北京时间2017年5月12日,全球爆发大规模勒索软件感染事件,截止到目前,已有近百个国家超过10万家企业和公共组织数十万台机器感染。国内被感染的组织和机构几乎覆盖了所有地区,影响范围遍布高校、火车站、自助终端、邮政、加油站、医院、政府办事终端等多个领域,被感染的电脑数字还在不断增长中。一旦被感染,电脑中的文档、图片、压缩包、音频、视频、可执行程序等几乎所有类型的文件都会被加密,目前业内也没有解决方案对其解密还原,主流方案也以防御为主。
远望信息将持续报告事件动态,本文基于“远望在行动(一)”对解决方案进行了更新细化。
上期链接:http://mp.weixin.qq.com/s/AkUoITTP0GkwdSP6uavtXQ
“周一”个人电脑开机指南
由于该事件发生在周末,个人电脑都处于关机状态,感染对象以服务器为主,周一上班后个人电脑均会开机,我们需要做好开机预案,规避风险。
1.1 直接拔掉网线,笔记本电脑还需关闭无线网卡,如无法关闭无线网卡,应在拨出网线后,关闭所连接的无线路由器。
1.2 准备大容量的移动U盘或者光盘。
1.3 开机后使用相应的免疫工具,禁用系统服务、修改hosts文件、设置ipsec本地组策略等多种方式对勒索软件WannaCry的传播途径进行有效阻断。
1.4 完成免疫后,再使用专杀工具,对已经感染的电脑进行勒索软件的清除。
1.5 如已被感染,可使用文件恢复工具,对加密文件进行恢复处理。
(如需上述工具,请联系远望信息技术人员。)
已部署远望终端安全监管防护系统解决方案
远望信息从预防和控制两方面入手,有效阻止“WannaCry”的继续侵入及蔓延。
1 预防
1.1 阻止扩散
从管理界面打开“防火墙”策略,并按如下配置后分配到所有设备。
1.2 分发修复工具
通过文件分发下发免疫工具、专杀工具,并开启默认执行。
2 控制
2.1 减少感染途径
从管理界面打开“外设控制”策略,并按如下配置后分配到所有设备,减少通过USB移动存储设备的感染风险。
2.2 评估感染面
从管理界面打开“进程运行检查”策略,并按如下配置后分配到所有设备。禁止运行的进程名称:mssecsvc.exe、tasksche.exe、tor.exe、taskdl.exe、taskse.exe、@wanadecryptor@.exe。
当系统检测到上述进程后,自动断开电脑的网络连接,避免扩散。
未部署远望终端安全监管防护系统解决方案
1.1 端口开放检查
开始---->运行---->cmd,或者是window+R组合键,调出命令窗口,输入命令:netstat -ano,列出所有端口的情况。在列表中我们观察开放的445端口。
1.2 本地防火墙配置方法(禁止135、137、139、445端口的连接)
本地防火墙配置需要逐台设备调整,步骤如下:
1.3 手动安装补丁
微软官方地址:https://technet.microsoft.com/library/security/MS17-010
百度云盘:http://pan.baidu.com/s/1nuSzjGP
由于本次WannaCry蠕虫事件的巨大影响,微软总部发布XP和部分服务器版特别补丁:
https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-f
1.4 做好重要文件的备份工作(非本地备份)
1.5 如无需使用共享服务建议关闭该服务
右击网络图标,点属性
点击更改高级共享设置
有专网、来宾或公网、所有网络三项
都进行关闭即可
1.6 注册域名
最新分析结论表明,“WannaCry”的触发机制为是否能访问iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com,如果访问成功,则不会触发勒索功能。根据此结论,网络管理人员可以通过在内部网络搭建DNS Server,将iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com域名地址解析到内网WEB Server的IP地址,同时WEB Server可以接受该域名的连接请求,从而实现免疫。同时,也可以监测内网访问该域名的用户IP地址和用户数量统计出内部用户的感染情况。该方法对“WannaCry2.0”无效