永恒之蓝攻击紧急处置

《永恒之蓝攻击紧急处置》由会员上传分享，免费在线阅读，更多相关内容在工程资料-天天文库。

1、“永恒之蓝”攻击紧急处置（WannaCry蠕虫）苏州市信息中心2018 年 01 月 08 日第1章安全通告近期江苏省多地正在遭遇WannaCry勒索病毒袭击，网络出现ONION/Wncry勒索软件感染情况，磁盘文件会被病毒加密为.onion后缀，只有支付高额赎金才能解密恢复文件，对重要数据造成严重损失。第2章事件信息根据网络安全机构通报，这是不法分子利用NSA黑客武器库泄漏的“永恒之蓝”发起的蠕虫病毒攻击事件。恶意代码会扫描开放445文件共享端口的Windows机器，无需用户任何操作，只要开机上网，不法分子就能在电脑和服务器中植入勒索软件、远

2、程控制木马、虚拟货币挖矿机等恶意程序。由于以前国内多次爆发利用445端口传播的蠕虫，部分运营商在主干网络上封禁了445端口，但是教育网并没有此限制，仍然存在大量暴露445端口且存在漏洞的电脑，导致目前此蠕虫在教育网内大量传播，大概量级是每天5000个用户中招。特别提醒：WanaCry!勒索软件除了通过ms17-010的SMBv1传播,还可能通过曾经被安装过NSADoublePulsar后门的渠道进行传播，曾被EternalBlue攻击并成功安装过DoublePulsar后门的系统，即便已安装ms17-010补丁仍有可能被该勒索软件感染第1章处置

3、建议3.1安全操作提示从目前掌握的情况来看：1.不要轻易点击不明附件，尤其是rtf、doc等格式，可以安装360杀毒软件等相关安全产品进行查杀；2.及时更新windows系统补丁；3.内网中存在使用相同账号、密码情况的机器请尽快修改密码，未开机的电脑请确认口令修改完毕、补丁安装完成后再进行联网操作。4.立即封堵不必要的SMB协议（TCP445端口）；5.针对必须启用SMB协议的网络进行深度的IPS检测，及时阻断攻击；6.在网络内部安全域间部署防火墙设备，通过隔离安全域降低攻击的影响范围3.2修复工具安全团队开发的勒索蠕虫漏洞修复工具，可根本解决

4、勒索蠕虫利用MS17-010漏洞带来的安全隐患。此修复工具集成免疫、SMB服务关闭和各系统下MS17-010漏洞检测与修复于一体。可在离线网络环境下一键式修复系统存在的MS17-010漏洞，工具下载地址：http://b.360.cn/other/onionwormkiller3.3 政务网主机应急处置1.2.3.3.1.3.2.3.3.3.3.1.命令行检查端口开放情况点击windows图标，在搜索框中输入“cmd”在搜索结果中的“cmd”上点击右键单击“以管理员身份运行”按钮3.3.2.针对主机的处置方式1.1.1.1.方式一：启用蠕虫快速

5、免疫工具采用快速处置方式，建议使用360安全卫士的“NSA武器库免疫工具”，可一键检测修复漏洞、关闭高风险服务，包括精准检测出NSA武器库使用的漏洞是否已经修复，并提示用户安装相应的补丁。针对WindowsXP、Windows2003等无补丁的系统版本用户，防御工具能够帮助用户关闭存在高危风险的服务，从而对NSA黑客武器攻击的系统漏洞彻底“免疫”免疫工具的下载地址http://dl.b.360.cn/tools/OnionWormImmune.exe1.1.1.2.方式二：启用windows防火墙在桌面右下角网络连接处点击右键，单击“打开网络和

6、共享中心”，在网络和共享中心，点击左下角“Windows防火墙”字样，打开“Windows防火墙”管理界面，在左侧功能区点击“打开或关闭Windows防火墙”，打开“自定义设置”界面，分别点击下图中红框内“启用Windows防火墙”，然后点击“确定”，回到“Windows防火墙”窗口。在左侧功能区点击“高级设置“字样打开“高级安全Windows防火墙“窗口，点击“入站规则”-“新建规则”，打开“新建入站规则向导”界面，在规则类型页，选择“端口（O）”，然后点击“下一步”，在协议和端口页，特定本地端口处，输入“445”，然后点击“下一步”，在操作

7、页，选中“阻止连接”，然后点击下一步，在配置文件页，“何时应用该规则？”处全部选中，然后点击下一步，打开“名称”页，在名称处输入“阻断445端口”，然后点击“完成”。此时可以看到入站规则最顶端出现刚添加的“阻断445”规则，配置完成。1.1.1.针对核心网络设备应急处置大型机构由于设备众多，为了避免感染设备之后的广泛传播，建议利用各网络设备的ACL策略配置，以实现临时封堵。该蠕虫病毒主要利用TCP的139、445端口进行传播,对于各大企事业单位影响很大。为了阻断病毒快速传播,建议在核心网络设备的三层接口位置,配置ACL规则从网络层面阻断TCP1

8、39、445端口的通讯。