永恒之藍(lán)勒索病毒國內(nèi)爆發(fā) 最全解決方案在此

　　2017年5 月12 日晚上20 時(shí)左右，全球爆發(fā)大規(guī)模蠕蟲勒索軟件感染事件，僅僅幾個(gè)小時(shí)內(nèi)，該勒索軟件已經(jīng)攻擊了99個(gè)國家近萬臺電腦。英國、美國、俄羅斯、德國、土耳其、意大利、中國、菲律賓等國家都已中招，且攻擊仍在蔓延。

　　據(jù)報(bào)道，勒索攻擊導(dǎo)致16家英國醫(yī)院業(yè)務(wù)癱瘓，西班牙某電信公司有85%的電腦感染該惡意程序。至少1600家美國組織，11200家俄羅斯組織和6500家中國組織和企業(yè)都受到了攻擊。國內(nèi)也有大量教學(xué)系統(tǒng)癱瘓，包括校園一卡通系統(tǒng)。

　　該勒索病毒名為“永恒之藍(lán)”，偽裝為Windows系統(tǒng)文件，用戶一旦感染，電腦中大多數(shù)文件類型均會被加密，然后向用戶勒索價(jià)值300或600美金的比特幣。該病毒影響所有Windows操作系統(tǒng)。

　　目前，瑞星所有產(chǎn)品均可對該病毒進(jìn)行攔截，請將瑞星所有產(chǎn)品更新至最新版。同時(shí)，瑞星推出該病毒免疫工具“瑞星永恒之藍(lán)免疫工具”，用戶可下載防御病毒。

　　下載地址：

　　瑞星“永恒之藍(lán)”免疫工具

　　http://download.rising.net.cn/zsgj/EternalBluemianyi.exe

　　瑞星“永恒之藍(lán)”免疫工具+殺軟

　　http://download.rising.net.cn/zsgj/EternalBluemianyi_sharuan.exe

　　內(nèi)網(wǎng)用戶免疫病毒方法：

　　WanaCrypt的主程序啟動時(shí)，首先會訪問

　　http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com，如果可以訪問，則會停止工作。

　　目前該域名已經(jīng)被注冊，在互聯(lián)網(wǎng)環(huán)境下，WanaCrypt應(yīng)該已經(jīng)不再起效。對于無法連接互聯(lián)網(wǎng)的用戶，可以在本地網(wǎng)絡(luò)環(huán)境中增加該域名的解析，起到抑WanaCrypt活性的作用�；蛘咴诒緳C(jī)修改host文件，讓該域名指向任意有效HTTP服務(wù)，都可以起到“免疫”的效果。無法連接互聯(lián)網(wǎng)的用戶需要自己手工修改指向一個(gè)內(nèi)部可訪問的HTTP服務(wù)，防毒墻可以在攔截到這個(gè)HTTP請求時(shí)返回成功信息。

　　瑞星所有產(chǎn)品解決方案

　　一、瑞星終端安全產(chǎn)品解決方案

　　瑞星殺毒軟件網(wǎng)絡(luò)版查殺截圖：

　　瑞星安全云查殺截圖：

　　1、更新微軟MS17-010漏洞補(bǔ)丁，對應(yīng)不同系統(tǒng)的補(bǔ)丁號對照表：

　　ESM版: 2.0.1.29

　　10網(wǎng)絡(luò)版：22.04.63.50

　　11網(wǎng)絡(luò)版：23.00.11.85

　　12網(wǎng)絡(luò)版：24.00.12.60

　　13網(wǎng)絡(luò)版：25.00.03.35

　　以上版本帶的漏洞掃描功能已經(jīng)可以支持以上補(bǔ)丁。

　　2、ESM產(chǎn)品安裝了行為審計(jì)、防火墻組件的用戶可以設(shè)置防火墻規(guī)則(XP或非XP系統(tǒng)都可以)

　　使用行為審計(jì)\IP規(guī)則策略，設(shè)置端口規(guī)則

　　l 啟用端口規(guī)則，根據(jù)需要考慮是否勾選“阻止訪問時(shí)通知用戶”

　　l 從右邊增加一條新端口規(guī)則，勾選離線生效

　　l 選擇“單個(gè)端口”，并設(shè)置端口號為445

　　l 協(xié)議選擇TCP，方向選擇入站

　　l 注意“允許聯(lián)網(wǎng)”不要勾選，表示拒絕訪問

　　3、網(wǎng)絡(luò)版產(chǎn)品設(shè)置防火墻規(guī)則

　　l 通過控制，給組設(shè)置防火墻組規(guī)則，右鍵組，出操作菜單，設(shè)置防火墻規(guī)則

　　特別注意“常規(guī)”里一定要選擇“禁止”，協(xié)議里協(xié)議類型選TCP，對方端口選任意端口，本地端口選指定端口，并填445

　　4、使用公安專版或只有殺毒模塊的用戶

　　瑞星殺毒軟件會進(jìn)行病毒庫緊急升級，用來查殺相應(yīng)的病毒。

　　因?yàn)楣�安專版、單殺毒模塊產(chǎn)品上就即不帶漏洞補(bǔ)丁修復(fù)，又不帶防火墻功能，所以請使用公安網(wǎng)內(nèi)部的其他方式安裝系統(tǒng)補(bǔ)丁或配置防火墻規(guī)則(也可參考下一條說明方案)進(jìn)行防御措施。

　　5、沒有防火墻功能的用戶，可以在終端上執(zhí)行以下命令

　　netsh firewall set opmode enable

　　netsh advfirewall firewall add rule name="deny445" dir=in protocol=tcp localport=445 action=block

　　netsh advfirewall firewall add rule name="deny139" dir=in protocol=tcp localport=139 action=block

　　netsh firewall set portopening protocol=TCP port=445 mode=disable name=deny445

　　netsh firewall set portopening protocol=TCP port=139 mode=disable name=deny139

　　也可以將上述命令保存為.bat批處理文件，管理員權(quán)限直接運(yùn)行,制作.bat批處理文件方法：

　　n 新建一個(gè)文本文件

　　n 把上述命令拷貝到文件里，并保存

　　n 重命名.txt后綴改為.bat

　　二、瑞星云安全產(chǎn)品解決方案

　　(一)關(guān)閉系統(tǒng)445文件共享端口

　　1、安裝了瑞星虛擬化系統(tǒng)安全軟件最新版windows安全防護(hù)終端的用戶可以在 “網(wǎng)絡(luò)防護(hù)”功能中增加新的“IP規(guī)則”以關(guān)閉445端口，防止黑客通過445端口共享入侵感染系統(tǒng)。具體步驟如下：

　　開啟windows安全防護(hù)終端的“網(wǎng)絡(luò)防護(hù)”功能

　　在“IP規(guī)則”中增加禁用共享445端口的規(guī)則設(shè)置

　　亦可通過瑞星虛擬化系統(tǒng)安全軟件管理中心進(jìn)行規(guī)則設(shè)置

　　通過系統(tǒng)管理中心的終端管理對終端規(guī)則進(jìn)行設(shè)置

　　設(shè)置終端的“IP規(guī)則”

　　增加禁用共享445端口的規(guī)則設(shè)置

　　注:此設(shè)置方法也可應(yīng)用于策略模板生成，生成的模板可以批量應(yīng)用于環(huán)境內(nèi)的所有終端。

　　2、使用了瑞星虛擬化系統(tǒng)安全軟件華為無代理防火墻的用戶，亦可通過增加防火墻規(guī)則，關(guān)閉445共享端口，實(shí)現(xiàn)無代理網(wǎng)絡(luò)安全防護(hù)。設(shè)置方法如下：

　　增加無代理防火墻禁用共享445端口的規(guī)則

　　3、如果沒有使用瑞星虛擬化系統(tǒng)安全軟件的網(wǎng)絡(luò)防護(hù)功能，也可采用以下臨時(shí)解決方案暫時(shí)緩解安全問題:

　　A.打開“Windows防火墻”，在“高級設(shè)置”的入站規(guī)則里禁用“文件和打印機(jī)共享”相關(guān)規(guī)則。

　　B.或通過在終端上執(zhí)行命令關(guān)閉445端口共享，命令如下：

　　netsh firewall

　　set opmode enable

　　netsh advfirewall

　　firewall add rule name=”deny445” dir=in protocol=tep localport=445 action=block

　　通過管理員權(quán)限直接運(yùn)行即可。

　　(二)針對SMB遠(yuǎn)程代碼執(zhí)行漏洞進(jìn)行補(bǔ)丁修補(bǔ)

　　1、通過修補(bǔ)Microsoft 安全公告 MS17-010 - 嚴(yán)重安全漏洞補(bǔ)丁https://technet.microsoft.com/zh-cn/library/security/MS17-010，解決黑客利用SMB的遠(yuǎn)程代碼執(zhí)行漏洞感染計(jì)算機(jī)的問題。

　　對應(yīng)操作系統(tǒng)漏洞補(bǔ)丁編號如下：

　　2、如果擔(dān)心補(bǔ)丁穩(wěn)定性問題，亦可通過如下步驟臨時(shí)緩解部分系統(tǒng)問題：

　　通過運(yùn)行終端命令關(guān)閉SMB

　　適用于運(yùn)行Windows XP的客戶解決方法

　　net stop rdr

　　net stop srv

　　net stop netbt

　　適用于運(yùn)行 Windows 8.1 或 Windows Server 2012 R2 及更高版本的客戶的替代方法

　　對于客戶端操作系統(tǒng)：

　　1、打開“控制面板”，單擊“程序”，然后單擊“打開或關(guān)閉 Windows 功能”。

　　2、在“Windows 功能”窗口中，清除“SMB 1.0/CIFS 文件共享支持”復(fù)選框，然后單擊“確定”以關(guān)閉此窗口。

　　3、重啟系統(tǒng)。

　　對于服務(wù)器操作系統(tǒng)：

　　1、打開“服務(wù)器管理器”，單擊“管理”菜單，然后選擇“刪除角色和功能”。

　　2、在“功能”窗口中，清除“SMB 1.0/CIFS 文件共享支持”復(fù)選框，然后單擊“確定”以關(guān)閉此窗口。

　　3、重啟系統(tǒng)。

　　受此臨時(shí)緩解方法的影響。目標(biāo)系統(tǒng)上將禁用 SMBv1 協(xié)議。

　　有很多用戶無法第一時(shí)間獲取各類補(bǔ)丁，或者由于重要業(yè)務(wù)無法中斷，無法安裝補(bǔ)丁，還有很多用戶不愿關(guān)閉自身的445端口文件共享以及SMB，同時(shí)又不希望自己被Wannacry影響環(huán)境內(nèi)的安全，如果用戶已經(jīng)部署了瑞星虛擬化系統(tǒng)安全軟件，那么可以通過開啟入侵防御規(guī)則，有效解決此次Wannacry安全威脅，同時(shí)不影響當(dāng)前環(huán)境的穩(wěn)定性。

　　用戶可以在安全防護(hù)終端本地開啟IPS規(guī)則。

　　或者在瑞星虛擬化系統(tǒng)安全軟件管理中心為需要保護(hù)的系統(tǒng)開啟IPS防護(hù)規(guī)則

　　當(dāng)然如果用戶的數(shù)據(jù)中心使用的是瑞星虛擬化系統(tǒng)安全軟件的無代理網(wǎng)絡(luò)防護(hù)功能，我們亦可為用戶提供無代理網(wǎng)絡(luò)防護(hù)內(nèi)的IPS防護(hù)功能，通過瑞星虛擬化系統(tǒng)安全軟件管理中心為云環(huán)境內(nèi)的虛擬機(jī)設(shè)置無代理IPS規(guī)則，解決數(shù)據(jù)中心內(nèi)部的微分段網(wǎng)絡(luò)內(nèi)的安全風(fēng)險(xiǎn)。

　　(三)將防病毒軟件病毒庫更新至最新版本解決系統(tǒng)內(nèi)的Wannacry勒索病毒。

　　對于已經(jīng)部署瑞星虛擬化系統(tǒng)安全軟件子產(chǎn)品的用戶，可以將安全防護(hù)產(chǎn)品更新至2.0.0.40版本(病毒庫版本：29.0513.0001)以上，即可解決本地存在的Wannacry勒索病毒。

　　用戶亦可在更新至最新版本后通知數(shù)據(jù)中心或管理中心內(nèi)全部環(huán)境上的子產(chǎn)品進(jìn)行全盤查殺，已解決當(dāng)前環(huán)境內(nèi)的全部Wannacry安全威脅。

　　勒索病毒已經(jīng)存在很久，并且已經(jīng)成為最具威脅的惡意代碼，由于黑客通過勒索軟件可以獲取大量的利益，因此，勒索軟件的變種速度也極快，給各大安全廠商帶來很多的麻煩，此次勒索軟件使用的445共享端口，SMB遠(yuǎn)程執(zhí)行漏洞，都是已知的安全缺陷或是安全漏洞，并且微軟也已經(jīng)發(fā)布了相應(yīng)的安全補(bǔ)丁，所以提升安全防護(hù)意識，才是解決安全風(fēng)險(xiǎn)的第一要素。

　　三、瑞星網(wǎng)關(guān)安全產(chǎn)品解決方案

　　(一)瑞星導(dǎo)線式防毒墻防護(hù)方法

　　瑞星導(dǎo)線式防毒墻查殺截圖：

　　登錄導(dǎo)線式防毒墻WEB管理界面，進(jìn)入【系統(tǒng)管理】à【安全加固】菜單，選擇"系統(tǒng)補(bǔ)丁升級"頁面，使用瑞星官網(wǎng)最新發(fā)布的系統(tǒng)補(bǔ)丁對導(dǎo)線式防毒墻進(jìn)行系統(tǒng)升級，如圖所示：

　　登錄導(dǎo)線式防毒墻WEB管理界面，進(jìn)入【系統(tǒng)管理】à【安全加固】菜單，選擇"病毒庫升級"，使用瑞星官網(wǎng)最新發(fā)布的病毒庫升級包，對導(dǎo)線式防毒墻進(jìn)行病毒庫的升級，最新版本的病毒庫中已經(jīng)加入了對勒索病毒各種變種病毒文件的檢測，完成病毒庫升級可以有效的檢測并阻斷勒索病毒文件的傳播，如圖所示：

　　打開導(dǎo)線式防毒墻的【配置管理】à【高級配置】菜單，選擇"查毒策略"配置頁面，對導(dǎo)線式防毒墻的查毒策略進(jìn)行配置，啟用蠕蟲病毒檢測功能和免疫勒索病毒的處理，啟用后，導(dǎo)線式防毒墻將阻斷攔截蠕蟲病毒和所有經(jīng)過防毒墻 TCP 445端口的出站、入站請求，如下圖所示：

　　(二)瑞星UTM2.0防毒墻防護(hù)方法

　　瑞星UTM防毒墻查殺截圖：

　　登錄瑞星UTM2.0防毒墻WEB管理界面，進(jìn)入【系統(tǒng)管理】à【系統(tǒng)維護(hù)】菜單，選擇"軟件升級"標(biāo)簽頁，使用瑞星官網(wǎng)最新發(fā)布的病毒庫升級包，對UTM2.0防毒墻進(jìn)行病毒威脅庫的升級，最新版本的病毒威脅庫中已經(jīng)加入了對勒索病毒各種變種病毒文件的檢測，完成病毒庫升級可以有效的檢測并阻斷勒索病毒文件的傳播，如圖所示:

　　打開【防火墻】à【安全策略配置】菜單，選擇"安全策略配置"標(biāo)簽頁，在安全策略中點(diǎn)擊"增加"添加一條安全策略，如圖所示：

　　在新增的安全策略配置窗口中，選擇服務(wù)內(nèi)容配置項(xiàng)，在下拉菜單最下方選擇【增加】，如下圖所示：

　　新增一個(gè)服務(wù)對象，服務(wù)對象的配置如下圖所示：

　　點(diǎn)擊"確定"后，安全策略中服務(wù)內(nèi)容將會增加一個(gè)勒索病毒防護(hù)的服務(wù)對象，如下圖所示，選擇新增的服務(wù)對象并點(diǎn)擊"確定"完成防火墻安全策略的加。

　　返回"安全策略配置"頁面，勾選新增加的安全策略，點(diǎn)擊"啟用"按鈕完成安全策略的啟用，如下圖所示，啟用成功后，新增安全策略的狀態(tài)變?yōu)?/p>

　　。

　　(三)瑞星下一代防毒墻防護(hù)方法

　　瑞星下一代防毒墻查殺截圖：

　　登錄瑞星下一代防毒墻WEB管理界面，進(jìn)入【系統(tǒng)管理】à【軟件升級】菜單，使用瑞星官網(wǎng)最新發(fā)布的病毒庫升級包，對下一代防毒墻進(jìn)行病毒威脅庫的升級，最新版本的病毒威脅庫中已經(jīng)加入了對勒索病毒各種變種病毒文件的檢測，完成病毒庫升級可以有效的檢測并阻斷勒索病毒文件的傳播，如圖所示:

　　打開【策略配置】à【安全策略】菜單，點(diǎn)擊屏幕下方的"新增"按鈕，增加一條新的安全策略，如下圖所示，在常規(guī)配置標(biāo)簽中，在服務(wù)內(nèi)容下拉菜單最下方點(diǎn)擊"添加"增加一條服務(wù)對象。

　　配置指定的協(xié)議和端口，如下圖所示，點(diǎn)擊"確定"完成服務(wù)對象的增加。

　　完成增加后在服務(wù)對象中選擇新增的這條服務(wù)對象，如下圖所示：

　　切換到"其他配置"標(biāo)簽頁，將安全策略的處理動作設(shè)置為“拒絕”，如下圖所示。

　　配置完成后，點(diǎn)擊“確定”完成策略的增加。

　　返回安全策略列表，勾選新增的安全策略，點(diǎn)擊下方的"啟用"按鈕，完成策略的啟用，如下圖所示，啟用成功后，安全策略狀態(tài)會變?yōu)?/p>

　　。

　　(四)瑞星網(wǎng)絡(luò)安全預(yù)警系統(tǒng)全面監(jiān)控

　　瑞星網(wǎng)絡(luò)安全預(yù)警系統(tǒng)監(jiān)控截圖：

　　瑞星網(wǎng)絡(luò)安全預(yù)警系統(tǒng)用戶只需升級到最新版本，即可全面監(jiān)控“永恒之藍(lán)”勒索病毒的全網(wǎng)傳播及感染情況。

　　四、臨時(shí)解決方案及建議

　　Win7、Win 8.1、Win 10用戶，盡快安裝微軟MS17-010的官方補(bǔ)丁。https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx

　　Windows XP用戶，點(diǎn)擊開始-》運(yùn)行-》輸入cmd，確定。在彈出的命令行窗口中輸入下面三條命令以關(guān)閉SMB。

　　net stop rdr

　　net stop srv

　　net stop netbt

　　3、 升級操作系統(tǒng)的處理方式：建議廣大用戶使用自動更新升級到Windows的最新版本。

　　4、在邊界出口交換路由設(shè)備禁止外網(wǎng)對校園網(wǎng)135/137/139/445端口的連接。

　　5、在校園網(wǎng)絡(luò)核心主干交換路由設(shè)備禁止135/137/139/445端口的連接。

　　6、及時(shí)升級操作系統(tǒng)到最新版本;

　　7、勤做重要文件非本地備份;

　　8、停止使用Windows XP、Windows 2003等微軟已不再提供安全更新的操作系統(tǒng)。