cn/soft/windows/MS17/MS17-010/File/windows10.0-kb4012606-x86_8c19e23de2ff92919d3fac069619e4a8e8d3492e.msuhttp://softdown.rising.net.cn/soft/windows/MS17/MS17-010/File/windows10.0-kb4012606-x64_e805b81ee08c3bb0a8ab2c5ce6be5b35127f8773.msu |
| Windows 10 1511 | KB4013198 | http://softdown.rising.net.cn/soft/windows/MS17/MS17-010/File/windows10.0-kb4013198-x86_f997cfd9b59310d274329250f14502c3b97329d5.msuhttp://softdown.rising.net.cn/soft/windows/MS17/MS17-010/File/windows10.0-kb4013198-x64_7b16621bdc40cb512b7a3a51dd0d30592ab02f08.msu |
| Windows 10 1607 | KB4013429 | http://softdown.rising.net.cn/soft/windows/MS17/MS17-010/File/windows10.0-kb4013429-x86_delta_13d776b4b814fcc39e483713ad012070466a950b.msuhttp://softdown.rising.net.cn/soft/windows/MS17/MS17-010/File/windows10.0-kb4013429-x64_delta_24521980a64972e99692997216f9d2cf73803b37.msu |
ESM版: 2.0.1.29
10網(wǎng)絡(luò)版:22.04.63.50
11網(wǎng)絡(luò)版:23.00.11.85
12網(wǎng)絡(luò)版:24.00.12.60
13網(wǎng)絡(luò)版:25.00.03.35
以上版本帶的漏洞掃描功能已經(jīng)可以支持以上補(bǔ)丁。
2��、ESM產(chǎn)品安裝了行為審計(jì)���、防火墻組件的用戶可以設(shè)置防火墻規(guī)則(XP或非XP系統(tǒng)都可以)
使用行為審計(jì)\IP規(guī)則策略����,設(shè)置端口規(guī)則
啟用端口規(guī)則,根據(jù)需要考慮是否勾選“阻止訪問(wèn)時(shí)通知用戶”
從右邊增加一條新端口規(guī)則�,勾選離線生效
選擇“單個(gè)端口”�,并設(shè)置端口號(hào)為445
協(xié)議選擇TCP����,方向選擇入站
注意“允許聯(lián)網(wǎng)”不要勾選,表示拒絕訪問(wèn)
3��、網(wǎng)絡(luò)版產(chǎn)品設(shè)置防火墻規(guī)則
通過(guò)控制�����,給組設(shè)置防火墻組規(guī)則�����,右鍵組,出操作菜單�����,設(shè)置防火墻規(guī)則
特別注意“常規(guī)”里一定要選擇“禁止”�����,協(xié)議里協(xié)議類型選TCP,對(duì)方端口選任意端口��,本地端口選指定端口���,并填445��。
4�����、使用公安專版或只有殺毒模塊的用戶
瑞星殺毒軟件會(huì)進(jìn)行病毒庫(kù)緊急升級(jí),用來(lái)查殺相應(yīng)的病毒�����。
因?yàn)楣矊0?、單殺毒模塊產(chǎn)品上就即不帶漏洞補(bǔ)丁修復(fù),又不帶防火墻功能,所以請(qǐng)使用公安網(wǎng)內(nèi)部的其他方式安裝系統(tǒng)補(bǔ)丁或配置防火墻規(guī)則(也可參考下一條說(shuō)明方案)進(jìn)行防御措施����。
5�����、沒(méi)有防火墻功能的用戶,可以在終端上執(zhí)行以下命令
netsh firewall setopmode enable
netsh advfirewallfirewall add rule name="deny445" dir=in protocol=tcp localport=445action=block
netsh advfirewallfirewall add rule name="deny139" dir=in protocol=tcp localport=139action=block
netsh firewall setportopening protocol=TCP port=445mode=disable name=deny445
netsh firewall setportopening protocol=TCP port=139 mode=disablename=deny139
也可以將上述命令保存為.bat批處理文件���,管理員權(quán)限直接運(yùn)行,制作.bat批處理文件方法:
新建一個(gè)文本文件
把上述命令拷貝到文件里,并保存
重命名.txt后綴改為.bat
瑞星云安全產(chǎn)品解決方案
(一)關(guān)閉系統(tǒng)445文件共享端口
1�、安裝了瑞星虛擬化系統(tǒng)安全軟件最新版windows安全防護(hù)終端的用戶可以在“網(wǎng)絡(luò)防護(hù)”功能中增加新的“IP規(guī)則”以關(guān)閉445端口��,防止黑客通過(guò)445端口共享入侵感染系統(tǒng)。具體步驟如下:
開(kāi)啟windows安全防護(hù)終端的“網(wǎng)絡(luò)防護(hù)”功能
在“IP規(guī)則”中增加禁用共享445端口的規(guī)則設(shè)置
亦可通過(guò)瑞星虛擬化系統(tǒng)安全軟件管理中心進(jìn)行規(guī)則設(shè)置
通過(guò)系統(tǒng)管理中心的終端管理對(duì)終端規(guī)則進(jìn)行設(shè)置
設(shè)置終端的“IP規(guī)則”
增加禁用共享445端口的規(guī)則設(shè)置
注:此設(shè)置方法也可應(yīng)用于策略模板生成���,生成的模板可以批量應(yīng)用于環(huán)境內(nèi)的所有終端����。
2、使用了瑞星虛擬化系統(tǒng)安全軟件華為無(wú)代理防火墻的用戶,亦可通過(guò)增加防火墻規(guī)則�����,關(guān)閉445共享端口��,實(shí)現(xiàn)無(wú)代理網(wǎng)絡(luò)安全防護(hù)�。設(shè)置方法如下:
增加無(wú)代理防火墻禁用共享445端口的規(guī)則
3、如果沒(méi)有使用瑞星虛擬化系統(tǒng)安全軟件的網(wǎng)絡(luò)防護(hù)功能,也可采用以下臨時(shí)解決方案暫時(shí)緩解安全問(wèn)題:
A.打開(kāi)“Windows防火墻”,在“高級(jí)設(shè)置”的入站規(guī)則里禁用“文件和打印機(jī)共享”相關(guān)規(guī)則。
B.或通過(guò)在終端上執(zhí)行命令關(guān)閉445端口共享���,命令如下:
netsh firewall
set opmode enable
netsh advfirewall
firewall add rule name=”deny445” dir=in protocol=tcplocalport=445 action=block
通過(guò)管理員權(quán)限直接運(yùn)行即可。
(二)針對(duì)SMB遠(yuǎn)程代碼執(zhí)行漏洞進(jìn)行補(bǔ)丁修補(bǔ)
1、通過(guò)修補(bǔ)Microsoft 安全公告 MS17-010- 嚴(yán)重安全漏洞補(bǔ)丁https://technet.microsoft.com/zh-cn/library/security/MS17-010�,解決黑客利用SMB的遠(yuǎn)程代碼執(zhí)行漏洞感染計(jì)算機(jī)的問(wèn)題���。
對(duì)應(yīng)操作系統(tǒng)漏洞補(bǔ)丁編號(hào)如下:
| 操作系統(tǒng) | 補(bǔ)丁編號(hào) |
| Windows Vista | KB4012596 |
| Windows Server 2008 | KB4012596 |
| Windows 7 / Windows Server 2008 R2 | KB4012212/KB4012215 |
| Windows 8.1 | KB4012213/KB4012216 |
| Windows Server 2012 | KB4012214/KB4012217 |
| Windows Server 2012 R2 | KB4012213/KB4012216 |
| Windows 10 | KB4012606 |
| Windows 10 1511 | KB4013198 |
| Windows 10 1607 | KB4013429 |
2���、如果擔(dān)心補(bǔ)丁穩(wěn)定性問(wèn)題�,亦可通過(guò)如下步驟臨時(shí)緩解部分系統(tǒng)問(wèn)題:
通過(guò)運(yùn)行終端命令關(guān)閉SMB
適用于運(yùn)行Windows XP的客戶解決方法:
net stop rdr
net stop srv
net stop netbt
適用于運(yùn)行 Windows 8.1 或 Windows Server 2012 R2 及更高版本的客戶的替代方法:
對(duì)于客戶端操作系統(tǒng):
1�、打開(kāi)“控制面板”,單擊“程序”���,然后單擊“打開(kāi)或關(guān)閉 Windows 功能”。
2�����、在“Windows 功能”窗口中���,清除“SMB1.0/CIFS 文件共享支持”復(fù)選框�,然后單擊“確定”以關(guān)閉此窗口。
3、重啟系統(tǒng)���。
對(duì)于服務(wù)器操作系統(tǒng):
1�����、打開(kāi)“服務(wù)器管理器”��,單擊“管理”菜單,然后選擇“刪除角色和功能”����。
2�、在“功能”窗口中���,清除“SMB1.0/CIFS 文件共享支持”復(fù)選框����,然后單擊“確定”以關(guān)閉此窗口。
3、重啟系統(tǒng)�����。
受此臨時(shí)緩解方法的影響��。目標(biāo)系統(tǒng)上將禁用SMBv1 協(xié)議���。
有很多用戶無(wú)法第一時(shí)間獲取各類補(bǔ)丁�,或者由于重要業(yè)務(wù)無(wú)法中斷�����,無(wú)法安裝補(bǔ)丁���,還有很多用戶不愿關(guān)閉自身的445端口文件共享以及SMB,同時(shí)又不希望自己被Wannacry影響環(huán)境內(nèi)的安全�����,如果用戶已經(jīng)部署了瑞星虛擬化系統(tǒng)安全軟件��,那么可以通過(guò)開(kāi)啟入侵防御規(guī)則���,有效解決此次Wannacry安全威脅����,同時(shí)不影響當(dāng)前環(huán)境的穩(wěn)定性�。
用戶可以在安全防護(hù)終端本地開(kāi)啟IPS規(guī)則。
或者在瑞星虛擬化系統(tǒng)安全軟件管理中心為需要保護(hù)的系統(tǒng)開(kāi)啟IPS防護(hù)規(guī)則
當(dāng)然如果用戶的數(shù)據(jù)中心使用的是瑞星虛擬化系統(tǒng)安全軟件的無(wú)代理網(wǎng)絡(luò)防護(hù)功能����,我們亦可為用戶提供無(wú)代理網(wǎng)絡(luò)防護(hù)內(nèi)的IPS防護(hù)功能���,通過(guò)瑞星虛擬化系統(tǒng)安全軟件管理中心為云環(huán)境內(nèi)的虛擬機(jī)設(shè)置無(wú)代理IPS規(guī)則�,解決數(shù)據(jù)中心內(nèi)部的微分段網(wǎng)絡(luò)內(nèi)的安全風(fēng)險(xiǎn)。
(三)將防病毒軟件病毒庫(kù)更新至最新版本解決系統(tǒng)內(nèi)的Wannacry勒索病毒����。
對(duì)于已經(jīng)部署瑞星虛擬化系統(tǒng)安全軟件子產(chǎn)品的用戶����,可以將安全防護(hù)產(chǎn)品更新至2.0.0.40版本(病毒庫(kù)版本:29.0513.0001)以上��,即可解決本地存在的Wannacry勒索病毒����。
用戶亦可在更新至最新版本后通知數(shù)據(jù)中心或管理中心內(nèi)全部環(huán)境上的子產(chǎn)品進(jìn)行全盤查殺�,已解決當(dāng)前環(huán)境內(nèi)的全部Wannacry安全威脅。
勒索病毒已經(jīng)存在很久���,并且已經(jīng)成為最具威脅的惡意代碼����,由于黑客通過(guò)勒索軟件可以獲取大量的利益,因此,勒索軟件的變種速度也極快,給各大安全廠商帶來(lái)很多的麻煩����,此次勒索軟件使用的445共享端口���,SMB遠(yuǎn)程執(zhí)行漏洞���,都是已知的安全缺陷或是安全漏洞��,并且微軟也已經(jīng)發(fā)布了相應(yīng)的安全補(bǔ)丁,所以提升安全防護(hù)意識(shí)����,才是解決安全風(fēng)險(xiǎn)的第一要素�。
瑞星網(wǎng)關(guān)安全產(chǎn)品解決方案
(一)瑞星導(dǎo)線式防毒墻防護(hù)方法
瑞星導(dǎo)線式防毒墻查殺截圖:
登錄導(dǎo)線式防毒墻WEB管理界面���,進(jìn)入【系統(tǒng)管理】à【安全加固】菜單�����,選擇"系統(tǒng)補(bǔ)丁升級(jí)"頁(yè)面����,使用瑞星官網(wǎng)最新發(fā)布的系統(tǒng)補(bǔ)丁對(duì)導(dǎo)線式防毒墻進(jìn)行系統(tǒng)升級(jí)�����,如圖所示:
登錄導(dǎo)線式防毒墻WEB管理界面,進(jìn)入【系統(tǒng)管理】à【安全加固】菜單����,選擇"病毒庫(kù)升級(jí)"��,使用瑞星官網(wǎng)最新發(fā)布的病毒庫(kù)升級(jí)包,對(duì)導(dǎo)線式防毒墻進(jìn)行病毒庫(kù)的升級(jí),最新版本的病毒庫(kù)中已經(jīng)加入了對(duì)勒索病毒各種變種病毒文件的檢測(cè),完成病毒庫(kù)升級(jí)可以有效的檢測(cè)并阻斷勒索病毒文件的傳播�����,如圖所示:
打開(kāi)導(dǎo)線式防毒墻的【配置管理】à【高級(jí)配置】菜單���,選擇"查毒策略"配置頁(yè)面���,對(duì)導(dǎo)線式防毒墻的查毒策略進(jìn)行配置����,啟用蠕蟲病毒檢測(cè)功能和免疫勒索病毒的處理,啟用后,導(dǎo)線式防毒墻將阻斷攔截蠕蟲病毒和所有經(jīng)過(guò)防毒墻 TCP 445端口的出站、入站請(qǐng)求,如下圖所示:
(二)瑞星UTM2.0防毒墻防護(hù)方法
瑞星UTM防毒墻查殺截圖:
登錄瑞星UTM2.0防毒墻WEB管理界面,進(jìn)入【系統(tǒng)管理】à【系統(tǒng)維護(hù)】菜單����,選擇"軟件升級(jí)"標(biāo)簽頁(yè)��,使用瑞星官網(wǎng)最新發(fā)布的病毒庫(kù)升級(jí)包���,對(duì)UTM2.0防毒墻進(jìn)行病毒威脅庫(kù)的升級(jí)����,最新版本的病毒威脅庫(kù)中已經(jīng)加入了對(duì)勒索病毒各種變種病毒文件的檢測(cè)����,完成病毒庫(kù)升級(jí)可以有效的檢測(cè)并阻斷勒索病毒文件的傳播,如圖所示:
打開(kāi)【防火墻】à【安全策略配置】菜單,選擇"安全策略配置"標(biāo)簽頁(yè)�,在安全策略中點(diǎn)擊"增加"添加一條安全策略,如圖所示:
在新增的安全策略配置窗口中�����,選擇服務(wù)內(nèi)容配置項(xiàng)�,在下拉菜單最下方選擇【增加】,如下圖所示:
新增一個(gè)服務(wù)對(duì)象,服務(wù)對(duì)象的配置如下圖所示:
點(diǎn)擊"確定"后,安全策略中服務(wù)內(nèi)容將會(huì)增加一個(gè)勒索病毒防護(hù)的服務(wù)對(duì)象����,如下圖所示��,選擇新增的服務(wù)對(duì)象并點(diǎn)擊"確定"完成防火墻安全策略的添加。
返回"安全策略配置"頁(yè)面�����,勾選新增加的安全策略�����,點(diǎn)擊"啟用"按鈕完成安全策略的啟用����,如下圖所示�����,啟用成功后���,新增安全策略的狀態(tài)變?yōu)?/p>
�。
(三)瑞星下一代防毒墻防護(hù)方法
瑞星下一代防毒墻查殺截圖:
登錄瑞星下一代防毒墻WEB管理界面�����,進(jìn)入【系統(tǒng)管理】à【軟件升級(jí)】菜單,使用瑞星官網(wǎng)最新發(fā)布的病毒庫(kù)升級(jí)包�����,對(duì)下一代防毒墻進(jìn)行病毒威脅庫(kù)的升級(jí)����,最新版本的病毒威脅庫(kù)中已經(jīng)加入了對(duì)勒索病毒各種變種病毒文件的檢測(cè),完成病毒庫(kù)升級(jí)可以有效的檢測(cè)并阻斷勒索病毒文件的傳播�,如圖所示:
打開(kāi)【策略配置】à【安全策略】菜單��,點(diǎn)擊屏幕下方的"新增"按鈕,增加一條新的安全策略����,如下圖所示����,在常規(guī)配置標(biāo)簽中�,在服務(wù)內(nèi)容下拉菜單最下方點(diǎn)擊"添加"增加一條服務(wù)對(duì)象。
配置指定的協(xié)議和端口����,如下圖所示���,點(diǎn)擊"確定"完成服務(wù)對(duì)象的增加��。
完成增加后在服務(wù)對(duì)象中選擇新增的這條服務(wù)對(duì)象,如下圖所示:
切換到"其他配置"標(biāo)簽頁(yè),將安全策略的處理動(dòng)作設(shè)置為“拒絕”�,如下圖所示�����。
配置完成后�,點(diǎn)擊“確定”完成策略的增加�。
返回安全策略列表�,勾選新增的安全策略,點(diǎn)擊下方的"啟用"按鈕�����,完成策略的啟用�����,如下圖所示�,啟用成功后����,安全策略狀態(tài)會(huì)變?yōu)?/p>
。
(四)瑞星網(wǎng)絡(luò)安全預(yù)警系統(tǒng)全面監(jiān)控
瑞星網(wǎng)絡(luò)安全預(yù)警系統(tǒng)監(jiān)控截圖:
瑞星網(wǎng)絡(luò)安全預(yù)警系統(tǒng)用戶只需升級(jí)到最新版本��,即可全面監(jiān)控“永恒之藍(lán)”勒索病毒的全網(wǎng)傳播及感染情況����。
臨時(shí)解決方案及建議
1、Win7、Win 8.1、Win 10用戶�,盡快安裝微軟MS17-010的官方補(bǔ)丁�����。https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx
2、WindowsXP用戶,點(diǎn)擊開(kāi)始-》運(yùn)行-》輸入cmd����,確定���。在彈出的命令行窗口中輸入下面三條命令以關(guān)閉SMB�����。
net stop rdr
net stop srv
net stop netbt
3��、 升級(jí)操作系統(tǒng)的處理方式:建議廣大用戶使用自動(dòng)更新升級(jí)到Windows的最新版本�����。
4、在邊界出口交換路由設(shè)備禁止外網(wǎng)對(duì)校園網(wǎng)135/137/139/445端口的連接��。
5����、在校園網(wǎng)絡(luò)核心主干交換路由設(shè)備禁止135/137/139/445端口的連接。
6����、及時(shí)升級(jí)操作系統(tǒng)到最新版本�;
7��、勤做重要文件非本地備份�����;
8、停止使用Windows XP���、Windows 2003等微軟已不再提供安全更新的操作系統(tǒng)。
