1个月前 (05-15)  安全播报 |   抢沙发  24 
文章评分 1 次,平均分 5.0

1 背景
5 月 12 日晚,一款名为 Wannacry 的蠕虫勒索软件袭击全球网络,这被认为
是迄今为止最巨大的勒索交费活动,影响到近百个国家上千家企业及公共组织。
该软件被认为是一种蠕虫变种(也被称为“Wannadecrypt0r”、“ wannacryptor” 或“ wcry”)。 像其他勒索软件的变种一样,WannaCry 也阻止用户访问计算机 或文件,要求用户需付费解锁。 该勒索软件利用 ETERNALBLUE(永恒之蓝)发起病毒攻击。蠕虫软件正是利 用 SMB 服务器漏洞,通过渗透到未打补丁的 Windows 计算机中,实现大规模迅 速传播。 一旦你所在组织中一台计算机受攻击,蠕虫会迅速寻找其他有漏洞的 电脑并发起攻击。 微软已经在三月份发布相关漏洞(MS17-010)修复补丁。如 Windows 系统未 及时升级补丁,则可能存在被感染风险。

参考链接:http://www.freebuf.com/news/134512.html
2 处置流程
1.1 未感染主机
1) 检测 Windows 电脑是否存在漏洞; 2) 防火墙屏蔽 445 端口; 3) 关闭共享打印机,SMB 服务; 4) 尽快备份电脑中的重要文件资料到存储设备上。提高安全意识,请 不要打开陌生人可疑邮件。 5) 升级系统补丁; 详见第三、四章节。
1.2 已感染主机
Wannacry 蠕虫勒索软件处置流程及方案
一旦发现中毒机器,立即断网。组织内网检测,查找所有开放 445 SMB 服务
端口的终端和服务器,一旦发现中毒机器,立即断网处置。并禁止在中毒机 器使用 u 盘、移动硬盘等设备,防止移动传染。
对于已被加密的计算机目前暂时没有实质的解决方案。以下是部分厂商或组 织提供的工具,可尝试进行部分文件恢复: 1) https://www.nomoreransom.org/ 2) https://github.com/QuantumLiu/antiBTCHack 3) http://dl.360safe.com/recovery/RansomRecovery.exe 我们将持续跟进事件动态,更多信息请关注 http://www.freebuf.com/。
3 如何快速检测是否存在漏洞
3.1 脚本检测
IT 管理员,运维人员可以使用以下工具检测
检测主机是否存在“永恒之蓝”漏洞(检测是否成功安装 MS17-010 补丁或成功添加对该漏
洞的防御)
工具名称: ms17_010.exe
方法:ms17_010.exe IP 地址或 IP 地址段

图为检测到 IP 为 10.0.0.9 的主机 存在该漏洞。

Wannacry蠕虫勒索软件处置流程及方案

也可以指定单独 IP:

Wannacry蠕虫勒索软件处置流程及方案

如果出现“Vulnerable to ms17-010” 则证明存在永恒之蓝漏洞。
4 防御及修复建议
根据实际情况选择任意一种方法
n IT 管理员:出口防火墙暂时屏蔽 445,135,137,139 端口。
n 个人电脑防火墙入站和出站规则屏蔽掉 445 端口。
Wannacry 蠕虫勒索软件处置流程及方案
解压工具包,找到脚本“利用个人电脑防火墙屏蔽 445 端口.bat”,右键, 以管理员身份运行,将会自动添加防火墙规则:
Wannacry蠕虫勒索软件处置流程及方案n 关闭 SMBv1
1) 适用于运行 Windows 8.1 或 Windows Server 2012 R2 及更高版本的客户 对于客户端操作系统:
Wannacry 蠕虫勒索软件处置流程及方案
打开“控制面板”,单击“程序”,然后单击“打开或关闭 Windows 功能”。 在“Windows 功能”窗口中,清除“SMB 1.0/CIFS 文件共享支持”复选框,然后 单击“确定”以关闭此窗口。重启系统。 2) 对于服务器操作系统:
打开“服务器管理器”,单击“管理”菜单,然后选择“删除角色和功能”。在“功 能”窗口中,清除“SMB 1.0/CIFS 文件共享支持”复选框,然后单击“确定”以关闭此窗口。重启系统。 3) 适用于运行 Windows 7、 Windows Server 2008 R2、 Windows Vista 和 Windows Server 2008,修改注册表 注册表路径︰ HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\LanmanServer\\Par ameters 新建项︰ SMB1,值 0(DWORD) 重新启动计算机

n 在线/离线升级系统补丁
详见附录补丁下载地址。
n 利用在线升级服务
Wannacry 蠕虫勒索软件处置流程及方案
以 Windows8 为例:下方任务栏,右键,设置 Wannacry蠕虫勒索软件处置流程及方案搜索框输入,windows 更新设置,并选择
Wannacry蠕虫勒索软件处置流程及方案选择检测更新,点击检测更新。
5 附录:各版本系统补丁包下载
离线升级包:下载地址 Windows 7 x64 http://download.windowsupdate.com/d/msdownload/update/software/secu/20 17/02/windows6.1-kb4012212x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu

Windows 7 x86 http://download.windowsupdate.com/d/msdownload/update/software/secu/20
Wannacry 蠕虫勒索软件处置流程及方案
17/02/windows6.1-kb4012212x86_6bb04d3971bb58ae4bac44219e7169812914df3f.msu

Windows 10 x64 http://download.windowsupdate.com/c/msdownload/update/software/secu/20 17/03/windows10.0-kb4012606x64_e805b81ee08c3bb0a8ab2c5ce6be5b35127f8773.msu

Windows 10 x86 http://download.windowsupdate.com/c/msdownload/update/software/secu/20 17/03/windows10.0-kb4012606x86_8c19e23de2ff92919d3fac069619e4a8e8d3492e.msu

Windows 8
http://download.windowsupdate.com/c/msdownload/update/software/secu/20 17/05/windows8-rt-kb4012598x86_a0f1c953a24dd042acc540c59b339f55fb18f594.msu

Windows 8 x64
http://download.windowsupdate.com/c/msdownload/update/software/secu/20 17/05/windows8-rt-kb4012598x64_f05841d2e94197c2dca4457f1b895e8f632b7f8e.msu

Wannacry 蠕虫勒索软件处置流程及方案
Windows Server 2008
http://download.windowsupdate.com/d/msdownload/update/software/secu/20 17/02/windows6.0-kb4012598ia64_83a6f5a70588b27623b11c42f1c8124a25d489de.msu

Windows Server 2008 x64
http://download.windowsupdate.com/d/msdownload/update/software/secu/20 17/02/windows6.0-kb4012598x64_6a186ba2b2b98b2144b50f88baf33a5fa53b5d76.msu

Windows Server2003
http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2 003-kb4012598-x86-customchs_b45d2d8c83583053d37b20edf5f041ecede54b80.exe
Windows Server 2003 x64
http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2 003-kb4012598-x64-customchs_68a2895db36e911af59c2ee133baee8de11316b9.exe
Windows Vista
http://download.windowsupdate.com/d/msdownload/update/software/secu/20 17/02/windows6.0-kb4012598x86_13e9b3d77ba5599764c296075a796c16a85c745c.msu

Wannacry 蠕虫勒索软件处置流程及方案
Windows Vista x64
http://download.windowsupdate.com/d/msdownload/update/software/secu/20 17/02/windows6.0-kb4012598x64_6a186ba2b2b98b2144b50f88baf33a5fa53b5d76.msu

XP SP3
http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxpkb4012598-x86-custom-chs_dca9b5adddad778cfd4b7349ff54b51677f36775.exe

XP SP2 x64
http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsserver2 003-kb4012598-x64-customenu_f24d8723f246145524b9030e4752c96430981211.exe
http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsserver2 003-kb4012598-x64-customjpn_9d5318625b20faa41042f0046745dff8415ab22a.exe

XP Embedded
http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsxpkb4012598-x86-embedded-customchs_41935edbcd6fa88a69718bc85ab5fd336445e7f9.exe

Wannacry 蠕虫勒索软件处置流程及方案
更多补丁请访问微软官方获取: http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
https://technet.microsoft.com/zh-cn/library/security/MS17-010

发表评论

表情 格式

暂无评论

切换注册

登录

忘记密码 ?

您也可以使用第三方帐号快捷登录

切换登录

注册

扫一扫二维码分享