Simone针对“永恒之蓝“WANNACRY勒索病毒的处理经验
的有关信息介绍如下:
目前,“永恒之蓝”传播的勒索病毒以ONION和WNCRY两个家族为主,受害机器的磁盘文件会被篡改为相应的后缀,图片、文档、视频、压缩包等各类资料都无法正常打开,只有支付赎金才能解密恢复。这两类勒索病毒,勒索金额分别是5个比特币和300美元,折合人民币分别为 5 万多元和 2000 多元。
该勒索病毒是一个名称为“wannacry”的新家族,目前无法解密该勒索病毒加密的文件。截至到5月13日20点,国内也有29372家机构组织的数十万台机器感染,其中有教育科研机构4341家中招,是此次事件的重灾区。
首先确认你的电脑是否中毒(如下图示)。如果中毒,要么给钱要么不要数据了……
如果没有中毒,开机机拔网线哦,接着向下看
一、 网络端口防护
该病毒主要利用TCP 的445 端口进行传播。为了阻断病毒快速传播, 建议在边界防火墙配置阻断策略,从网络层面阻断TCP 445 端口的通讯,同时可封堵135、137、138、139端口。
二、 系统漏洞修复
该病毒主要利用Windows各版本存在的MS17-010远程代码执行漏洞,该病毒主要利用目前微软已经发布了官方补丁,可以通过公司统一补丁服务器进行下载,也可以通过微软官方网站进行下载。
https://technet.microsoft.com/zh-cn/library/security/MS17-010。
WindowsXP,windows server 2003,windows 8前往下面网址进行下载:http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598。
三、 查杀病毒及安全设备事件库升级
l 目前360、金山、瑞星都已经升级了病毒库,可以发现并查杀wannacry病毒。请各单位及时更新病毒特征库,进行查杀。
l 将IPS、IDS等相关安全设备事件库升级至最新版本并下发相应规则。
本地关闭445服务
点击开始菜单,运行,cmd,确认。
输入命令netstat –an 查看端口状态
输入net stop rdr 回车
net stop srv 回车
net stop netbt 回车
再次输入netsta –an,成功关闭445 端口。
配置主机防火墙策略阻断445端口
开始菜单->运行,输入gpedit.msc 回车。打开组策略编辑器
在组策略编辑器中,计算机配置->windows 设置->安全设置->ip 安全策略 下,
在编辑器右边空白处鼠标右键单击,选择“创建IP 安全策略”
下一步->名称填写“封端口”,下一步->下一步->勾选编辑属性,并点完成
去掉“使用添加向导”的勾选后,点击“添加”
在新弹出的窗口,选择“IP 筛选列表”选项卡,点击“添加”
在新弹出的窗口中填写名称,去掉“使用添加向导”前面的勾,单击“添加”
在新弹出的窗口中,“协议”选项卡下,选择协议和设置到达端口信息,
并点确定。
重复第7 个步骤,添加TCP 端口135、139、445。添加UDP 端口137、138。
添加全部完成后,确定。
选中刚添加完成的“端口过滤”规则,然后选择“筛选器操作”选项卡。
去掉“使用添加向导”勾选,单击“添加”按钮
1. 选择“阻止”
2. 选择“常规”选项卡,给这个筛选器起名“阻止”,然后“确定”。
点击
3. 确认“IP 筛选列表”选项卡下的“端口过滤”被选中。确认“筛选器操作”
选项卡下的“阻止”被选中。然后点击“关闭”
4. 确认安全规则配置正确。点击确定。
5. 在“组策略编辑器”上,右键“分配”,将规则启用。
大型机构由于设备众多,为了避免感染设备之后的广泛传播,建议利用各网络设备的 ACL 策略配置,以实现临时封堵。该蠕虫病毒主要利用 TCP 的 445 端口进行传播, 对于各大企事业单位影响很大。为了阻断病毒快速传播, 建议在核心网络设备的三层接口位置, 配置 ACL 规则从网络层面阻断 TCP 445 端口的通讯。以下内容是基于较为流行的网络设备,举例说明如何配置 ACL 规则,以禁止TCP 445 网络端口传输, 仅供大家参考。 在实际操作中, 请协调网络管理人员或网络设备厂商服务人员, 根据实际网络环境在核心网络设备上进行配置。Juniper 设备的建议配置(示例) :set firewall family inet filter deny-wannacry term deny445 from protocol tcpset firewall family inet filter deny-wannacry term deny445 from destination-port 445set firewall family inet filter deny-wannacry term deny445 then discardset firewall family inet filter deny-wannacry term default then accept#在全局应用规则set forwarding-options family inet filter output deny-wannacryset forwarding-options family inet filter input deny-wannacry#在三层接口应用规则set interfaces [ 需 要 挂 载 的 三 层 端 口 名 称 ] unit 0 family inet filter output deny-wannacryset interfaces [ 需 要 挂 载 的 三 层 端 口 名 称 ] unit 0 family inet filter input deny-wannacry第 20 页 共 23 页华三(H3C)设备的建议配置(示例) :新版本:acl number 3050rule deny tcp destination-port 445rule permit ipinterface [需要挂载的三层端口名称]packet-filter 3050 inboundpacket-filter 3050 outbound旧版本:acl number 3050rule permit tcp destination-port 445traffic classifier deny-wannacryif-match acl 3050traffic behavior deny-wannacryfilter denyqos policy deny-wannacryclassifier deny-wannacry behavior deny-wannacry#在全局应用qos apply policy deny-wannacry global inboundqos apply policy deny-wannacry global outbound#在三层接口应用规则第 21 页 共 23 页interface [需要挂载的三层端口名称]qos apply policy deny-wannacry inbound qos apply policy deny-wannacry outbound华为设备的建议配置(示例) :acl number 3050rule deny tcp destination-port eq 445rule permit iptraffic classifier deny-wannacry type andif-match acl 3050traffic behavior deny-wannacrytraffic policy deny-wannacryclassifier deny-wannacry behavior deny-wannacry precedence 5interface [需要挂载的三层端口名称]traffic-policy deny-wannacry inboundtraffic-policy deny-wannacry outboundCisco 设备的建议配置(示例) :旧版本:ip access-list extended deny-wannacrydeny tcp any any eq 445permit ip any any第 22 页 共 23 页interface [需要挂载的三层端口名称]ip access-group deny-wannacry inip access-group deny-wannacry out新版本:ip access-list deny-wannacrydeny tcp any any eq 445permit ip any anyinterface [需要挂载的三层端口名称]ip access-group deny-wannacry inip access-group deny-wannacry out锐捷设备的建议配置(示例) :ip access-list extended deny-wannacrydeny tcp any any eq 445permit ip any anyinterface [需要挂载的三层端口名称]ip access-group deny-wannacry inip access-group deny-wannacry out
