界面模式
登录
注册
会员
帮助
加入收藏夹
客服微信
瑞星卡卡安全论坛
企业产品讨论区
瑞星ESM防病毒终端安全防护系统
瑞星发布重大病毒警报:蠕虫勒索病毒全球爆发 国内大量高校及企事业单位被攻击
企业产品讨论区
瑞星安全云终端软件
瑞星ESM防病毒终端安全防护系统
瑞星杀毒软件网络版(含Linux)
瑞星智能沙箱分析/恶意代码威胁监测分析/上网行为管理
瑞星防毒墙5.0、瑞星下一代防火墙
瑞星虚拟化恶意代码防护系统
个人产品讨论区
瑞星之剑
瑞星防病毒安全软件
瑞星杀毒软件
瑞星个人防火墙V16
瑞星AI网络威胁检测引擎、威胁情报及网安知识图谱
瑞星其他产品
技术交流区
反病毒/反流氓软件论坛
可疑文件交流
恶意网站交流
入侵防御(HIPS)
系统软件
硬件交流
综合娱乐区
影音贴图
瑞星安全游戏
活动专区
本站站务区
站务
瑞星“1+2”全新解决方案巡展在广州画上圆满句号
叶院长揭秘:瑞星如何运用AI技术革新网络安全
俄乌冲突加剧网络攻击风险 白俄罗斯政府遭APT攻击
瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
实力拉满 瑞星第四十七次通过VB100测评
携手老友,拥抱新精彩 —— 新论坛新活动,感谢你的陪伴
护航司法,瑞星助力山西省高院构建安全防线
人工智能在网络安全领域的风险和机遇
1
1
/ 1 页
跳转
页
[产品资讯] 瑞星发布重大病毒警报:蠕虫勒索病毒全球爆发 国内大量高校及企事业单位被攻击
收藏
本主题由 管理员 麦青儿 于 2017-5-26 18:34:33 执行 主题置顶/取消 操作
麦青儿
管理员
帖子:
17114
注册:
2004-03-26
来自:
发表于: 2017-05-13 14:24
|
只看楼主
短消息
资料
字号:
小
中
大
1楼
瑞星发布重大病毒警报:蠕虫勒索病毒全球爆发 国内大量高校及企事业单位被攻击
事件介绍
2017年5 月12 日晚上20 时左右,全球爆发大规模蠕虫勒索软件感染事件,用户只要开机上网就可被攻击。五个小时内,包括英国、俄罗斯、整个欧洲
以及国内多个高校校内网、大型企业内网和政府机构专网中招,被勒索支付高额赎金(有的需要比特币)才能解密恢复文件,这场攻击甚至造成了国内大量教学系统瘫痪,包括校园一卡通系统
。
目前,瑞星公司针对此次病毒事件成立的应急处理小组,瑞星产品全线进行了紧急升级,并开通服务专线,广大用户可与瑞星安全专家直接取得联系。
瑞星紧急发布周一应对“WanaCrypt”蠕虫敲诈病毒的开机指南>>
瑞星客服联系方式:
在线咨询:
http://www.sobot.com/chat/h5/ind ... 3cca6149a0d39a7227b
电话:01082616666 (7X24小时紧急联系电话:18600176950)
技术分析
据瑞星反病毒监测网监测, 这是不法分子通过改造之前泄露的NSA黑客武器库中“永恒之蓝”攻击程序发起的网络攻击事件。“永恒之蓝”通过扫描开放445文件共享端口的Windows电脑甚至是电子信息屏,无需用户进行任何操作,只要开机联网,不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等一系列恶意程序。
利用445文件共享端口实施破坏的蠕虫病毒,曾多次在国内爆发。因此,运营商很早就针对个人用户将445端口封闭,但是教育网并未作此限制,仍然存在大量开放的445端口。据有关机构统计,目前国内平均每天有5000多台电脑遭到NSA“永恒之蓝”黑客武器的远程攻击,教育网已成重灾区!
瑞星安全专家分析:该勒索软件利用了微软SMB远程代码执行漏洞CVE-2017-0144,微软已在今年3月份发布了该漏洞的补丁。2017年4月黑客组织影子经纪人(Shadow Brokers)公布的方程式组织(Equation Group)使用的“EternalBlue”中包含了该漏洞的利用程序,而该勒索软件的攻击者在借鉴了该“EternalBlue”后进行了这次全球性的大规模勒索攻击事件。
点击查看 “永恒之蓝”WannaCry勒索病毒分析报告>>
瑞星解决方案
瑞星针对此次“永恒之蓝”发起的蠕虫病毒攻击传播勒索恶意事件,给出相关产品应对措施及风险应对方案。
一、瑞星终端安全产品解决方案
瑞星终端安全产品用户参照以下方法解决:
ESM版本号: 2.0.1.29
10网络版:22.04.63.50
11网络版:23.00.11.85
12网络版:24.00.12.60
13网络版:25.00.03.35
以上版本带的漏洞扫描功能已经可以支持下列补丁。更新微软MS17-010漏洞补丁,对应不同系统的补丁号对照表:
系统
补丁号
Windows Vista/ Windows Server 2008
KB4012598
Windows 7/ Windows Server 2008 R2
KB4012212/KB4012215
Windows 8.1
KB4012213/KB4012216
Windows Server2012
KB4012214/KB4012217
Windows Server2012 R2
KB4012213/KB4012216
Windows 10
KB4012606
Windows 10 1511
KB4013198
Windows 10 1607
KB4013429
1. ESM产品安装了行为审计、防火墙组件的用户可以设置防火墙规则(XP或非XP系统都可以)
使用行为审计\IP规则策略,设置端口规则
启用端口规则,根据需要考虑是否勾选“阻止访问时通知用户”
从右边增加一条新端口规则,勾选离线生效
选择“单个端口”,并设置端口号为445
协议选择TCP,方向选择入站
注意“允许联网”不要勾选,表示拒绝
访问
网络版产品设置防火墙规则
通过控制,给组设置防火墙组规则,右键组,出操作菜单,设置防火墙规则
特别注意“常规”里一定要选择“禁止”,协议里协议类型选TCP,对方端口选任意端口,本地端口选指定端口,并填445
2. 没有防火墙功能的用户,可以在终端上执行以下命令
netsh firewall set opmode enable
netsh advfirewall firewall add rule name="deny445" dir=in protocol=tcp localport=445 action=block
也可以保持存.bat批处理文件,管理员权限直接运行
3. 使用公安专版或只有杀毒模块的用户
瑞星杀毒软件会进行病毒库紧急升级,用来查杀相应的病毒。
因为公安专版、单杀毒模块产品上
既不带漏洞补丁修复,又不带防火墙功能,所以请使用公安网内部的其他方式安装系统补丁或配置防火墙规则(也可参考下一条说明方案)进行防御措施。
4.没有防火墙功能的用户,可以在终端上执行以下命令
netsh firewall set opmode enable
netsh advfirewall firewall add rule name="deny445" dir=in protocol=tcp localport=445 action=block
也可以将上述命令保存为.bat批处理文件,管理员权限直接运行。
制作.bat批处理文件方法:
新建一个文本文件
把上述命令拷贝到文件里,并保存
重命名.txt后缀改为.bat
二、临时解决方案及建议
1、Win7、Win 8.1、Win 10用户,尽快安装微软MS17-010的官方补丁。
https://technet.microsoft.com/zh ... urity/ms17-010.aspx
2、Windows XP用户,点击开始-》运行-》输入cmd,确定。在弹出的命令行窗口中输入下面三条命令以关闭SMB。
net stop rdr
net stop srv
net stop netbt
3、升级操作系统的处理方式:建议广大用户使用自动更新升级到Windows的最新版本。
4、在边界出口
/
交换路由设备禁止外网对校园网135/137/139/445端口的连接。
5、在校园网络核心主干交换路由设备禁止135/137/139/445端口的连接。
6、及时升级操作系统到最新版本;
7、勤做重要文件非本地备份;
8、停止使用Windows XP、Windows 2003等微软已不再提供安全更新的操作系统。
麦青儿 最后编辑于 2017-05-14 19:19:18
分享到:
短消息
资料
加为好友
全部帖子
性别:
精华:
4
威望:
38407
贡献:
93.91
金钱:
0
状态:
离线
等级:
intel
版主
帖子:
96277
注册:
2003-02-28
来自:
大连市
发表于: 2017-05-13 18:44
|
短消息
资料
字号:
小
中
大
2楼
回复:瑞星发布重大病毒警报:蠕虫勒索病毒全球爆发 国内大量高校及企事业单位被攻击
国家网络与信息安全信息通报中心紧急通报:2017年5月12日20时左右,新型“蠕虫”式勒索病毒爆发,目前已有100多个国家和地区的数万台电脑遭该勒索病毒感染,我国部分Windows系列操作系统用户已经遭到感染。请广大计算机用户尽快升级安装补丁,地址为:
https://technet.microsoft.com/zh ... urity/MS17-010.aspx
Windows 2003和XP没有官方补丁,相关用户可打开并启用Windows防火墙,进入“高级设置”,禁用“文件和打印机共享”设置;或启用个人防火墙关闭445以及135、137、138、139等高风险端口。
已感染病毒机器请立即断网,避免进一步传播感染。
intel 最后编辑于 2017-05-13 18:45:11
我所居兮,青埂之峰;我所游兮,鸿蒙太空。
短消息
资料
加为好友
全部帖子
性别:
生日:
1983-12-21
精华:
110
威望:
154529
贡献:
3917
金钱:
0
257257
7777777
88888888
状态:
离线
等级:
天月来了
版主
帖子:
76904
注册:
2007-02-06
来自:
发表于: 2017-05-14 14:27
|
短消息
资料
字号:
小
中
大
3楼
回复:瑞星发布重大病毒警报:蠕虫勒索病毒全球爆发 国内大量高校及企事业单位被攻击
尤其是那些低版本Windows直接接宽带拨号获取公网IP地址工作的电脑们,忘记关闭445端口,那是最危险的。
短消息
资料
加为好友
全部帖子
性别:
精华:
54
威望:
123135
贡献:
2775
金钱:
45.5
状态:
离线
等级:
游侠双子星
特邀体验者
帖子:
3333
注册:
2011-04-11
来自:
陕西咸阳
发表于: 2017-05-15 10:36
|
短消息
资料
字号:
小
中
大
4楼
回复:瑞星发布重大病毒警报:蠕虫勒索病毒全球爆发 国内大量高校及企事业单位被攻击
没有安全意识才是最危险的,最不济还知道断网,最怕人家不管。
没事我踩踩!
灌水是我的第一要义!顶贴是我的首要职责!
时令鲜果猕猴桃,有需要的私信我!
短消息
资料
加为好友
全部帖子
性别:
生日:
1979-6-29
精华:
0
威望:
7110
贡献:
690
金钱:
0
10495874
状态:
离线
等级:
asss6668
初生襁褓狮
帖子:
4
注册:
2017-05-16
来自:
发表于: 2017-05-16 11:18
|
短消息
资料
字号:
小
中
大
5楼
回复:瑞星发布重大病毒警报:蠕虫勒索病毒全球爆发 国内大量高校及企事业单位被攻击
这东西是怎么传播的啊
短消息
资料
加为好友
全部帖子
性别:
精华:
0
威望:
6
贡献:
0
金钱:
0
状态:
离线
等级:
314698711@qq.com
版主
帖子:
2609
注册:
2014-08-04
来自:
futura
发表于: 2017-05-22 17:11
|
短消息
资料
字号:
小
中
大
6楼
回复 3F 天月来了 的帖子
关了445其实很麻烦的 打印机都没法用 感觉只能是打补丁处理
短消息
资料
加为好友
全部帖子
性别:
精华:
0
威望:
6499
贡献:
10
金钱:
0.02
314698711
状态:
离线
等级:
<<
上一主题
|
下一主题
>>
1
1
/ 1 页
跳转
页
论坛跳转...
企业产品讨论区
瑞星安全云终端软件
瑞星ESM防病毒终端安全防护系统
瑞星杀毒软件网络版(含Linux)
北方区
华东区
华南区
木马入侵拦截有奖体验专区
瑞星2009版查杀引擎测试
瑞星2009测试版问题反馈
瑞星杀毒软件2009公测
瑞星个人防火墙2009公测
瑞星全功能安全软件2009公测
瑞星智能沙箱分析/恶意代码威胁监测分析/上网行为管理
瑞星防毒墙5.0、瑞星下一代防火墙
瑞星虚拟化恶意代码防护系统
个人产品讨论区
瑞星之剑
瑞星防病毒安全软件
瑞星杀毒软件
瑞星安全联盟论坛
瑞星杀毒软件V16+
V16+新引擎测试专区
瑞星全功能安全软件
瑞星杀毒软件2011
瑞星个人防火墙V16
广告过滤
瑞星个人防火墙2011
瑞星AI网络威胁检测引擎、威胁情报及网安知识图谱
瑞星其他产品
瑞星手机安全助手
瑞星路由安全卫士
路由系统内核漏洞
APP保镖
瑞星安全浏览器
瑞星安全助手
卡卡上网安全助手
瑞星软件管家
瑞星加密盘
账号保险柜5.0
瑞星专业数据恢复
技术交流区
反病毒/反流氓软件论坛
菜鸟学堂
安全技术讨论
可疑文件交流
恶意网站交流
瑞星云安全网站联盟专版
每日网马播报
入侵防御(HIPS)
系统软件
硬件交流
综合娱乐区
Rising茶馆
影音贴图
瑞星安全游戏
凡人修真
华人德州扑克
一球成名
星际世界
神仙道
赢家竞技
梦幻飞仙
三国演义
仙落凡尘
秦美人
攻城掠地
女神联盟
风云无双
傲视九重天
深渊
魅影传说
热血屠龙
雷霆之怒
大天使之剑
传奇霸业
无上神兵
斗破沙城
全民裁决
蛮荒之怒2
活动专区
瑞星积分商城
实习生专区
实习生交流区
实习生签到区
实习生考核区
“安全之狮”校园行活动专版
历史活动
论坛9周年活动专区
关注灾情 同心抗灾
本站站务区
站务
版主之家[限]
禁言禁访记录
待审核
瑞星客户俱乐部[限]
瑞星发布《等保2.0详解暨瑞星等保三级解决方案》
遇密锁病毒CTB-locker 文档被加密,咨询如何解密/恢复的请进
Apple ID不设“两步验证”的悲剧 by baohe
招贤纳士 网罗人才——瑞星网安欢迎您的加入
连续13年!瑞星安全软件入选央采项目
瑞星杀毒软件V17的个人介绍 by dg1vg4
我的主题
我的帖子
我的精华
我的好友
文本模式