事件介紹
2017年5 月12 日晚上20 時左右,全球爆發(fā)大規(guī)模蠕蟲勒索軟件感染事件���,用戶只要開機上網(wǎng)就可被攻擊�。五個小時內(nèi)��,包括英國�����、俄羅斯��、整個歐洲以及國內(nèi)多個高校校內(nèi)網(wǎng)����、大型企業(yè)內(nèi)網(wǎng)和政府機構(gòu)專網(wǎng)中招��,被勒索支付高額贖金(有的需要比特幣)才能解密恢復文件�,這場攻擊甚至造成了國內(nèi)大量教學系統(tǒng)癱瘓����,包括校園一卡通系統(tǒng)���。
目前���,瑞星公司針對此次病毒事件成立的應急處理小組,瑞星產(chǎn)品全線進行了緊急升級�,并開通服務專線,廣大用戶可與瑞星安全專家直接取得聯(lián)系�。
技術(shù)分析
據(jù)瑞星反病毒監(jiān)測網(wǎng)監(jiān)測, 這是不法分子通過改造之前泄露的NSA黑客武器庫中“永恒之藍”攻擊程序發(fā)起的網(wǎng)絡攻擊事件���。“永恒之藍”通過掃描開放445文件共享端口的Windows電腦甚至是電子信息屏�����,無需用戶進行任何操作��,只要開機聯(lián)網(wǎng)��,不法分子就能在電腦和服務器中植入勒索軟件����、遠程控制木馬、虛擬貨幣挖礦機等一系列惡意程序�。
利用445文件共享端口實施破壞的蠕蟲病毒,曾多次在國內(nèi)爆發(fā)�����。因此��,運營商很早就針對個人用戶將445端口封閉����,但是教育網(wǎng)并未作此限制,仍然存在大量開放的445端口�。據(jù)有關(guān)機構(gòu)統(tǒng)計,目前國內(nèi)平均每天有5000多臺電腦遭到NSA“永恒之藍”黑客武器的遠程攻擊����,教育網(wǎng)已成重災區(qū)!
瑞星安全專家分析:該勒索軟件利用了微軟SMB遠程代碼執(zhí)行漏洞CVE-2017-0144,微軟已在今年3月份發(fā)布了該漏洞的補丁�。2017年4月黑客組織影子經(jīng)紀人(Shadow Brokers)公布的方程式組織(Equation Group)使用的“EternalBlue”中包含了該漏洞的利用程序�,而該勒索軟件的攻擊者在借鑒了該“EternalBlue”后進行了這次全球性的大規(guī)模勒索攻擊事件。
瑞星解決方案
瑞星針對此次“永恒之藍”發(fā)起的蠕蟲病毒攻擊傳播勒索惡意事件����,給出相關(guān)產(chǎn)品應對措施及風險應對方案�。
一���、瑞星終端安全產(chǎn)品解決方案
瑞星終端安全產(chǎn)品用戶參照以下方法解決:
ESM版本號: 2.0.1.29
10網(wǎng)絡版:22.04.63.50
11網(wǎng)絡版:23.00.11.85
12網(wǎng)絡版:24.00.12.60
13網(wǎng)絡版:25.00.03.35
以上版本帶的漏洞掃描功能已經(jīng)可以支持下列補丁�。更新微軟MS17-010漏洞補丁����,對應不同系統(tǒng)的補丁號對照表:
1. ESM產(chǎn)品安裝了行為審計、防火墻組件的用戶可以設(shè)置防火墻規(guī)則(XP或非XP系統(tǒng)都可以)
使用行為審計\IP規(guī)則策略���,設(shè)置端口規(guī)則
l 啟用端口規(guī)則���,根據(jù)需要考慮是否勾選“阻止訪問時通知用戶”
l 從右邊增加一條新端口規(guī)則,勾選離線生效
l 選擇“單個端口”����,并設(shè)置端口號為445
l 協(xié)議選擇TCP,方向選擇入站
l 注意“允許聯(lián)網(wǎng)”不要勾選���,表示拒絕訪問
網(wǎng)絡版產(chǎn)品設(shè)置防火墻規(guī)則
l 通過控制���,給組設(shè)置防火墻組規(guī)則��,右鍵組����,出操作菜單�,設(shè)置防火墻規(guī)則
特別注意“常規(guī)”里一定要選擇“禁止”,協(xié)議里協(xié)議類型選TCP�,對方端口選任意端口,本地端口選指定端口����,并填445
2. 沒有防火墻功能的用戶,可以在終端上執(zhí)行以下命令
netsh firewall set opmode enable
netsh advfirewall firewall add rule name="deny445" dir=in protocol=tcp localport=445 action=block
也可以保持存.bat批處理文件�����,管理員權(quán)限直接運行
3. 使用公安專版或只有殺毒模塊的用戶
瑞星殺毒軟件會進行病毒庫緊急升級�����,用來查殺相應的病毒����。
因為公安專版、單殺毒模塊產(chǎn)品上就即不帶漏洞補丁修復�,又不帶防火墻功能,所以請使用公安網(wǎng)內(nèi)部的其他方式安裝系統(tǒng)補丁或配置防火墻規(guī)則(也可參考下一條說明方案)進行防御措施�。
4. 沒有防火墻功能的用戶,可以在終端上執(zhí)行以下命令
netsh firewall set opmode enable
netsh advfirewall firewall add rule name="deny445" dir=in protocol=tcp localport=445 action=block
也可以將上述命令保存為.bat批處理文件����,管理員權(quán)限直接運行。
制作.bat批處理文件方法:
n 新建一個文本文件
n 把上述命令拷貝到文件里��,并保存
n 重命名.txt后綴改為.bat
二����、臨時解決方案及建議
1、 Win7�、Win 8.1、Win 10用戶�����,盡快安裝微軟MS17-010的官方補丁��。https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx
2��、 Windows XP用戶���,點擊開始-》運行-》輸入cmd����,確定。在彈出的命令行窗口中輸入下面三條命令以關(guān)閉SMB��。
net stop rdr
net stop srv
net stop netbt
3����、 升級操作系統(tǒng)的處理方式:建議廣大用戶使用自動更新升級到Windows的最新版本。
4��、在邊界出口交換路由設(shè)備禁止外網(wǎng)對校園網(wǎng)135/137/139/445端口的連接����。
5、在校園網(wǎng)絡核心主干交換路由設(shè)備禁止135/137/139/445端口的連接���。
6�、及時升級操作系統(tǒng)到最新版本;
7���、勤做重要文件非本地備份;
8�、停止使用Windows XP�����、Windows 2003等微軟已不再提供安全更新的操作系統(tǒng)。
京公網(wǎng)安備 11010502041587號