永恒之蓝攻击紧急处置.doc

“永恒之蓝”攻击紧急处置
(WannaCry 蠕虫)
苏州市信息中心
2018 年 01 月 08 日
安全通告
近期江苏省多地正在遭遇 WannaCry 勒索病毒袭击,网络出现 ONION/Wncry 勒索软件感染情况, 后缀,只有支付高额赎金才能解密恢复文件,对重要数据造成严重损失。
事件信息
根据网络安全机构通报,这是不法分子利用 NSA 黑客武器库泄漏的“永恒之蓝”发起的蠕虫病毒攻击事件。恶意代码会扫描开放 445 文件共享端口的 Windows 机器,无需用户任何操作,只要开机上网,不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚
拟货币挖矿机等恶意程序。
由于以前国内多次爆发利用445端口传播的蠕虫,部分运营商在主干网络上封禁了445端口,但是教育网并没有此限制,仍然存在大量暴露 445 端口且存在漏洞的电脑,导致目前此蠕虫在教育网内大量传播,大概量级是每天 5000 个用户中招。
特别提醒:WanaCry!勒索软件除了通过 ms17-010 的 SMBv1 传播,还可能通过曾经被安装过 NSA DoublePulsar 后门的渠道进行传播,曾被 EternalBlue 攻击并成功安装过DoublePulsar 后门的系统,即便已安装 ms17-010 补丁仍有可能被该勒索软件感染
处置建议
安全操作提示
从目前掌握的情况来看:
1. 不要轻易点击不明附件,尤其是 rtf、doc 等格式,可以安装360 杀毒软件等相关安全产品进行查杀;
2. 及时更新 windows 系统补丁;
3. 内网中存在使用相同账号、密码情况的机器请尽快修改密码,未开机的电脑请确认口令修改完毕、补丁安装完成后再进行联网操作。
4. 立即封堵不必要的 SMB 协议(TCP 445 端口);
5. 针对必须启用 SMB 协议的网络进行深度的 IPS 检测,及时阻断攻击;
6. 在网络内部安全域间部署防火墙设备,通过隔离安全域降低攻击的影响范围
修复工具
安全团队开发的勒索蠕虫漏洞修复工具,可根本解决勒索蠕虫利用 MS17-010 漏洞带来的安全隐患。此修复工具集成免疫、SMB 服务关闭和各系统下 MS17-010 漏洞检测与修复于一体。可在离线网络环境下一键式修复系统存在的 MS17-010 漏洞,工具下载地址:
http://b./other/onionwormkiller
 政务网主机应急处置
命令行检查端口开放情况
点击 windows 图标,在搜索框中输入“cmd”
在搜索结果中的“cmd”上点击右键单击“以管理员身份运行”按钮
针对主机的处置方式
方式一:启用蠕虫快速免疫工具
采用快速处置方式,建议使用 360 安全卫士的“NSA 武器库免疫工具”,可一键检测修复漏洞、关闭高风险服务,包括精准检测出 NSA 武器库使用的漏洞是否已经修复,并提示用户安装相应的补丁。针对 Windows XP、Windows 2003 等无补丁的系统版本用户,防御工具能够帮助用户关闭存在高危风险的服务,从而对 NSA 黑客武器攻击的系统漏洞彻底“免疫”
免疫工具的下载地址 ./tools/
方式二:启用 windows防火墙
在桌面右下角网络连接处点击右键,单击“打开网络和共享中心”,
在网络和共享中心,点击左下角“Windows 防火墙”字样,
打开“Windows 防火墙”管理界面,在左侧功能区点击“打开或关闭 Windows 防火墙”,
打开“自定义设置”界面,分别点击下图中红框内“启用 Windows 防火墙
”,然后点击“确定”,回到“Windows 防火墙”窗口。
在左侧功能区点击“高级设置“字样
打开“高级安全 Windows 防火墙“窗口,
点击“入站规则”- “新建规则”,
打开“新建入站规则向导”界面,在规则类型页,选择“端口(O)”,然后点击“下一步”,
在协议和端口页,特定本地端口处,输入“445”,然后点击“下一步”,
在操作页,选中“阻止连接”,然后点击下一步,
在配置文件页,“何时应用该规则?”处全部选中,然后点击下一步,
打开“名称”页,在名称处输入“阻断 445 端口”,然后点击“完成”。