麦青儿 - 2017-5-13 14:24:00
事件介绍
2017年5 月12 日晚上20 时左右,全球爆发大规模蠕虫勒索软件感染事件,用户只要开机上网就可被攻击。五个小时内,包括英国、俄罗斯、整个欧洲以及国内多个高校校内网、大型企业内网和政府机构专网中招,被勒索支付高额赎金(有的需要比特币)才能解密恢复文件,这场攻击甚至造成了国内大量教学系统瘫痪,包括校园一卡通系统。
目前,瑞星公司针对此次病毒事件成立的应急处理小组,瑞星产品全线进行了紧急升级,并开通服务专线,广大用户可与瑞星安全专家直接取得联系。
瑞星紧急发布周一应对“WanaCrypt”蠕虫敲诈病毒的开机指南>>
瑞星客服联系方式:
在线咨询:http://www.sobot.com/chat/h5/ind ... 3cca6149a0d39a7227b
电话:01082616666 (7X24小时紧急联系电话:18600176950)
技术分析
据瑞星反病毒监测网监测, 这是不法分子通过改造之前泄露的NSA黑客武器库中“永恒之蓝”攻击程序发起的网络攻击事件。“永恒之蓝”通过扫描开放445文件共享端口的Windows电脑甚至是电子信息屏,无需用户进行任何操作,只要开机联网,不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等一系列恶意程序。
利用445文件共享端口实施破坏的蠕虫病毒,曾多次在国内爆发。因此,运营商很早就针对个人用户将445端口封闭,但是教育网并未作此限制,仍然存在大量开放的445端口。据有关机构统计,目前国内平均每天有5000多台电脑遭到NSA“永恒之蓝”黑客武器的远程攻击,教育网已成重灾区!
瑞星安全专家分析:该勒索软件利用了微软SMB远程代码执行漏洞CVE-2017-0144,微软已在今年3月份发布了该漏洞的补丁。2017年4月黑客组织影子经纪人(Shadow Brokers)公布的方程式组织(Equation Group)使用的“EternalBlue”中包含了该漏洞的利用程序,而该勒索软件的攻击者在借鉴了该“EternalBlue”后进行了这次全球性的大规模勒索攻击事件。
点击查看 “永恒之蓝”WannaCry勒索病毒分析报告>>
瑞星解决方案
瑞星针对此次“永恒之蓝”发起的蠕虫病毒攻击传播勒索恶意事件,给出相关产品应对措施及风险应对方案。
一、瑞星终端安全产品解决方案
瑞星终端安全产品用户参照以下方法解决:
ESM版本号: 2.0.1.29
10网络版:22.04.63.50
11网络版:23.00.11.85
12网络版:24.00.12.60
13网络版:25.00.03.35
以上版本带的漏洞扫描功能已经可以支持下列补丁。更新微软MS17-010漏洞补丁,对应不同系统的补丁号对照表:
1. ESM产品安装了行为审计、防火墙组件的用户可以设置防火墙规则(XP或非XP系统都可以)
使用行为审计\IP规则策略,设置端口规则
网络版产品设置防火墙规则
通过控制,给组设置防火墙组规则,右键组,出操作菜单,设置防火墙规则
特别注意“常规”里一定要选择“禁止”,协议里协议类型选TCP,对方端口选任意端口,本地端口选指定端口,并填445
2. 没有防火墙功能的用户,可以在终端上执行以下命令
netsh firewall set opmode enable
netsh advfirewall firewall add rule name="deny445" dir=in protocol=tcp localport=445 action=block
也可以保持存.bat批处理文件,管理员权限直接运行
3. 使用公安专版或只有杀毒模块的用户
瑞星杀毒软件会进行病毒库紧急升级,用来查杀相应的病毒。
因为公安专版、单杀毒模块产品上既不带漏洞补丁修复,又不带防火墙功能,所以请使用公安网内部的其他方式安装系统补丁或配置防火墙规则(也可参考下一条说明方案)进行防御措施。
4.没有防火墙功能的用户,可以在终端上执行以下命令
netsh firewall set opmode enable
netsh advfirewall firewall add rule name="deny445" dir=in protocol=tcp localport=445 action=block
也可以将上述命令保存为.bat批处理文件,管理员权限直接运行。
制作.bat批处理文件方法:
二、临时解决方案及建议
1、Win7、Win 8.1、Win 10用户,尽快安装微软MS17-010的官方补丁。
https://technet.microsoft.com/zh ... urity/ms17-010.aspx
2、Windows XP用户,点击开始-》运行-》输入cmd,确定。在弹出的命令行窗口中输入下面三条命令以关闭SMB。
net stop rdr
net stop srv
net stop netbt
3、升级操作系统的处理方式:建议广大用户使用自动更新升级到Windows的最新版本。
4、在边界出口/交换路由设备禁止外网对校园网135/137/139/445端口的连接。
5、在校园网络核心主干交换路由设备禁止135/137/139/445端口的连接。
6、及时升级操作系统到最新版本;
7、勤做重要文件非本地备份;
8、停止使用Windows XP、Windows 2003等微软已不再提供安全更新的操作系统。
2017年5 月12 日晚上20 时左右,全球爆发大规模蠕虫勒索软件感染事件,用户只要开机上网就可被攻击。五个小时内,包括英国、俄罗斯、整个欧洲以及国内多个高校校内网、大型企业内网和政府机构专网中招,被勒索支付高额赎金(有的需要比特币)才能解密恢复文件,这场攻击甚至造成了国内大量教学系统瘫痪,包括校园一卡通系统。
目前,瑞星公司针对此次病毒事件成立的应急处理小组,瑞星产品全线进行了紧急升级,并开通服务专线,广大用户可与瑞星安全专家直接取得联系。
瑞星紧急发布周一应对“WanaCrypt”蠕虫敲诈病毒的开机指南>>
瑞星客服联系方式:
在线咨询:http://www.sobot.com/chat/h5/ind ... 3cca6149a0d39a7227b
电话:01082616666 (7X24小时紧急联系电话:18600176950)
技术分析
据瑞星反病毒监测网监测, 这是不法分子通过改造之前泄露的NSA黑客武器库中“永恒之蓝”攻击程序发起的网络攻击事件。“永恒之蓝”通过扫描开放445文件共享端口的Windows电脑甚至是电子信息屏,无需用户进行任何操作,只要开机联网,不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等一系列恶意程序。
利用445文件共享端口实施破坏的蠕虫病毒,曾多次在国内爆发。因此,运营商很早就针对个人用户将445端口封闭,但是教育网并未作此限制,仍然存在大量开放的445端口。据有关机构统计,目前国内平均每天有5000多台电脑遭到NSA“永恒之蓝”黑客武器的远程攻击,教育网已成重灾区!
瑞星安全专家分析:该勒索软件利用了微软SMB远程代码执行漏洞CVE-2017-0144,微软已在今年3月份发布了该漏洞的补丁。2017年4月黑客组织影子经纪人(Shadow Brokers)公布的方程式组织(Equation Group)使用的“EternalBlue”中包含了该漏洞的利用程序,而该勒索软件的攻击者在借鉴了该“EternalBlue”后进行了这次全球性的大规模勒索攻击事件。
点击查看 “永恒之蓝”WannaCry勒索病毒分析报告>>
瑞星解决方案
瑞星针对此次“永恒之蓝”发起的蠕虫病毒攻击传播勒索恶意事件,给出相关产品应对措施及风险应对方案。
一、瑞星终端安全产品解决方案
瑞星终端安全产品用户参照以下方法解决:
ESM版本号: 2.0.1.29
10网络版:22.04.63.50
11网络版:23.00.11.85
12网络版:24.00.12.60
13网络版:25.00.03.35
以上版本带的漏洞扫描功能已经可以支持下列补丁。更新微软MS17-010漏洞补丁,对应不同系统的补丁号对照表:
| 系统 | 补丁号 |
| Windows Vista/ Windows Server 2008 | KB4012598 |
| Windows 7/ Windows Server 2008 R2 | KB4012212/KB4012215 |
| Windows 8.1 | KB4012213/KB4012216 |
| Windows Server2012 | KB4012214/KB4012217 |
| Windows Server2012 R2 | KB4012213/KB4012216 |
| Windows 10 | KB4012606 |
| Windows 10 1511 | KB4013198 |
| Windows 10 1607 | KB4013429 |
1. ESM产品安装了行为审计、防火墙组件的用户可以设置防火墙规则(XP或非XP系统都可以)
使用行为审计\IP规则策略,设置端口规则
- 启用端口规则,根据需要考虑是否勾选“阻止访问时通知用户”
- 从右边增加一条新端口规则,勾选离线生效
- 选择“单个端口”,并设置端口号为445
- 协议选择TCP,方向选择入站
- 注意“允许联网”不要勾选,表示拒绝访问
网络版产品设置防火墙规则
通过控制,给组设置防火墙组规则,右键组,出操作菜单,设置防火墙规则
特别注意“常规”里一定要选择“禁止”,协议里协议类型选TCP,对方端口选任意端口,本地端口选指定端口,并填445
2. 没有防火墙功能的用户,可以在终端上执行以下命令
netsh firewall set opmode enable
netsh advfirewall firewall add rule name="deny445" dir=in protocol=tcp localport=445 action=block
也可以保持存.bat批处理文件,管理员权限直接运行
3. 使用公安专版或只有杀毒模块的用户
瑞星杀毒软件会进行病毒库紧急升级,用来查杀相应的病毒。
因为公安专版、单杀毒模块产品上既不带漏洞补丁修复,又不带防火墙功能,所以请使用公安网内部的其他方式安装系统补丁或配置防火墙规则(也可参考下一条说明方案)进行防御措施。
4.没有防火墙功能的用户,可以在终端上执行以下命令
netsh firewall set opmode enable
netsh advfirewall firewall add rule name="deny445" dir=in protocol=tcp localport=445 action=block
也可以将上述命令保存为.bat批处理文件,管理员权限直接运行。
制作.bat批处理文件方法:
- 新建一个文本文件
- 把上述命令拷贝到文件里,并保存
- 重命名.txt后缀改为.bat
二、临时解决方案及建议
1、Win7、Win 8.1、Win 10用户,尽快安装微软MS17-010的官方补丁。
https://technet.microsoft.com/zh ... urity/ms17-010.aspx
2、Windows XP用户,点击开始-》运行-》输入cmd,确定。在弹出的命令行窗口中输入下面三条命令以关闭SMB。
net stop rdr
net stop srv
net stop netbt
3、升级操作系统的处理方式:建议广大用户使用自动更新升级到Windows的最新版本。
4、在边界出口/交换路由设备禁止外网对校园网135/137/139/445端口的连接。
5、在校园网络核心主干交换路由设备禁止135/137/139/445端口的连接。
6、及时升级操作系统到最新版本;
7、勤做重要文件非本地备份;
8、停止使用Windows XP、Windows 2003等微软已不再提供安全更新的操作系统。