如何防範感染勒索蠕蟲病毒

  5月12日開始散播的勒索蠕蟲病毒,從發現到大面積傳播,僅僅用了幾個小時,其中高校成為了重災區。那麼,這款病毒究竟要如何防範呢下面小編就帶大家一起來詳細瞭解下吧。

  勒索蠕蟲病毒預防處理方法

  1、關閉危險埠已製作一鍵關閉批處理

  2、更新安全補丁已提供各版本作業系統補丁下載

  3、安裝防毒軟體推薦:微軟防毒軟體已提供軟體包及病毒庫升級包

  2017年5月12日起,全球範圍內爆發基於Windows網路共享協議進行攻擊傳播的蠕蟲惡意程式碼,這是不法分子通過改造之前洩露的NSA黑客武器庫中“永恆之藍”攻擊程式發起的網路攻擊事件,使用者只要開機上網就可被攻擊。五個小時內,影響覆蓋美國、俄羅斯、整個歐洲等100多個國家,國內多個高校校內網、大型企業內網和政府機構專網中招,被勒索支付高額贖金才能解密恢復檔案,對重要資料造成嚴重損失。這次的“永恆之藍”勒索蠕蟲,是NSA網路軍火民用化的全球第一例。一個月前,第四批NSA相關網路攻擊工具及文件被ShadowBrokers組織公佈,包含了涉及多個Windows系統服務SMB、RDP、IIS的遠端命令執行工具,其中就包括“永恆之藍”攻擊程式。

  漏洞描述

  近期國內多處高校網路和企業內網出現WannaCry勒索軟體感染情況,磁碟檔案會被病毒加密,只有支付高額贖金才能解密恢復檔案,對重要資料造成嚴重損失。

  根據網路安全機構通報,這是不法分子利用NSA黑客武器庫洩漏的“永恆之藍”發起的蠕蟲病毒攻擊傳播勒索惡意事件。惡意程式碼會掃描開放445檔案共享埠的Windows機器,無需使用者任何操作,只要開機上網,不法分子就能在電腦和伺服器中植入勒索軟體、遠端控制木馬、虛擬貨幣挖礦機等惡意程式。

  由於以前國內多次爆發利用445埠傳播的蠕蟲,部分運營商在主幹網路上封禁了445埠,但是教育網及大量企業內網並沒有此限制而且並未及時安裝補丁,仍然存在大量暴露445埠且存在漏洞的電腦,導致目前蠕蟲的泛濫。

  風險等級

  360安全監測與響應中心對此事件的風險評級為:危急

  影響範圍

  掃描內網,發現所有開放445SMB服務埠的終端和伺服器,對於Win7及以上版本的系統確認是否安裝了MS17-010補丁,如沒有安裝則受威脅影響。Win7以下的WindowsXP/2003目前沒有補丁,只要開啟SMB服務就受影響。

  應急處置方法

  目前利用漏洞進行攻擊傳播的蠕蟲開始氾濫,360企業安全強烈建議網路管理員在網路邊界的防火牆上阻斷445埠的訪問,如果邊界上有IPS和360新一代智慧防火牆之類的裝置,請升級裝置的檢測規則到最新版本並設定相應漏洞攻擊的阻斷,直到確認網內的電腦已經安裝了MS17-010補丁或關閉了Server服務。

  終端層面

  暫時關閉Server服務。

  檢查系統是否開啟Server服務:

  1、開啟開始按鈕,點選執行,輸入cmd,點選確定

  2、輸入命令:netstat-an回車

  3、檢視結果中是否還有445埠

  感染處理

  對於已經感染勒索蠕蟲的機器建議隔離處置。

  根治方法

  對於Win7及以上版本的作業系統,目前微軟已釋出補丁MS17-010修復了“永恆之藍”攻擊的系統漏洞,請立即電腦安裝此補丁。出於基於許可權最小化的安全實踐,建議使用者關閉並非必需使用的Server服務,操作方法見“應急處置方法”部分。

  對於WindowsXP、2003等微軟已不再提供安全更新的機器,推薦使用360“NSA武器庫免疫工具”檢測系統是否存在漏洞,並關閉受到漏洞影響的埠,以避免遭到勒索蠕蟲病毒的侵害。免疫工具下載地址:

  恢復階段

  建議針對重要業務系統立即進行資料備份,針對重要業務終端進行系統映象,製作足夠的系統恢復盤或者裝置進行替換。

  關於 WannaCry/Wcry 勒索蠕蟲病毒的具體防範措施建議

  一、個人計算機使用者的預防措施

  1、使用Widnows Vista、Windows 7、Windows 8.1、Windows 10、Windows Server 2008、Windows Server 2012、Windows Server 2016 系統的使用者,請啟用系統自帶的更新功能將補丁版本升級到最新版本;

  2、仍然使用Windows XP、Windows 8 及 Windows Server 2003 系統使用者,建議升級作業系統到 Windows 7 及以上,如果因為特殊原因無法升級作業系統版本的,請手動下載補丁程式進行安裝,補丁下載地址:

  

  3、升級電腦上的防毒軟體病毒庫到最新版本。

  二、校園網預防措施

  在校園網裝置上阻斷TCP 135、137、139、445 埠的連線請求,將會有效防止該病毒的傳播,但是同時也阻斷了校內外使用者正常訪問使用Windows系統相應檔案共享機制的資訊系統和網路服務。因此,必須謹慎使用下列預付措施:

  1、在網路邊界如校園網出口上阻斷 TCP 135、137、139、445 埠的連線請求。這個操作可有效阻斷病毒從外部傳入內部網路,但無法阻止病毒在內部網路傳播。

  2、在校園網的核心交換裝置處阻斷 TCP 135、137、139、445 埠的連線請求,該操作可阻斷病毒在校內的區域網間進行傳播,但無法阻止病毒在區域網內傳播。

  3、在區域網子網邊界處阻斷 TCP 135、137、139、445 埠的連線請求,該操作可最大限度保護子網的安全,但是無法阻擋該病毒在同臺交換機下傳播。

  綜上所述,阻斷網路的TCP 135、137、139、445 埠連線請求只是臨時措施,儘快完成各類使用者Windows系統軟體的升級或修復漏洞才是防範該病毒的根本措施。


  看過的人還: