联系人:邓女士
座机:010-59433750
手机:15801674634
邮 箱:dengshuang@secspace.com
地 址:北京市海淀区金码大厦B座2328
防范蠕虫式勒索软件病毒攻击的安全预警通告
文章摘要:
1、病毒爆发
2、漏洞参考
3、重点:防范措施
3.1 一般防范措施
3.2 Win7/8/10 的命令行防护
3.3 针对XP/2003系统的命令行防护
3.4 彻底解决办法
5月12日全球爆发勒索软件攻击潮,根据此次攻击软件的传播和危害方式,我们称之为蠕虫式勒索软件病毒。
2017年4月黑客组织Shadow Brokers利用从美国国家安全局(NSA)泄露的多个Windows黑客工具并公布到互联网上,此轮攻击正是利用其中名为“永恒之蓝(EternalBlue)”的黑客工具发起的。被攻击电脑被锁定,文件被加密,攻击者要求受害者付钱才能通过攻击者提供的秘钥恢复访问。
研究发现,目前发现的蠕虫会扫描开放445文件共享端口的Windows机器,用户的主机只要连接到互联网,病毒会自动在有漏洞的电脑和服务器中植入执行勒索程序、远程控制木马、虚拟货币挖矿机等恶意程序。
该由NSA泄露工具所引发的蠕虫攻击事件已经造成非常严重的现实危害,无论个人还是企业内网也已经面临此类威胁。
本次蠕虫病毒的爆发是利用了微软操作系统的MS17-010漏洞,CVE:CVE-2017-0144。
2.漏洞参考
关于漏洞MS17-010的说明,请参见:
https://support.microsoft.com/zh-cn/help/4012598/title
3. 防范措施
3.1 一般防范措施
1、备份重要文件
2、打开系统自动更新,并检测更新进行安装
3、开启系统防火墙,利用系统防火墙高级设置阻止向 445 端口进行连接(该操作会影响使用445 端口的服务)
3.2 Win7/8/10的命令行防护
1、以管理员权限运行cmd命令行:
2、复制下面两条命令,每次一条,拷贝到命令行窗口:
netsh firewall set opmode enable
netsh advfirewall firewall add rule name="Deny445" dir=in protocol=tcp localport=445 action=block
以上命令在win7/8/10 ,server 2008 经过测试。
3.3 针对XP/2003系统的命令行防护
1、以管理员登录并运行cmd命令行
2、复制下面的四条命令,每次一条,拷贝到命令行窗口:
netsh firewall set opmode enable
net stop rdr
net stop srv
net stop netbt
操作如下图(要回答Y):
3.4 彻底解决办法
微软官方补丁地址:
https://support.microsoft.com/zh-cn/help/4012598/title(优先在线更新,如暂停支持请与支持列表中手动下载更新)
重要:先确认已经关闭445端口,再在线更新!(手动更新请与安全网络环境下下载更新包,主机断网后执行更新补丁)
其它重要补丁链接:
2017年5月13日微软为已停止服务的XP和部分服务器版操作系统发布了特别补丁,下载地址如下:
winxp特别补丁KB4012598
winxp332位 SecurityUpdate for Windows XP SP3 (KB4012598)链接:
winxp264位 SecurityUpdate for Windows XP SP2 for x64-based Systems (KB4012598)链接:
win2003特别补丁KB4012598
2003SP232位 SecurityUpdate for Windows Server 2003 (KB4012598)链接:
2003SP264位 SecurityUpdate for Windows Server 2003 for x64-based Systems (KB4012598)链接:
win2008R2补丁 KB4012212、KB4012215
March,2017 Security Only Quality Update for Windows Server 2008 R2 for x64-basedSystems (KB4012212)链接:
March,2017 Security Monthly Quality Rollup for Windows Server 2008 R2 for x64-basedSystems (KB4012215)链接:
win7补丁 KB4012212、KB4012215
win7 32位
March,2017 Security Only Quality Update for Windows 7 (KB4012212)链接:
March,2017 Security Monthly Quality Rollup for Windows 7 (KB4012215)链接:
win7 64位
March,2017 Security Only Quality Update for Windows 7 for x64-based Systems(KB4012212)链接:
March,2017 Security Monthly Quality Rollup for Windows 7 for x64-based Systems(KB4012215)链接:
win10 1607补丁 KB4013429
win10 1607 32位
CumulativeUpdate for Windows 10 Version 1607 (KB4013429)链接:
win10 1607 64位
CumulativeUpdate for Windows 10 Version 1607 for x64-based Systems (KB4013429)链接:
win2012R2补丁 KB4012213、KB4012216
March,2017 Security Only Quality Update for Windows Server 2012 R2 (KB4012213)链接:
March,2017 Security Monthly Quality Rollup for Windows Server 2012 R2 (KB4012216)链接:
win2016补丁 KB4013429
CumulativeUpdate for Windows Server 2016 for x64-based Systems (KB4013429)链接:
更多版本的补丁见:https://technet.microsoft.com/zh-cn/library/security/MS17-010
本文由北京三思网安科技有限公司网络信息安全专家团队创作,转载或引用请注明出处!
三思后行,才能安全无忧
三思网安∣一个有用的公众号
