永恒之蓝勒索病毒国内爆发 最全解决方案在此

2017年5 月12 日晚上20 时左右，全球爆发大规模蠕虫勒索软件感染事件，仅仅几个小时内，该勒索软件已经攻击了99个国家近万台电脑。英国、美国、俄罗斯、德国、土耳其、意大利、中国、菲律宾等国家都已中招，且攻击仍在蔓延。据报道，勒索攻击导致16家英国医院业务瘫痪，西班牙某电信公司有85%的电脑感染该恶意程序。至少1600家美国组织，11200家俄罗斯组织和6500家中国组织和企业都受到了攻击。国内也有大量教学系统瘫痪，包括校园一卡通系统。该勒索病毒名为永恒之蓝，伪装为Windows系统文件，用户一旦感染，电脑中大多数文件类型均会被加密，然后向用户勒索价值300或600美金的比特币。该病毒影响所有Windows操作系统。目前，瑞星所有产品均可对该病毒进行拦截，请将瑞星所有产品更新至最新版。同时，瑞星推出该病毒免疫工具瑞星永恒之蓝免疫工具，用户可下载防御病毒。下载地址：瑞星永恒之蓝免疫工具http://download.rising.net.cn/zsgj/EternalBluemianyi.exe瑞星永恒之蓝免疫工具+杀软http://download.rising.net.cn/zsgj/EternalBluemianyi_sharuan.exe内网用户免疫病毒方法：WanaCrypt的主程序启动时，首先会访问http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com，如果可以访问，则会停止工作。目前该域名已经被注册，在互联网环境下，WanaCrypt应该已经不再起效。对于无法连接互联网的用户，可以在本地网络环境中增加该域名的解析，起到抑WanaCrypt活性的作用。或者在本机修改host文件，让该域名指向任意有效HTTP服务，都可以起到免疫的效果。无法连接互联网的用户需要自己手工修改指向一个内部可访问的HTTP服务，防毒墙可以在拦截到这个HTTP请求时返回成功信息。瑞星所有产品解决方案一、瑞星终端安全产品解决方案瑞星杀毒软件网络版查杀截图：瑞星安全云查杀截图：1、更新微软MS17-010漏洞补丁，对应不同系统的补丁号对照表：ESM版: 2.0.1.2910网络版：22.04.63.5011网络版：23.00.11.8512网络版：24.00.12.6013网络版：25.00.03.35以上版本带的漏洞扫描功能已经可以支持以上补丁。2、ESM产品安装了行为审计、防火墙组件的用户可以设置防火墙规则(XP或非XP系统都可以)使用行为审计\IP规则策略，设置端口规则l 启用端口规则，根据需要考虑是否勾选阻止访问时通知用户l 从右边增加一条新端口规则，勾选离线生效l 选择单个端口，并设置端口号为445l 协议选择TCP，方向选择入站l 注意允许联网不要勾选，表示拒绝访问3、网络版产品设置防火墙规则l 通过控制，给组设置防火墙组规则，右键组，出操作菜单，设置防火墙规则特别注意常规里一定要选择禁止，协议里协议类型选TCP，对方端口选任意端口，本地端口选指定端口，并填4454、使用公安专版或只有杀毒模块的用户瑞星杀毒软件会进行病毒库紧急升级，用来查杀相应的病毒。因为公安专版、单杀毒模块产品上就即不带漏洞补丁修复，又不带防火墙功能，所以请使用公安网内部的其他方式安装系统补丁或配置防火墙规则(也可参考下一条说明方案)进行防御措施。5、没有防火墙功能的用户，可以在终端上执行以下命令netsh firewall set opmode enablenetsh advfirewall firewall add rule name"deny445" dirin protocoltcp localport445 actionblocknetsh advfirewall firewall add rule name"deny139" dirin protocoltcp localport139 actionblocknetsh firewall set portopening protocolTCP port445 modedisable namedeny445netsh firewall set portopening protocolTCP port139 modedisable namedeny139也可以将上述命令保存为.bat批处理文件，管理员权限直接运行,制作.bat批处理文件方法：n 新建一个文本文件n 把上述命令拷贝到文件里，并保存n 重命名.txt后缀改为.bat二、瑞星云安全产品解决方案(一)关闭系统445文件共享端口1、安装了瑞星虚拟化系统安全软件最新版windows安全防护终端的用户可以在 网络防护功能中增加新的IP规则以关闭445端口，防止黑客通过445端口共享入侵感染系统。具体步骤如下：开启windows安全防护终端的网络防护功能在IP规则中增加禁用共享445端口的规则设置亦可通过瑞星虚拟化系统安全软件管理中心进行规则设置通过系统管理中心的终端管理对终端规则进行设置设置终端的IP规则增加禁用共享445端口的规则设置注:此设置方法也可应用于策略模板生成，生成的模板可以批量应用于环境内的所有终端。2、使用了瑞星虚拟化系统安全软件华为无代理防火墙的用户，亦可通过增加防火墙规则，关闭445共享端口，实现无代理网络安全防护。设置方法如下：增加无代理防火墙禁用共享445端口的规则3、如果没有使用瑞星虚拟化系统安全软件的网络防护功能，也可采用以下临时解决方案暂时缓解安全问题:A.打开Windows防火墙，在高级设置的入站规则里禁用文件和打印机共享相关规则。B.或通过在终端上执行命令关闭445端口共享，命令如下：netsh firewallset opmode enablenetsh advfirewallfirewall add rule namedeny445 dirin protocoltep localport445 actionblock通过管理员权限直接运行即可。(二)针对SMB远程代码执行漏洞进行补丁修补1、通过修补Microsoft 安全公告 MS17-010 - 严重安全漏洞补丁https://technet.microsoft.com/zh-cn/library/security/MS17-010，解决黑客利用SMB的远程代码执行漏洞感染计算机的问题。对应操作系统漏洞补丁编号如下：2、如果担心补丁稳定性问题，亦可通过如下步骤临时缓解部分系统问题：通过运行终端命令关闭SMB适用于运行Windows XP的客户解决方法net stop rdrnet stop srvnet stop netbt适用于运行 Windows 8.1 或 Windows Server 2012 R2 及更高版本的客户的替代方法对于客户端操作系统：1、打开控制面板，单击程序，然后单击打开或关闭 Windows 功能。2、在Windows 功能窗口中，清除SMB 1.0/CIFS 文件共享支持复选框，然后单击确定以关闭此窗口。3、重启系统。对于服务器操作系统：1、打开服务器管理器，单击管理菜单，然后选择删除角色和功能。2、在功能窗口中，清除SMB 1.0/CIFS 文件共享支持复选框，然后单击确定以关闭此窗口。3、重启系统。受此临时缓解方法的影响。目标系统上将禁用 SMBv1 协议。有很多用户无法第一时间获取各类补丁，或者由于重要业务无法中断，无法安装补丁，还有很多用户不愿关闭自身的445端口文件共享以及SMB，同时又不希望自己被Wannacry影响环境内的安全，如果用户已经部署了瑞星虚拟化系统安全软件，那么可以通过开启入侵防御规则，有效解决此次Wannacry安全威胁，同时不影响当前环境的稳定性。用户可以在安全防护终端本地开启IPS规则。或者在瑞星虚拟化系统安全软件管理中心为需要保护的系统开启IPS防护规则当然如果用户的数据中心使用的是瑞星虚拟化系统安全软件的无代理网络防护功能，我们亦可为用户提供无代理网络防护内的IPS防护功能，通过瑞星虚拟化系统安全软件管理中心为云环境内的虚拟机设置无代理IPS规则，解决数据中心内部的微分段网络内的安全风险。(三)将防病毒软件病毒库更新至最新版本解决系统内的Wannacry勒索病毒。对于已经部署瑞星虚拟化系统安全软件子产品的用户，可以将安全防护产品更新至2.0.0.40版本(病毒库版本：29.0513.0001)以上，即可解决本地存在的Wannacry勒索病毒。用户亦可在更新至最新版本后通知数据中心或管理中心内全部环境上的子产品进行全盘查杀，已解决当前环境内的全部Wannacry安全威胁。勒索病毒已经存在很久，并且已经成为最具威胁的恶意代码，由于黑客通过勒索软件可以获取大量的利益，因此，勒索软件的变种速度也极快，给各大安全厂商带来很多的麻烦，此次勒索软件使用的445共享端口，SMB远程执行漏洞，都是已知的安全缺陷或是安全漏洞，并且微软也已经发布了相应的安全补丁，所以提升安全防护意识，才是解决安全风险的第一要素。三、瑞星网关安全产品解决方案(一)瑞星导线式防毒墙防护方法瑞星导线式防毒墙查杀截图：登录导线式防毒墙WEB管理界面，进入【系统管理】à【安全加固】菜单，选择"系统补丁升级"页面，使用瑞星官网最新发布的系统补丁对导线式防毒墙进行系统升级，如图所示：登录导线式防毒墙WEB管理界面，进入【系统管理】à【安全加固】菜单，选择"病毒库升级"，使用瑞星官网最新发布的病毒库升级包，对导线式防毒墙进行病毒库的升级，最新版本的病毒库中已经加入了对勒索病毒各种变种病毒文件的检测，完成病毒库升级可以有效的检测并阻断勒索病毒文件的传播，如图所示：打开导线式防毒墙的【配置管理】à【高级配置】菜单，选择"查毒策略"配置页面，对导线式防毒墙的查毒策略进行配置，启用蠕虫病毒检测功能和免疫勒索病毒的处理，启用后，导线式防毒墙将阻断拦截蠕虫病毒和所有经过防毒墙 TCP 445端口的出站、入站请求，如下图所示：(二)瑞星UTM2.0防毒墙防护方法瑞星UTM防毒墙查杀截图：登录瑞星UTM2.0防毒墙WEB管理界面，进入【系统管理】à【系统维护】菜单，选择"软件升级"标签页，使用瑞星官网最新发布的病毒库升级包，对UTM2.0防毒墙进行病毒威胁库的升级，最新版本的病毒威胁库中已经加入了对勒索病毒各种变种病毒文件的检测，完成病毒库升级可以有效的检测并阻断勒索病毒文件的传播，如图所示:打开【防火墙】à【安全策略配置】菜单，选择"安全策略配置"标签页，在安全策略中点击"增加"添加一条安全策略，如图所示：在新增的安全策略配置窗口中，选择服务内容配置项，在下拉菜单最下方选择【增加】，如下图所示：新增一个服务对象，服务对象的配置如下图所示：点击"确定"后，安全策略中服务内容将会增加一个勒索病毒防护的服务对象，如下图所示，选择新增的服务对象并点击"确定"完成防火墙安全策略的加。返回"安全策略配置"页面，勾选新增加的安全策略，点击"启用"按钮完成安全策略的启用，如下图所示，启用成功后，新增安全策略的状态变为。(三)瑞星下一代防毒墙防护方法瑞星下一代防毒墙查杀截图：登录瑞星下一代防毒墙WEB管理界面，进入【系统管理】à【软件升级】菜单，使用瑞星官网最新发布的病毒库升级包，对下一代防毒墙进行病毒威胁库的升级，最新版本的病毒威胁库中已经加入了对勒索病毒各种变种病毒文件的检测，完成病毒库升级可以有效的检测并阻断勒索病毒文件的传播，如图所示:打开【策略配置】à【安全策略】菜单，点击屏幕下方的"新增"按钮，增加一条新的安全策略，如下图所示，在常规配置标签中，在服务内容下拉菜单最下方点击"添加"增加一条服务对象。配置指定的协议和端口，如下图所示，点击"确定"完成服务对象的增加。完成增加后在服务对象中选择新增的这条服务对象，如下图所示：切换到"其他配置"标签页，将安全策略的处理动作设置为拒绝，如下图所示。配置完成后，点击确定完成策略的增加。返回安全策略列表，勾选新增的安全策略，点击下方的"启用"按钮，完成策略的启用，如下图所示，启用成功后，安全策略状态会变为。(四)瑞星网络安全预警系统全面监控瑞星网络安全预警系统监控截图：瑞星网络安全预警系统用户只需升级到最新版本，即可全面监控永恒之蓝勒索病毒的全网传播及感染情况。四、临时解决方案及建议Win7、Win 8.1、Win 10用户，尽快安装微软MS17-010的官方补丁。https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspxWindows XP用户，点击开始-》运行-》输入cmd，确定。在弹出的命令行窗口中输入下面三条命令以关闭SMB。net stop rdrnet stop srvnet stop netbt3、 升级操作系统的处理方式：建议广大用户使用自动更新升级到Windows的最新版本。4、在边界出口交换路由设备禁止外网对校园网135/137/139/445端口的连接。5、在校园网络核心主干交换路由设备禁止135/137/139/445端口的连接。6、及时升级操作系统到最新版本;7、勤做重要文件非本地备份;8、停止使用Windows XP、Windows 2003等微软已不再提供安全更新的操作系统。

分享到