WannaCryWcry勒索病毒应急手册

WannaCryWcry勒索病毒应急手册一、概述CNCERT发布的公告称，5月13日，互联网上出现对于Windws操作系统的勒索软件的攻击案例，勒索软件利用此前披露的WindwsSMB服务漏洞(对应微软漏洞公告：MS17-010)攻击手段，向终端用户进行渗透传播，并向用户勒索比特币或其他价值物，涉及到国内用户(已收到多起高校案例报告)，已构成较为严重的攻击威胁。公告指出，综合CNVD技术组成员单位已获知的样本情况和分析结果，该勒索软件在传播时基于445端口并利用SMB服务漏洞(MS17-010)，总体可以判断是由于此前“ShadwBrkers”披露漏洞攻击工具而导致的后续黑攻击威胁。当用户主机系统被该勒索软件入侵后，弹出勒索对话框，提示勒索目的并向用户索要比特币。而用户主机上的重要数据文件，如：照片、图片、文档、压缩包、音频、视频、可执行程序等多种类型的文件，都被恶意加密且后缀名统一修改为“.WNCRY”。目前，安全业界暂未能有效破除该勒索软件的恶意加密行为，用户主机一旦被勒索软件渗透，只能通过重装操作系统的方式来解除勒索行为，但用户重要数据文件不能直接恢复。根据CNVD秘书处普查的结果，互联网上共900余万台主机IP暴露445端口(端口开放)，而中国大陆地区主机IP有300余万台。CNCERT已经着手对勒索软件及相关网络攻击活动进行监测，目前共发现有向全球70多万个目标直接发起的对于MS17-010漏洞的攻击尝试。二、影响范围受影响范围：WinP、Win7、win8、win8.1、win10、server2003、server2008、server2012、server2106等版本未安装补丁的系统均受影响微软在2017年3月14日发布了WindwsSMB服务器安全更新KB，由于本次Wannacry蠕虫事件的巨大影响，微软总部5月13日决定发布已停服的P和部分服务器版补丁，相应补丁链接为：MS17-010补丁：停服系统特别补丁：三、防护建议1、网络层面在不影响业务情况下，建议在系统出入口与内网各个区域入防火墙上阻断135、137、138、139、445端口的访问，建议由网络管理人员来进行操作。备注：具体操作方法可参照各厂商设备技术手册2、主机层面开启系统防火墙，关闭server服务，利用系统防火墙高级设置阻止向445端口进行连接（该操作会影响使用445端口的服务）安装补丁MS17-010补丁，P和server2003安装紧急补丁根据实际情况利用加固工具来进行主机层面的应急预防，直接以管理员运行此工具便捷加固加固工具加固思路：1、关闭server服务2、开启系统防火墙3、添加阻止445端口入站策略，使用脚本请本批处理需要以管理员身份运行，可以通过查看防火墙入站策略来确认批处理是否执行成功，开启防火墙可能会导致业务端口被默认阻断，注意配置系统防火墙放行。3、主机手动加固参考（1）开启系统防火墙点击开始---控制面板---windws防火墙点击启用和关闭windws防火墙启用防火墙点击高级设置修改入站规则选择端口输入445端口选择阻止连接命名后即可结束。（2）修改IP安全策略在“开始”菜单选择“运行”，输入后回车，打开本地组策略编辑器。依次展开“计算机配置---windws设置---安全设置---ip安全策略，在本地计算机”2以关闭135端口为例（其他端口操作相同）：在本地组策略编辑器右边空白处右键单击鼠标，选择“创建IP安全策略”，弹出IP安全策略向导对话框，单击下一步；在出现的对话框中的名称处写“关闭端口”（可随意填写），点击下一步；对话框中的“激活默认响应规则”选项不要勾选，然后单击下一步；勾选“编辑属性”，单击完成。3在出现的“关闭端口属性”对话框中，选择“规则”选项卡，去掉“使用添加向导”前边的勾后，单击“添加”按钮。4在弹出的“新规则属性”对话框中，选择“IP筛选器列表”选项卡，单击左下角的“添加”5出现添加对话框，名称出填“封端口”（可随意填写），去掉“使用添加向导”前边的勾后，单击右边的“添加”按钮在出现的“IP筛选器属性”对话框中，选择“地址”选项卡，“源地址”选择“任何”，“目标地址”选择“我的IP地址”；

选择“协议”选项卡，各项设置如图片中所示。设置好后点击“确定”。返回到“ip筛选器列表”，点击“确定”。返回到“新规则属性”对话框在ip筛选器列表中选择刚才添加的“封端口”，然后选择“筛选器操作”选项卡，去掉“使用添加向导”前面的勾，单击“添加”按钮在“筛选器操作属性”中，选择“安全方法”选项卡，选择“阻止”选项；在“常规”选项卡中，对该操作命名，点确定选中刚才新建的“新建1”，单击关闭，返回到“关闭端口属性“对话框，确认“IP安全规则”中封端口规则被选中后，单击确定在组策略编辑器中，可以看到刚才新建的“关闭端口”规则，选中它并单击鼠标右键，选择“分配”选项，使该规则开始应用。同样的方法你可以添加对限制访问的445端口的规则4、管理与意识层面漏洞立马修补系统补丁要立马更新，对于严重漏洞更要抓紧时间修补。被此次勒索软件事件利用的微软SMB漏洞，3月份的微软已相关补丁，当漏洞程序公开的情况下，更要立刻进行补丁更新。关注山鹰网公众号，能够立马获得此类漏洞动态信息。提高防范意识勒索软件不止一种，也不仅是通过Windws漏洞进行传播，也会通过广撒网的垃圾邮件携带恶意软件的方式进行钓鱼攻击，或者诱使受害人点击不良网站上的URL进行攻击。安全防范意识需要进行日常教育、不断积累。备份如果资料非常重要，建议经常备份，不只是面对勒索软件如此，各类软硬件故障也会导致资料消失，定期备份重要数据是非常