瑞星发布重大病毒警报：蠕虫勒索病毒全球爆发国内大量高校及企事业单位被攻击

瑞星卡卡安全论坛企业产品讨论区 瑞星ESM防病毒终端安全防护系统瑞星发布重大病毒警报：蠕虫勒索病毒全球爆发国内大量高校及企事业单位被攻击

	瑞星ESM助力北京石龙医院筑牢安全防线		瑞星恶意代码管理系统助金华电力提升防御能力		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		助力国家网络安全瑞星获病毒应急处理中心感谢信
	实力拉满瑞星第四十四次通过VB100测评		瑞星发布2024年六大网络安全趋势		瑞星携手中国农业大学共筑网络安全防线		人工智能在网络安全领域的风险和机遇

1 / 1 页

跳转页

[产品资讯] 瑞星发布重大病毒警报：蠕虫勒索病毒全球爆发国内大量高校及企事业单位被攻击

本主题由管理员麦青儿于 2017-5-26 18:34:33 执行主题置顶/取消操作

管理员

帖子:17042
注册: 2004-03-26
来自:

发表于： 2017-05-13 14:24 | 只看楼主 短消息资料

字号：小中大 1楼

瑞星发布重大病毒警报：蠕虫勒索病毒全球爆发国内大量高校及企事业单位被攻击

事件介绍

2017年5 月12 日晚上20 时左右，全球爆发大规模蠕虫勒索软件感染事件，用户只要开机上网就可被攻击。五个小时内，包括英国、俄罗斯、整个欧洲以及国内多个高校校内网、大型企业内网和政府机构专网中招，被勒索支付高额赎金（有的需要比特币）才能解密恢复文件，这场攻击甚至造成了国内大量教学系统瘫痪，包括校园一卡通系统。
目前，瑞星公司针对此次病毒事件成立的应急处理小组，瑞星产品全线进行了紧急升级，并开通服务专线，广大用户可与瑞星安全专家直接取得联系。

瑞星紧急发布周一应对“WanaCrypt”蠕虫敲诈病毒的开机指南>>

瑞星客服联系方式：
在线咨询：http://www.sobot.com/chat/h5/ind ... 3cca6149a0d39a7227b
电话：01082616666 (7X24小时紧急联系电话：18600176950)

技术分析

据瑞星反病毒监测网监测，这是不法分子通过改造之前泄露的NSA黑客武器库中“永恒之蓝”攻击程序发起的网络攻击事件。“永恒之蓝”通过扫描开放445文件共享端口的Windows电脑甚至是电子信息屏，无需用户进行任何操作，只要开机联网，不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等一系列恶意程序。

利用445文件共享端口实施破坏的蠕虫病毒，曾多次在国内爆发。因此，运营商很早就针对个人用户将445端口封闭，但是教育网并未作此限制，仍然存在大量开放的445端口。据有关机构统计，目前国内平均每天有5000多台电脑遭到NSA“永恒之蓝”黑客武器的远程攻击，教育网已成重灾区！

瑞星安全专家分析：该勒索软件利用了微软SMB远程代码执行漏洞CVE-2017-0144，微软已在今年3月份发布了该漏洞的补丁。2017年4月黑客组织影子经纪人（Shadow Brokers）公布的方程式组织（Equation Group）使用的“EternalBlue”中包含了该漏洞的利用程序，而该勒索软件的攻击者在借鉴了该“EternalBlue”后进行了这次全球性的大规模勒索攻击事件。
点击查看 “永恒之蓝”WannaCry勒索病毒分析报告>>

瑞星解决方案

瑞星针对此次“永恒之蓝”发起的蠕虫病毒攻击传播勒索恶意事件，给出相关产品应对措施及风险应对方案。

一、瑞星终端安全产品解决方案

瑞星终端安全产品用户参照以下方法解决：
ESM版本号: 2.0.1.29
10网络版：22.04.63.50
11网络版：23.00.11.85
12网络版：24.00.12.60
13网络版：25.00.03.35

以上版本带的漏洞扫描功能已经可以支持下列补丁。更新微软MS17-010漏洞补丁，对应不同系统的补丁号对照表：

系统	补丁号
Windows Vista/ Windows Server 2008	KB4012598
Windows 7/ Windows Server 2008 R2	KB4012212/KB4012215
Windows 8.1	KB4012213/KB4012216
Windows Server2012	KB4012214/KB4012217
Windows Server2012 R2	KB4012213/KB4012216
Windows 10	KB4012606
Windows 10 1511	KB4013198
Windows 10 1607	KB4013429

1. ESM产品安装了行为审计、防火墙组件的用户可以设置防火墙规则（XP或非XP系统都可以）

使用行为审计\IP规则策略，设置端口规则

启用端口规则，根据需要考虑是否勾选“阻止访问时通知用户”
从右边增加一条新端口规则，勾选离线生效
选择“单个端口”，并设置端口号为445
协议选择TCP，方向选择入站
注意“允许联网”不要勾选，表示拒绝访问

网络版产品设置防火墙规则

通过控制，给组设置防火墙组规则，右键组，出操作菜单，设置防火墙规则

特别注意“常规”里一定要选择“禁止”，协议里协议类型选TCP，对方端口选任意端口，本地端口选指定端口，并填445

2. 没有防火墙功能的用户，可以在终端上执行以下命令

netsh firewall set opmode enable
netsh advfirewall firewall add rule name="deny445" dir=in protocol=tcp localport=445 action=block
也可以保持存.bat批处理文件，管理员权限直接运行

3. 使用公安专版或只有杀毒模块的用户

瑞星杀毒软件会进行病毒库紧急升级，用来查杀相应的病毒。
因为公安专版、单杀毒模块产品上既不带漏洞补丁修复，又不带防火墙功能，所以请使用公安网内部的其他方式安装系统补丁或配置防火墙规则(也可参考下一条说明方案)进行防御措施。

4.没有防火墙功能的用户，可以在终端上执行以下命令

netsh firewall set opmode enable
netsh advfirewall firewall add rule name="deny445" dir=in protocol=tcp localport=445 action=block
也可以将上述命令保存为.bat批处理文件，管理员权限直接运行。

制作.bat批处理文件方法：

新建一个文本文件
把上述命令拷贝到文件里，并保存
重命名.txt后缀改为.bat

二、临时解决方案及建议

1、Win7、Win 8.1、Win 10用户，尽快安装微软MS17-010的官方补丁。
https://technet.microsoft.com/zh ... urity/ms17-010.aspx

2、Windows XP用户，点击开始-》运行-》输入cmd，确定。在弹出的命令行窗口中输入下面三条命令以关闭SMB。
net stop rdr
net stop srv
net stop netbt

3、升级操作系统的处理方式：建议广大用户使用自动更新升级到Windows的最新版本。

4、在边界出口/交换路由设备禁止外网对校园网135/137/139/445端口的连接。

5、在校园网络核心主干交换路由设备禁止135/137/139/445端口的连接。

6、及时升级操作系统到最新版本；

7、勤做重要文件非本地备份；

8、停止使用Windows XP、Windows 2003等微软已不再提供安全更新的操作系统。

麦青儿最后编辑于 2017-05-14 19:19:18

分享到：

intel 版主帖子:96274 注册: 2003-02-28 来自:大连市	发表于： 2017-05-13 18:44 \| 短消息资料字号：小中大 2楼回复：瑞星发布重大病毒警报：蠕虫勒索病毒全球爆发国内大量高校及企事业单位被攻击国家网络与信息安全信息通报中心紧急通报：2017年5月12日20时左右，新型“蠕虫”式勒索病毒爆发，目前已有100多个国家和地区的数万台电脑遭该勒索病毒感染，我国部分Windows系列操作系统用户已经遭到感染。请广大计算机用户尽快升级安装补丁，地址为：https://technet.microsoft.com/zh ... urity/MS17-010.aspx Windows 2003和XP没有官方补丁，相关用户可打开并启用Windows防火墙，进入“高级设置”，禁用“文件和打印机共享”设置；或启用个人防火墙关闭445以及135、137、138、139等高风险端口。已感染病毒机器请立即断网，避免进一步传播感染。 intel 最后编辑于 2017-05-13 18:45:11 我所居兮，青埂之峰；我所游兮，鸿蒙太空。
intel 版主帖子:96274 注册: 2003-02-28 来自:大连市

天月来了版主帖子:76895 注册: 2007-02-06 来自:	发表于： 2017-05-14 14:27 \| 短消息资料字号：小中大 3楼回复：瑞星发布重大病毒警报：蠕虫勒索病毒全球爆发国内大量高校及企事业单位被攻击尤其是那些低版本Windows直接接宽带拨号获取公网IP地址工作的电脑们，忘记关闭445端口，那是最危险的。
天月来了版主帖子:76895 注册: 2007-02-06 来自:

游侠双子星特邀体验者帖子:3333 注册: 2011-04-11 来自:陕西咸阳	发表于： 2017-05-15 10:36 \| 短消息资料字号：小中大 4楼回复：瑞星发布重大病毒警报：蠕虫勒索病毒全球爆发国内大量高校及企事业单位被攻击没有安全意识才是最危险的，最不济还知道断网，最怕人家不管。没事我踩踩！灌水是我的第一要义！顶贴是我的首要职责！时令鲜果猕猴桃，有需要的私信我！
游侠双子星特邀体验者帖子:3333 注册: 2011-04-11 来自:陕西咸阳

asss6668 初生襁褓狮帖子:4 注册: 2017-05-16 来自:	发表于： 2017-05-16 11:18 \| 短消息资料字号：小中大 5楼回复：瑞星发布重大病毒警报：蠕虫勒索病毒全球爆发国内大量高校及企事业单位被攻击这东西是怎么传播的啊
asss6668 初生襁褓狮帖子:4 注册: 2017-05-16 来自:

314698711@qq.com 版主帖子:2605 注册: 2014-08-04 来自:futura	发表于： 2017-05-22 17:11 \| 短消息资料字号：小中大 6楼回复 3F 天月来了的帖子关了445其实很麻烦的打印机都没法用感觉只能是打补丁处理
314698711@qq.com 版主帖子:2605 注册: 2014-08-04 来自:futura