安全社区

黑盾云安全社区,与你一起分享安全领域的知识与智慧

勒索病毒

海峡信息│关于5.12爆发的勒索蠕虫病毒的处置办法

勒索病毒2018-08-24 14:54:38 1363次围观

海峡信息留意至近期大规模爆发的WannaCry/Wcry勒索软件蠕虫病毒,该勒索软件已经在全球爆发大规模感染事件,仅5.12一天,我国多数企事业单位、机场、医院、学校、政府机关感染受损严重。

 

该勒索软件利用了微软SMB远程代码执行漏洞CVE-2017-0144,微软在今年3月份发布了该漏洞的补丁。20174月黑客组织影子经纪人(Shadow Brokers)公布的方程式组织(Equation Group)使用的“EternalBlue”中包含了该漏洞的利用程序,而该勒索软件的攻击者在借鉴了该“EternalBlue”后进行了这次全球性的大规模勒索攻击事件。

 

WannaCry/Wcry勒索软件感染流程

 

Ø  利用SMB远程代码执行漏洞感染系统

Ø  在被感染系统中执行恶意文件,并开启服务

Ø  恶意文件执行后,释放真正的勒索软件

Ø  加密系统中的文件,并提示勒索信息

 

 被加密后的文件扩展名被统一改为“.WNCRY”,勒索软件攻击者索要相当于300美元的比特币赎金。

1.jpg

预防措施

 

除了安装Windows系统补丁之外,还应该对网络通讯进行隔离控制,避免病毒软件通过网络扩散传播,而使用防火墙进行隔离控制是快速有效预防的方法。

 

对于使用海峡信息产品的客户,海峡信息给予如下防护措施:

 

01 用黑盾防火墙的用户,可利用黑盾防火墙阻断135137-139445等高危端口,可较好的抑制勒索软件蠕虫病毒的传播(该操作会影响使用445端口的服务)。

 

处理方式(操作指南)可访问如下链接:

http://mp.weixin.qq.com/s/9m0o0EDpJEXYKXf98Rz_7w

 

02 采用黑盾下一代防火墙、IPS的用户,可在线或离线升级病毒、IPS特征库,既可进行阻断。

2.jpg

特征库与Windows补丁下载地址如下,请及时更新。

http://oa.si.net.cn:8081/d/bc0b40b5ec/

 

如在线升级无法进行,可进一步致电海峡信息获取。

 

 

03 升级微软MS17-010对应的Microsoft Windows SMB 服务器安全更新 (4013389)补丁程序。

 

微软已发布补丁MS17-010修复了永恒之蓝攻击的系统漏洞,请尽快安装此安全补丁,具体版本对应的补丁下载链接,请参考如下:

 

【直接下载】http://pan.baidu.com/s/1ckw44e(海峡信息提供,请放心使用)
【官网下载】:详细信息请参考链接:(https://technet.microsoft.com/library/security/MS17-010

 

 

04 通过开启服务器、终端电脑系统防火墙方法,可防护自身遭遇蠕虫攻击。

 

详细方式请参考:http://mp.weixin.qq.com/s/nCOlNQxuBETTDE8KV2YArA

 

05  对于已经感染的终端或局域网客户。可进一步与海峡信息安全服务中心或各区域技术支持中心取得联系。