如何防範感染勒索蠕蟲病毒
5月12日開始散播的勒索蠕蟲病毒,從發現到大面積傳播,僅僅用了幾個小時,其中高校成為了重災區。那麼,這款病毒究竟要如何防範呢下面小編就帶大家一起來詳細瞭解下吧。
勒索蠕蟲病毒預防處理方法
1、關閉危險埠已製作一鍵關閉批處理
2、更新安全補丁已提供各版本作業系統補丁下載
3、安裝防毒軟體推薦:微軟防毒軟體已提供軟體包及病毒庫升級包
2017年5月12日起,全球範圍內爆發基於Windows網路共享協議進行攻擊傳播的蠕蟲惡意程式碼,這是不法分子通過改造之前洩露的NSA黑客武器庫中“永恆之藍”攻擊程式發起的網路攻擊事件,使用者只要開機上網就可被攻擊。五個小時內,影響覆蓋美國、俄羅斯、整個歐洲等100多個國家,國內多個高校校內網、大型企業內網和政府機構專網中招,被勒索支付高額贖金才能解密恢復檔案,對重要資料造成嚴重損失。這次的“永恆之藍”勒索蠕蟲,是NSA網路軍火民用化的全球第一例。一個月前,第四批NSA相關網路攻擊工具及文件被ShadowBrokers組織公佈,包含了涉及多個Windows系統服務SMB、RDP、IIS的遠端命令執行工具,其中就包括“永恆之藍”攻擊程式。
漏洞描述
近期國內多處高校網路和企業內網出現WannaCry勒索軟體感染情況,磁碟檔案會被病毒加密,只有支付高額贖金才能解密恢復檔案,對重要資料造成嚴重損失。
根據網路安全機構通報,這是不法分子利用NSA黑客武器庫洩漏的“永恆之藍”發起的蠕蟲病毒攻擊傳播勒索惡意事件。惡意程式碼會掃描開放445檔案共享埠的Windows機器,無需使用者任何操作,只要開機上網,不法分子就能在電腦和伺服器中植入勒索軟體、遠端控制木馬、虛擬貨幣挖礦機等惡意程式。
由於以前國內多次爆發利用445埠傳播的蠕蟲,部分運營商在主幹網路上封禁了445埠,但是教育網及大量企業內網並沒有此限制而且並未及時安裝補丁,仍然存在大量暴露445埠且存在漏洞的電腦,導致目前蠕蟲的泛濫。
風險等級
360安全監測與響應中心對此事件的風險評級為:危急
影響範圍
掃描內網,發現所有開放445SMB服務埠的終端和伺服器,對於Win7及以上版本的系統確認是否安裝了MS17-010補丁,如沒有安裝則受威脅影響。Win7以下的WindowsXP/2003目前沒有補丁,只要開啟SMB服務就受影響。
應急處置方法
目前利用漏洞進行攻擊傳播的蠕蟲開始氾濫,360企業安全強烈建議網路管理員在網路邊界的防火牆上阻斷445埠的訪問,如果邊界上有IPS和360新一代智慧防火牆之類的裝置,請升級裝置的檢測規則到最新版本並設定相應漏洞攻擊的阻斷,直到確認網內的電腦已經安裝了MS17-010補丁或關閉了Server服務。
終端層面
暫時關閉Server服務。
檢查系統是否開啟Server服務:
1、開啟開始按鈕,點選執行,輸入cmd,點選確定
2、輸入命令:netstat-an回車
3、檢視結果中是否還有445埠
感染處理
對於已經感染勒索蠕蟲的機器建議隔離處置。
根治方法
對於Win7及以上版本的作業系統,目前微軟已釋出補丁MS17-010修復了“永恆之藍”攻擊的系統漏洞,請立即電腦安裝此補丁。出於基於許可權最小化的安全實踐,建議使用者關閉並非必需使用的Server服務,操作方法見“應急處置方法”部分。
對於WindowsXP、2003等微軟已不再提供安全更新的機器,推薦使用360“NSA武器庫免疫工具”檢測系統是否存在漏洞,並關閉受到漏洞影響的埠,以避免遭到勒索蠕蟲病毒的侵害。免疫工具下載地址:
恢復階段
建議針對重要業務系統立即進行資料備份,針對重要業務終端進行系統映象,製作足夠的系統恢復盤或者裝置進行替換。
關於 WannaCry/Wcry 勒索蠕蟲病毒的具體防範措施建議
一、個人計算機使用者的預防措施
1、使用Widnows Vista、Windows 7、Windows 8.1、Windows 10、Windows Server 2008、Windows Server 2012、Windows Server 2016 系統的使用者,請啟用系統自帶的更新功能將補丁版本升級到最新版本;
2、仍然使用Windows XP、Windows 8 及 Windows Server 2003 系統使用者,建議升級作業系統到 Windows 7 及以上,如果因為特殊原因無法升級作業系統版本的,請手動下載補丁程式進行安裝,補丁下載地址:
3、升級電腦上的防毒軟體病毒庫到最新版本。
二、校園網預防措施
在校園網裝置上阻斷TCP 135、137、139、445 埠的連線請求,將會有效防止該病毒的傳播,但是同時也阻斷了校內外使用者正常訪問使用Windows系統相應檔案共享機制的資訊系統和網路服務。因此,必須謹慎使用下列預付措施:
1、在網路邊界如校園網出口上阻斷 TCP 135、137、139、445 埠的連線請求。這個操作可有效阻斷病毒從外部傳入內部網路,但無法阻止病毒在內部網路傳播。
2、在校園網的核心交換裝置處阻斷 TCP 135、137、139、445 埠的連線請求,該操作可阻斷病毒在校內的區域網間進行傳播,但無法阻止病毒在區域網內傳播。
3、在區域網子網邊界處阻斷 TCP 135、137、139、445 埠的連線請求,該操作可最大限度保護子網的安全,但是無法阻擋該病毒在同臺交換機下傳播。
綜上所述,阻斷網路的TCP 135、137、139、445 埠連線請求只是臨時措施,儘快完成各類使用者Windows系統軟體的升級或修復漏洞才是防範該病毒的根本措施。
看過的人還: