WannaCryWcry勒索病毒應(yīng)急手冊

WannaCryWcry勒索病毒應(yīng)急手冊一、概述CNCERT發(fā)布的公告稱，5月13日，互聯(lián)網(wǎng)上出現(xiàn)對于Windws操作系統(tǒng)的勒索軟件的攻擊案例，勒索軟件利用此前披露的WindwsSMB服務(wù)漏洞(對應(yīng)微軟漏洞公告：MS17-010)攻擊手段，向終端用戶進(jìn)行滲透傳播，并向用戶勒索比特幣或其他價值物，涉及到國內(nèi)用戶(已收到多起高校案例報告)，已構(gòu)成較為嚴(yán)重的攻擊威脅。公告指出，綜合CNVD技術(shù)組成員單位已獲知的樣本情況和分析結(jié)果，該勒索軟件在傳播時基于445端口并利用SMB服務(wù)漏洞(MS17-010)，總體可以判斷是由于此前“ShadwBrkers”披露漏洞攻擊工具而導(dǎo)致的后續(xù)黑攻擊威脅。當(dāng)用戶主機(jī)系統(tǒng)被該勒索軟件入侵后，彈出勒索對話框，提示勒索目的并向用戶索要比特幣。而用戶主機(jī)上的重要數(shù)據(jù)文件，如：照片、圖片、文檔、壓縮包、音頻、視頻、可執(zhí)行程序等多種類型的文件，都被惡意加密且后綴名統(tǒng)一修改為“.WNCRY”。目前，安全業(yè)界暫未能有效破除該勒索軟件的惡意加密行為，用戶主機(jī)一旦被勒索軟件滲透，只能通過重裝操作系統(tǒng)的方式來解除勒索行為，但用戶重要數(shù)據(jù)文件不能直接恢復(fù)。根據(jù)CNVD秘書處普查的結(jié)果，互聯(lián)網(wǎng)上共900余萬臺主機(jī)IP暴露445端口(端口開放)，而中國大陸地區(qū)主機(jī)IP有300余萬臺。CNCERT已經(jīng)著手對勒索軟件及相關(guān)網(wǎng)絡(luò)攻擊活動進(jìn)行監(jiān)測，目前共發(fā)現(xiàn)有向全球70多萬個目標(biāo)直接發(fā)起的對于MS17-010漏洞的攻擊嘗試。二、影響范圍受影響范圍：WinP、Win7、win8、win8.1、win10、server2003、server2008、server2012、server2106等版本未安裝補(bǔ)丁的系統(tǒng)均受影響微軟在2017年3月14日發(fā)布了WindwsSMB服務(wù)器安全更新KB，由于本次Wannacry蠕蟲事件的巨大影響，微軟總部5月13日決定發(fā)布已停服的P和部分服務(wù)器版補(bǔ)丁，相應(yīng)補(bǔ)丁鏈接為：MS17-010補(bǔ)丁：停服系統(tǒng)特別補(bǔ)?。喝⒎雷o(hù)建議1、網(wǎng)絡(luò)層面在不影響業(yè)務(wù)情況下，建議在系統(tǒng)出入口與內(nèi)網(wǎng)各個區(qū)域入防火墻上阻斷135、137、138、139、445端口的訪問，建議由網(wǎng)絡(luò)管理人員來進(jìn)行操作。備注：具體操作方法可參照各廠商設(shè)備技術(shù)手冊2、主機(jī)層面開啟系統(tǒng)防火墻，關(guān)閉server服務(wù)，利用系統(tǒng)防火墻高級設(shè)置阻止向445端口進(jìn)行連接（該操作會影響使用445端口的服務(wù)）安裝補(bǔ)丁MS17-010補(bǔ)丁，P和server2003安裝緊急補(bǔ)丁根據(jù)實際情況利用加固工具來進(jìn)行主機(jī)層面的應(yīng)急預(yù)防，直接以管理員運(yùn)行此工具便捷加固加固工具加固思路：1、關(guān)閉server服務(wù)2、開啟系統(tǒng)防火墻3、添加阻止445端口入站策略，使用腳本請本批處理需要以管理員身份運(yùn)行，可以通過查看防火墻入站策略來確認(rèn)批處理是否執(zhí)行成功，開啟防火墻可能會導(dǎo)致業(yè)務(wù)端口被默認(rèn)阻斷，注意配置系統(tǒng)防火墻放行。3、主機(jī)手動加固參考（1）開啟系統(tǒng)防火墻點(diǎn)擊開始---控制面板---windws防火墻點(diǎn)擊啟用和關(guān)閉windws防火墻啟用防火墻點(diǎn)擊高級設(shè)置修改入站規(guī)則選擇端口輸入445端口選擇阻止連接命名后即可結(jié)束。（2）修改IP安全策略在“開始”菜單選擇“運(yùn)行”，輸入后回車，打開本地組策略編輯器。依次展開“計算機(jī)配置---windws設(shè)置---安全設(shè)置---ip安全策略，在本地計算機(jī)”2以關(guān)閉135端口為例（其他端口操作相同）：在本地組策略編輯器右邊空白處右鍵單擊鼠標(biāo)，選擇“創(chuàng)建IP安全策略”，彈出IP安全策略向?qū)υ捒?，單擊下一步；在出現(xiàn)的對話框中的名稱處寫“關(guān)閉端口”（可隨意填寫），點(diǎn)擊下一步；對話框中的“激活默認(rèn)響應(yīng)規(guī)則”選項不要勾選，然后單擊下一步；勾選“編輯屬性”，單擊完成。3在出現(xiàn)的“關(guān)閉端口屬性”對話框中，選擇“規(guī)則”選項卡，去掉“使用添加向?qū)А鼻斑叺墓春?，單擊“添加”按鈕。4在彈出的“新規(guī)則屬性”對話框中，選擇“IP篩選器列表”選項卡，單擊左下角的“添加”5出現(xiàn)添加對話框，名稱出填“封端口”（可隨意填寫），去掉“使用添加向?qū)А鼻斑叺墓春?，單擊右邊的“添加”按鈕在出現(xiàn)的“IP篩選器屬性”對話框中，選擇“地址”選項卡，“源地址”選擇“任何”，“目標(biāo)地址”選擇“我的IP地址”；

選擇“協(xié)議”選項卡，各項設(shè)置如圖片中所示。設(shè)置好后點(diǎn)擊“確定”。返回到“ip篩選器列表”，點(diǎn)擊“確定”。返回到“新規(guī)則屬性”對話框在ip篩選器列表中選擇剛才添加的“封端口”，然后選擇“篩選器操作”選項卡，去掉“使用添加向?qū)А鼻懊娴墓?，單擊“添加”按鈕在“篩選器操作屬性”中，選擇“安全方法”選項卡，選擇“阻止”選項；在“常規(guī)”選項卡中，對該操作命名，點(diǎn)確定選中剛才新建的“新建1”，單擊關(guān)閉，返回到“關(guān)閉端口屬性“對話框，確認(rèn)“IP安全規(guī)則”中封端口規(guī)則被選中后，單擊確定在組策略編輯器中，可以看到剛才新建的“關(guān)閉端口”規(guī)則，選中它并單擊鼠標(biāo)右鍵，選擇“分配”選項，使該規(guī)則開始應(yīng)用。同樣的方法你可以添加對限制訪問的445端口的規(guī)則4、管理與意識層面漏洞立馬修補(bǔ)系統(tǒng)補(bǔ)丁要立馬更新，對于嚴(yán)重漏洞更要抓緊時間修補(bǔ)。被此次勒索軟件事件利用的微軟SMB漏洞，3月份的微軟已相關(guān)補(bǔ)丁，當(dāng)漏洞程序公開的情況下，更要立刻進(jìn)行補(bǔ)丁更新。關(guān)注山鷹網(wǎng)公眾號，能夠立馬獲得此類漏洞動態(tài)信息。提高防范意識勒索軟件不止一種，也不僅是通過Windws漏洞進(jìn)行傳播，也會通過廣撒網(wǎng)的垃圾郵件攜帶惡意軟件的方式進(jìn)行釣魚攻擊，或者誘使受害人點(diǎn)擊不良網(wǎng)站上的URL進(jìn)行攻擊。安全防范意識需要進(jìn)行日常教育、不斷積累。備份如果資料非常重要，建議經(jīng)常備份，不只是面對勒索軟件如此，各類軟硬件故障也會導(dǎo)致資料消失，定期備份重要數(shù)據(jù)是非常