如何防范感染勒索蠕蟲病毒
如何防范感染勒索蠕蟲病毒
5月12日開始散播的勒索蠕蟲病毒,從發現到大面積傳播,僅僅用了幾個小時,其中高校成為了重災區。那么,這款病毒究竟要如何防范呢下面學習啦小編就帶大家一起來詳細了解下吧。
勒索蠕蟲病毒預防處理方法
1、關閉危險端口(已制作一鍵關閉批處理)
2、更新安全補丁(已提供各版本操作系統補丁下載)
3、安裝殺毒軟件推薦:微軟殺毒軟件(已提供軟件包及病毒庫升級包)
2017年5月12日起,全球范圍內爆發基于Windows網絡共享協議進行攻擊傳播的蠕蟲惡意代碼,這是不法分子通過改造之前泄露的NSA黑客武器庫中“永恒之藍”攻擊程序發起的網絡攻擊事件,用戶只要開機上網就可被攻擊。五個小時內,影響覆蓋美國、俄羅斯、整個歐洲等100多個國家,國內多個高校校內網、大型企業內網和政府機構專網中招,被勒索支付高額贖金才能解密恢復文件,對重要數據造成嚴重損失。這次的“永恒之藍”勒索蠕蟲,是NSA網絡軍火民用化的全球第一例。一個月前,第四批NSA相關網絡攻擊工具及文檔被ShadowBrokers組織公布,包含了涉及多個Windows系統服務(SMB、RDP、IIS)的遠程命令執行工具,其中就包括“永恒之藍”攻擊程序。
漏洞描述
近期國內多處高校網絡和企業內網出現WannaCry勒索軟件感染情況,磁盤文件會被病毒加密,只有支付高額贖金才能解密恢復文件,對重要數據造成嚴重損失。
根據網絡安全機構通報,這是不法分子利用NSA黑客武器庫泄漏的“永恒之藍”發起的蠕蟲病毒攻擊傳播勒索惡意事件。惡意代碼會掃描開放445文件共享端口的Windows機器,無需用戶任何操作,只要開機上網,不法分子就能在電腦和服務器中植入勒索軟件、遠程控制木馬、虛擬貨幣挖礦機等惡意程序。
由于以前國內多次爆發利用445端口傳播的蠕蟲,部分運營商在主干網絡上封禁了445端口,但是教育網及大量企業內網并沒有此限制而且并未及時安裝補丁,仍然存在大量暴露445端口且存在漏洞的電腦,導致目前蠕蟲的泛濫。
風險等級
360安全監測與響應中心對此事件的風險評級為:危急
影響范圍
掃描內網,發現所有開放445SMB服務端口的終端和服務器,對于Win7及以上版本的系統確認是否安裝了MS17-010補丁,如沒有安裝則受威脅影響。Win7以下的WindowsXP/2003目前沒有補丁,只要開啟SMB服務就受影響。
應急處置方法
目前利用漏洞進行攻擊傳播的蠕蟲開始泛濫,360企業安全強烈建議網絡管理員在網絡邊界的防火墻上阻斷445端口的訪問,如果邊界上有IPS和360新一代智慧防火墻之類的設備,請升級設備的檢測規則到最新版本并設置相應漏洞攻擊的阻斷,直到確認網內的電腦已經安裝了MS17-010補丁或關閉了Server服務。
終端層面
暫時關閉Server服務。
檢查系統是否開啟Server服務:
1、打開開始按鈕,點擊運行,輸入cmd,點擊確定
2、輸入命令:netstat-an回車
3、查看結果中是否還有445端口
感染處理
對于已經感染勒索蠕蟲的機器建議隔離處置。
根治方法
對于Win7及以上版本的操作系統,目前微軟已發布補丁MS17-010修復了“永恒之藍”攻擊的系統漏洞,請立即電腦安裝此補丁。出于基于權限最小化的安全實踐,建議用戶關閉并非必需使用的Server服務,操作方法見“應急處置方法”部分。
對于WindowsXP、2003等微軟已不再提供安全更新的機器,推薦使用360“NSA武器庫免疫工具”檢測系統是否存在漏洞,并關閉受到漏洞影響的端口,以避免遭到勒索蠕蟲病毒的侵害。免疫工具下載地址:http://dl.360safe.com/nsa/nsatool.exe。這些老操作系統的機器建議加入淘汰替換隊列,盡快進行升級。
恢復階段
建議針對重要業務系統立即進行數據備份,針對重要業務終端進行系統鏡像,制作足夠的系統恢復盤或者設備進行替換。
關于 WannaCry/Wcry 勒索蠕蟲病毒的具體防范措施建議
一、個人計算機用戶的預防措施
1、使用Widnows Vista、Windows 7、Windows 8.1、Windows 10、Windows Server 2008、Windows Server 2012、Windows Server 2016 系統的用戶,請啟用系統自帶的更新功能將補丁版本升級到最新版本;
2、仍然使用Windows XP、Windows 8 及 Windows Server 2003 系統用戶,建議升級操作系統到 Windows 7 及以上,如果因為特殊原因無法升級操作系統版本的,請手動下載補丁程序進行安裝,補丁下載地址:
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
3、升級電腦上的殺毒軟件病毒庫到最新版本。
二、校園網預防措施
在校園網設備上阻斷TCP 135、137、139、445 端口的連接請求,將會有效防止該病毒的傳播,但是同時也阻斷了校內外用戶正常訪問使用Windows系統相應文件共享機制的信息系統和網絡服務。因此,必須謹慎使用下列預付措施:
1、在網絡邊界(如校園網出口)上阻斷 TCP 135、137、139、445 端口的連接請求。這個操作可有效阻斷病毒從外部傳入內部網絡,但無法阻止病毒在內部網絡傳播。
2、在校園網的核心交換設備處阻斷 TCP 135、137、139、445 端口的連接請求,該操作可阻斷病毒在校內的局域網間進行傳播,但無法阻止病毒在局域網內傳播。
3、在局域網子網邊界處阻斷 TCP 135、137、139、445 端口的連接請求,該操作可最大限度保護子網的安全,但是無法阻擋該病毒在同臺交換機下傳播。
綜上所述,阻斷網絡的TCP 135、137、139、445 端口連接請求只是臨時措施,盡快完成各類用戶Windows系統軟件的升級或修復漏洞才是防范該病毒的根本措施。
看過如何防范感染勒索蠕蟲病毒的人還看了: