NEWS CENTER
行业动态 INDUSTRY DYNAMIC
如何面对下一个勒索病毒“wannacry”
点击量： 发布时间： 10:15:35
5月12日晚上勒索病毒“wannacry”一下子几乎席卷全球，数万台PC中毒受影响，国内高校、政府单位、医疗、能源等行业都有单位被攻占，国内安全厂商上周末几乎都在加班加点出应急解决方案，出专杀工具，免疫工具，恢复软件等等，忙的不亦乐乎，不少用户单位周末也在加班加点打补丁，封端口，一些行业主管部门也下了要求，要求各下属单位周一进行断网处理潜在风险，甚至到了今天一些单位网络还没完全恢复，还在处理过程中，听闻某地要求停网一周进行处理后续的风险，这个既让人欣慰，又让人忧心忡忡，欣慰的是大家对网络安全一下子重视很多，及时响应处理此次勒索病毒安全事件，忧心的是这才是美国国家安全局网络安全攻击工具的一小部分，更多的还没公开，甚至更多的大家还不知晓，想想多可怕，这次是445端口，以后更多的446、447端口呢？是不是每次遇到这样的事情，我们都得加班都得应急处理，都得断网？做安全到底需要达到什么样的效果呢？难道只是事后排查补救？
宝通测评认为一个有效的网络安全建设目标应当是：事前检测，排查出风险点，及时查漏补缺；事中能够进行有效防护,阻断攻击；事后能够及时恢复并能通过日志分析出原因所在。就像这次勒索病毒事件，应当是我们在病毒爆发前就已对单位相关漏洞进行了扫描并及时进行了打补丁，这个漏洞3月份就已经发现，并不是零日漏洞，是可以提前预防的，但是我们大部分单位都没有去做这步，所以一下子被攻击了；那么即使没有及时打补丁，我们在事情发生的过程中应当是能通过杀毒软件，防毒墙甚至是IPS进行病毒查杀处理，不让其轻易就在单位内网爆发，或者我们在防火墙端进行了端口屏蔽，攻击包进不来，那么内网也是相对安全的；最后万一很不幸我们被攻击了，数据被加密了，那么我们也可以通过数据备份系统或者应用容灾系统及时进行数据的恢复，并通过安全日志分析出病毒是通过什么途径进入单位内网，及时找出问题主机，进行处理，排除隐患。通过构建这么一个安全防护体系进行立体防护，管它是什么病毒什么攻击，我们面对起来就不会这么仓促，这么被动，如果不能断网的单位断网了，这个影响还是非常大的，比如某地车管所暂停办牌了。
最后再来说说等保，如果我们等级保护测评工作及时开展了，并且是认真开展了，那么此次理应应当很从容或者说这次病毒对自己单位不会造成影响，为什么这么说？借用公安部信息安全等级保护评估中心 张振峰同志发表的文章部分内容，其实在等保里面最低的等级第一级部分安全防护要求就已提出定期保持系统补丁更新，安装防恶意代码软件并保持版本更新，重要的信息系统进行备份和恢复。如果这些工作我们都做了，勒索病毒能勒索到我们吗？GB/T 《信息安全技术 信息系统安全等级保护基本要求》关于第一级系统部分安全防护要求如下：
如果我们都按照等保上面的要求来做的话，补丁及时更新了，杀毒软件安装并更新了，重要数据备份了，我们会担心勒索病毒吗？如果我们对移动设备及网络接受的数据先进行了病毒检查，对外来计算机或存储设备接入网络系统之前进行病毒检查，那么这次一些行业内网能中勒索病毒吗？所以不要说等保没有用，不要说等保太空、走个形式而已，那是因为你自己还不够重视，你没有把等保当回事，就像不得不等遇到的一个客户有弱口令存在，说软件是国外的，一个是原先卖软件的找不到了，不知道怎么改密码，另外也担心改了密码影响系统正常使用，所以这个看似很容易改的问题就是不改，非要等哪天出了事再去改，早知现在何必当初。不是敌人有多强大，而是我们做的还不够。话再说回来，如果你们单位不幸出了安全事件，相关部门来调查取证的时候，你连国家最基本的、法律都已明确要求的网络安全等级保护制度你都没落实，你敢说你的日常安全工作做好了吗？？你的安全义务履行了吗？你能说你没有责任吗？
今天“Shadow Brokers”黑客组织&声明从2017年6月份开始会公布更多的0day漏洞，我们在未来的日子里会面对更多各种各样的“wannacry”，难道每次都要断网处理吗？同志们，醒一醒，我们务必要重视信息安全工作，同时赶紧把安全工作落实到位吧，运筹帷幄，决胜于千里之外。
下一文章没有了
河南省郑州市郑东新区商都路中兴南路建正东方中心C座5楼今日必看！最新应对WannaCry/Wcry勒索病毒开机指南
日起， 全球性爆发基于Windows网络共享协议进行攻击传播的蠕虫恶意代码， 经研究发现这是不法分子通过改造之前泄露的NSA黑客武器库中“永恒之蓝”攻击程序发起的网络攻击事件。“永恒之蓝”通过扫描开放445文件共享端口的Windows电脑甚至是电子信息屏，无需用户进行任何操作，只要开机联网，不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等一系列恶意程序。利用445文件共享端口实施破坏的蠕虫病毒，曾多次在国内爆发。因此，运营商很早就针对个人用户将445端口封闭，但是教育网并未作此限制，仍然存在大量开放的445端口。据有关机构统计，目前国内平均每天有5000多台电脑遭到NSA“永恒之蓝”黑客武器的远程攻击，教育网已成重灾区！由于病毒在周五晚8点左右爆发，尚有很多电脑处于关机状态，周一工作日开机需谨慎对待，建议用户周一开电脑之前先拔掉网线。周一开机指南防护第一关，开关域名免疫（建议IT部门员工操作）亚信安全研究发现，该勒索病毒运行后会首先请求一个秘密开关域名[9ifjaposdfjhgosurijfaewrwergwea].com（注意，“[ ]”是为了防止误操作点击刻意添加，实际域名中无“[ ]”），请求失败后即开始执行加密；相反，请求成功后立即退出，不执行加密。如果企业内网机器没有互联网访问权限，建议用户在内网修改此开关域名[9ifjaposdfjhgosurijfaewrwergwea].com的内网解析，并且将解析IP指向企业内部在线的web服务器，从而实现免疫。如果内网机器具有互联网访问权限，则无须采取额外措施。(注意：以上方法在已知样本中测试有效，未知样本可能无效。)开机前准备工具（建议IT部门员工操作）下载亚信安全MS17-010局域网扫描工具，扫描局域网哪些机器没有打MS17-010漏洞对应的补丁程序，便于管理员有针对性的处理没有打补丁机器。亚信安全局域网扫描工具工具下载地址：亚信科技局域网MS17-010漏洞扫描工具.zip下载亚信安全端口扫描工具，扫描局域网中哪些机器开放了445端口，便于管理员有针对性的处理打开445端口的机器。亚信安全端口扫描工具工具下载地址：亚信科技端口扫描工具.zip下载WannaCry/Wcry勒索病毒免疫工具，该工具可以关闭勒索病毒利用漏洞服务及445端口，还可以下载MS17-010对应的补丁程序，下载清除工具，下图为工具运行界面：WannaCry/Wcry勒索病毒免疫工具免疫工具下载地址：亚信科技wannacry免疫工具.zip下载WannaCry/Wcry勒索病毒专杀工具，下载地址：32位系统64位系统下载专杀工具使用说明，下载地址：如果网内有微软停止服务的系统（XP和WindowsServer2003），请下载微软发布的针对停止服务系统的特别安全补丁。详细信息请参考链接：下载MS17-010对应的MicrosoftWindows SMB 服务器安全更新 (4013389)补丁程序。详细信息请参考链接：（）对亚信安全产品服务器端进行配置亚信安全OfficeScan（OSCE）1.启用防火墙功能，关闭445等相关端口启用防火墙配置防火墙加入禁止445端口访问的规则策略配置后，会使用禁止445端口数据包2.启动爆发阻止功能，禁止端口和具体病毒文件写入系统启用爆发阻止，设置时间为65535（长期）封闭端口（双向）在爆发阻止中禁止对文件和文件夹写入，添加如下文件禁止写入。TT后期可以不断加入我们发现的新的病毒文件名字。启用爆发阻止，点击“确定”。“爆发阻止启动时通知用户”勾选时，用户会收到如下通知，不勾选则不会通知客户端。策略生效后，客户端445端口禁止访问客户端出的445端口也会禁止访问当我们禁止的文件名写入时，会被拒绝，无法写入。3.启动OSCE的反勒索软件引擎启用行为监控设置选用阻止勒索软件功能。功能启用后，会阻止非授权的加密。注意：启用该功能，可能会对出现客户端误判，当客户有加密软件时，需要添加例外操作。亚信安全TDA亚信安全深度威胁发现设备TDA于日已发布检测规则（Rule ID 2383），针对透过微软SMB远程代码执行漏洞CVE-（MS17-010）所导致的相关网络攻击进行检测。利用此漏洞的攻击包含前期的 EternalBlue 和近期大量感染的勒索病毒 WannaCry/Wcry。TDA 的内网攻击检测能力是针对源头的零日漏洞进行实时有效的网络攻击行为检测，让用户能快速从网络威胁情报的角度定位内网遭受攻击的终端，以实施相对应的响应措施。同时，用户可透过产品联动方式与亚信安全终端安全产品 OfficeScan 以及亚信安全网关产品 DeepEdge 进行有效联动以阻断其攻击。Deep Security针对微软远程代码执行漏洞[1008306 -Microsoft Windows SMB Remote Code Execution Vulnerability (MS17-010)]， Deep Security在5月2日就已发布了针对所有Windows 系统的IPS策略，用户只需要对虚拟化系统做一次"建议扫描"操作，就能自动应用该策略，无论是有代理还是无代理模式，都能有效防护该勒索软件。1.启用入侵防御。在策略----入侵防御规则中----选中和MS17-010相关的补丁。2.启用防火墙禁止445端口访问Deep EdgeDeep Edge在4月26日就发布了针对微软远程代码执行漏洞 CVE-的4条IPS规则（规则名称：微软MS17 010 SMB远程代码执行1-4 规则号:37, 1133638）。可在网络边界及内网及时发现并拦截此次加密勒索软件攻击。DDEI针对加密勒索软件攻击，用户需要在Web和Mail两个入口严加防范。虽然此次攻击是黑客利用系统漏洞发起的勒索软件攻击，只需在Web渠道通过IPS或防火墙规则即可拦截，但广大用户切不可掉以轻心，因为还有大量的勒索软件攻击是通过邮件渠道发起的，我们还需要在邮件入口处加以防范，防止勒索软件卷土重来。开机及后续操作步骤第一步：拔掉主机网线后开机。第二步：部署亚信安全WannaCry/Wcry勒索病毒免疫工具。第三步：如果系统已经感染WannaCry/Wcry勒索病毒，请使用专杀工具对系统进行查杀。第四步：已经加密的文件可以使用EasyRecover等数据工具进行恢复，可以恢复部分加密文件。第五步：重启电脑，连接网络，打开系统自动更新功能，检测并安装更新程序，也可以使用亚信安全WannaCry/Wcry勒索病毒免疫工具进行补丁安装。非亚信安全用户开机指南第一步：拔掉主机网线后开机第二步：部署亚信安全WannaCry/Wcry勒索病毒免疫工具。第三步：如果系统已经感染WannaCry/Wcry勒索病毒，请离线安装亚信安全OfficeScan客户端，并对系统进行扫描，清除勒索病毒，离线安装包下载地址32位：64位：第四步：已经加密的文件可以使用EasyRecover等数据工具进行恢复，可以恢复部分加密文件。第五步：重启电脑，连接网络，打开系统自动更新功能，检测并安装更新程序，也可以使用亚信安全WannaCry/Wcry勒索病毒免疫工具进行补丁安装。