新闻资讯
+

高危预警:Wannacry比特币勒索病毒预防方法

2017-05-13    作者:网钛科技    来源:安全狗

2017年5月12日晚间,国内多家媒体曝出,受“方程式工具包”影响,国内大量pc遭遇到勒索软件感染,由于教育网未对445端口进行屏蔽,导致其影响较为严重。据悉,相关的工具和自动配置生成勒索软件的平台已经在Tor网络,除了感染个人PC电脑,也发现不少服务器系统被感染的情况

事件背景

据报道,周五晚20点左右,国内部分高校学生反映电脑被病毒攻击,文档被加密。攻击者称需支付比特币解锁。病毒是全国性的,疑似通过校园网传播,十分迅速。据有关机构统计,目前国内平均每天有5000多台电脑遭到NSA“永恒之蓝”黑客武器的远程攻击,教育网已成重灾区。


另据BBC报道,英国多家医院同样受到勒索软件攻击,攻击者向每家医院索要300比特币(接近400万人民币)的赎金,否则将删除所有资料。


截至今晨,全球74个国家的7万多台电脑遭到感染。

事件复盘

该勒索软件是一个名为“wannacry”的新型勒索软件。目前无法解密受到该类型的勒索软件感然的文件。该勒索软件利用了基于445端口传播扩散的SMB漏洞MS17-010.攻击者扫描全网开放的445端口,再利用自动化攻击脚本生成恶意文件感染主机。


当系统遭受攻击后,会弹出索要赎金的对话框

高危预警:Wannacry比特币勒索病毒预防方法 图1

同时系统中的图片,文档,压缩包,音频,视频,可执行称呼都被勒索软件以AES+RSA的加密算法加密。加密文件内容以“WANACRY!”开头,文件后缀名统一改成“.WNCRY”。

高危预警:Wannacry比特币勒索病毒预防方法 图2

修复方案

针对此次蠕虫病毒攻击传播勒索恶意事件,安全狗紧急推出应对措施及风险应对方案

安装安全狗服务器安全相关产品并使用安全狗云安全服务可以抵御该安全风险,官网地址:http://www.safedog.cn/


服务器应急修复方案


1.针对NSA泄露的SMB漏洞相关修复方法

漏洞概述


高危预警:Wannacry比特币勒索病毒预防方法 图3

SMB漏洞说明

高危预警:Wannacry比特币勒索病毒预防方法 图4

漏洞修复方案

高危预警:Wannacry比特币勒索病毒预防方法 图5

2.针对NSA泄露的SMB漏洞在不同系统上的相关修复方法

漏洞概述

高危预警:Wannacry比特币勒索病毒预防方法 图6

修复方法

安全狗服云用户可以在服云界面上针对服务器安全防护进行安全策略规则设置,用户可针对某个端口号进行策略设置,且对某部分IP做例外处理,并设置生效时间期限

( 【服务器安全防护】-【网络防火墙】-【安全策略】-【增加规则】 ),如下图所示

高危预警:Wannacry比特币勒索病毒预防方法 图7

高危预警:Wannacry比特币勒索病毒预防方法 图8

3.针对NSA泄露RDP服务的远程漏洞利用工具,针对Windows Server 2003 and Windows XP 开放了3389服务的计算机漏洞相关修复方法

漏洞概述

高危预警:Wannacry比特币勒索病毒预防方法 图9

漏洞修复方法

安全狗服云用户可在服云端上根据需求配置远程登录保护规则,

(【服务器安全防护】-【系统防火墙】-【系统登录保护】-【白名单访问控制】-【远程登录保护规则设置】)如下图所示

高危预警:Wannacry比特币勒索病毒预防方法 图10

4.针对NSA泄露的IIS6.0远程漏洞利用漏洞相关修复方法

漏洞概述

高危预警:Wannacry比特币勒索病毒预防方法 图11

漏洞说明

3月28日曝出iis6.0远程代码执行漏洞的相关处理,安全狗可拦截,具体如下:

漏洞描述:微软方面也已经确认了该漏洞:Windows Server 2003R2版本IIS6.0的WebDAV服务中的ScStoragePathFromUrl函数存在缓存区溢出漏洞,由于开启WebDAV服务就存在该漏洞,所以对于目前的IIS 6.0用户而言,可用的变通方案就是关闭WebDAV服务。

漏洞编号:CVE-2017-7269

影响版本:Windows 2003/IIS6.0

攻击向量:修改过的PROPFIND数据


修复方法

网站安全狗默认规则即可拦截并处理此漏洞

高危预警:Wannacry比特币勒索病毒预防方法 图12

本地检测IIS 6.0 WebDAV是否开启方法

打开“IIS管理器”(Internet Information Services) Manager

---->“Web拓展服务”(Web service Extensions);

在右侧边栏找到“WebDAV”;

若“状态”(status)值为: “允许”(Allowed),则表明WebDAV处于开启状态

如下图:

高危预警:Wannacry比特币勒索病毒预防方法 图13

个人PC修复方案


1.Win7、Win8、Win10的处理流程

打开控制面板-系统与安全-Windows防火墙,点击左侧启动或关闭Windows防火墙

高危预警:Wannacry比特币勒索病毒预防方法 图14

选择启动防火墙,并点击确定

高危预警:Wannacry比特币勒索病毒预防方法 图15

点击高级设置

高危预警:Wannacry比特币勒索病毒预防方法 图16

点击入站规则,新建规则

高危预警:Wannacry比特币勒索病毒预防方法 图17

选择端口,下一步

高危预警:Wannacry比特币勒索病毒预防方法 图18

特定本地端口,输入445,下一步

高危预警:Wannacry比特币勒索病毒预防方法 图19

选择阻止连接,下一步

高危预警:Wannacry比特币勒索病毒预防方法 图20

配置文件,全选,下一步

高危预警:Wannacry比特币勒索病毒预防方法 图21

名称,可以任意输入,完成即可。

高危预警:Wannacry比特币勒索病毒预防方法 图22

2.XP系统的处理流程


依次打开控制面板,安全中心,Windows防火墙,选择启用

高危预警:Wannacry比特币勒索病毒预防方法 图23

点击开始,运行,输入cmd,确定执行下面三条命令


net  stop rdr

net  stop srv

net  stop netbt


由于微软已经不再为XP系统提供系统更新,建议用户尽快升级到高版本系统。



此次勒索软件事件特别针对高校产生了极大影响,可能会在更广阔的终端消费者群体内爆发,后果很恶劣。


网钛科技提醒广大用户,一方面要提高安全防范意识做好数据备份策略,另一方面要采用更加积极主动的工具制定事前、事中、事后的安全策略,才能应对隐藏在网络世界中的不法分子。

阅读:3441    评论:0
  • 相关文章
  • 热门文章
  • 相关评论
联系我们 - 网钛淘宝店 - 免责声明 - 网站地图
 客服QQ:877873666网钛客服   阿里旺旺: 点击这里给我发消息sunyi3210     网钛微信公众号:otcms2010    网钛QQ交流群1:182790631网钛CMS交流群1  (更多联系方式看右侧)
 网钛淘宝店   版权保护登记号:2013SR057730     闽公网安备35010402351296号  闽ICP备17002817号-2
【电脑版】  【回到顶部】