当前位置: 新闻中心 > 公司新闻

 

不容错过 | “永恒之蓝”勒索病毒安全处置FAQ

日期:2017-05

版权申明

本文档包含了来自安恒信息技术有限公司(以下简称“安恒信息”机密的技术和商业信息,提供给“安恒信息”的客户或合作伙伴使用。接受本文档表示同意对其内容保密并且未经“安恒信息”书面认可,不得复制、泄露或散布本文档的全部或部分内容。

本文档及其描述的产品受有关法律的版权保护,对本文档内容的任何形式的非法复制,泄露或散布,将导致相应的法律责任。

“安恒信息”保留在不另行通知的情况下修改本文档的权利,并保留对本文档内容的解释权。

1.病毒相关

问:为什么此次勒索病毒“WannaCry”感染人数如此之多?

答:此次勒索软件利用了NSA黑客武器库泄漏的“永恒之蓝”工具进行网络感染,只要是Windows XP、Windows2003、Windows Vista、Windows7 、Windows 2008、Windows 10、Windows2012,对外开放445端口(系统默认开放)且没有更新微软官方MS17-010漏洞补丁的均有可能被感染,而在国内符合这些条件的PC主机数量非常大,而且经过安恒信息安全专家分析发现该病毒可以通过智能生成IP地址进行网络感染,所以几乎一夜间感染量达到数万台之多。

问:此次勒索病毒“WannaCry”受影响操作系统版本是哪些?

答:此次勒索软件利用了NSA黑客武器库泄漏的“永恒之蓝”工具进行网络感染,影响范围如下:

桌面版本操作系统:

Windows 2000
Windows XP
Windows Vista
Windows7
Windows8
Windows8.1
Windows10

服务器版本操作系统:

Windows Server 2000
Windows Server 2003
Windows Server 2008
Windows Server 2012
Windows Server 2016

安恒信息安全专家强烈建议,如果涉及相关的操作系统一定要采用适当的方式开展系统更新,防止勒索病毒“WannaCry”感染。

问:此次勒索病毒“WannaCry”的勒索方式是怎样的?

答:此次勒索病毒与先前的勒索方式一样,采用暗网Tor网络支付比特币方式进行勒索,一般勒索数额至少为1个比特币,折合人民币至少12000元。

问:勒索病毒“WannaCry”被加密的数据能否通过正常途径进行解密?

答:勒索病毒“WannaCry”加密方式一般为AES或RSA,加密密钥掌握在黑客手中,没有相关密钥不能正确解密,就相当于你的家门被别人上了一把锁,但是这把锁的钥匙却掌握在别人的手里。目前,安恒信息及国内各大安全厂商都在积极分析相关病毒样本数据,以求获取能够查杀、遏制、解密被加密数据的方法。

问:此次勒索病毒“WannaCry”对于不连接互联网的专有网络有影响么?

答:安恒信息安全专家根据对目前发现的全网勒索病毒“WannaCry”样本分析,并未发现该病毒具有通过存储介质传播的能力,但专网中的安全防护、系统补丁更新情况较落后,一旦存在私自外接WiFi等方式导致一台感染病毒后极易造成专网大面积感染情况,所以建议相关单位做好网络层面、主机层安全预防处置。

问:什么是“永恒之蓝EternalBlue”?

答:“永恒之蓝”工具是美国国家安全局开发的漏洞利用程序,于2017年4月14日被黑客组织影子经纪人泄露。尽管微软于2017年3月14日发布补丁修补了这个漏洞,5月12日WannaCry病毒利用这个漏洞传播时,很多Windows用户仍然没有安装补丁。由于WannaCry病毒的严重性,微软于2017年5月13日为已超过支持周期的操作系统Windows XP、Windows 8和Windows Server 2003发布了紧急安全更新,以阻止WannaCry病毒的传播。

“永恒之蓝”工具利用的是微软Windows操作系统的SMBv1协议中的安全漏洞。未经身份验证的攻击者可以向目标机器发送特制报文触发缓冲区溢出,导致在目标机器上远程执行任意代码。“永恒之蓝”工具会扫描开放445文件共享端口的Windows机器,只要用户开机上网,黑客就可能在电脑和服务器中植入勒索软件。

问:什么样的网络容易遭受感染?

答:勒索病毒“WanaCry”是利用Windows操作系统 MS17-010漏洞进行感染的,只要系统存在相关漏洞,并能够被其他主机访问到均有可能受到感染。目前来看,暴露在公网上的445端口受感染的几率最高,而且一旦被感染后也可以自我感染其他公网主机或者自身所在内网中,其次是办公内网中,办公网络安全防护复杂,极易造成严重的大面积感染情况,再次是服务器区域,而且该区域一旦被感染后损失最大,相关应用、数据等均在此区域,一旦被加密后果不堪设想,内部的专网受感染情况较低。以上几种网络环境均需要全面的安全防护,一旦感染被加密后都会影响到个人、单位、企业的正常运转。

问:家庭宽带、手机4G网络等个人网络容易感染勒索病毒么?

答:家庭宽带、手机4G网络都是通过入口网关(路由器等)的方式进行网络交互的,此次勒索病毒感染的条件是Windows 445端口交互,而在家庭宽带及手机4G网络条件下外部网络不能与内部直接通信,所以家庭宽带、手机4G较企业网络更乐观一些,但安恒信息仍建议做好相关安全防护工作。

2.检测相关

问:如何检测系统是否存在相关Windows MS17-10漏洞?

答:检测相关IP是否对外监听445端口,排查是否更新MS17-010补丁两个条件进行检测,相关检测方式如下:

1. 检测是否对外监听445端口,可以采用Telnet方式,也可以使用专业的端口扫描工具,如下所示:

1)Telnet命令:telnet [ip 地址] 445

图 用Telnet检测到主机开放445端口

2)使用SoftPerfect Network Scanner进行网络端口扫描:

图 设置扫描端口为445端口

图 配置好扫描目标IP段点击Start Scanning即可

图 扫描到的开放445端口的主机

3)使用Nmap进行网络端口扫描:

# nmap -sS -p 445 -vv 192.168.1.1/24

图 Nmap扫描445端口(SYN扫描速度快)

2. 检测系统安装更新情况

通过检查系统的更新情况可以知晓系统是否已经针对MS17-010安装过安全补丁,检查方法为 “控制面板”->“程序和功能”->“已安装更新”(相关布丁编号见

https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx

图 Windows7系统安全更新情况(上图未安装)

问:我的主机没有监听445端口是不是就说明系统是没有问题的?

答:目前勒索病毒“WannaCry”的感染途径为网络445端口,所以阻断445端口通信可以防止来自网络的感染行为,但是系统仍然是不安全的,因为相关安全补丁还未及时更新,安很信息专家建议做好网络防护后做好相关补丁更新工作。

问:我的网络中部署安恒信息专业APT预警平台,是否能够对相关病毒攻击行为进行审计告警?

答:明鉴APT预警平台在3月已经针对MS17-010的攻击开发了专业攻击预警策略,能够第一时间审计相关攻击行为,最快发现攻击来源及攻击目标,并及时发出告警,保障系统针对“WannaCry”病毒爆发、MS17-010攻击的告警。

3.应急处置相关

问:已经感染了勒索病毒“WannaCry”的主机该怎么处理?

答:已经感染了勒索病毒“WannaCry”的主机必须第一时间进行网络隔离处理,防止感染其他主机。直接办法就是拔掉网线。同时对系统中的数据损失进行分析,拷贝残留的有价值数据,拷贝完成后对所用的存储介质进行全面杀毒处理,并留存相关主机系统。如果要继续使用已经被感染的设备,安恒信息建议要对相关系统进行全面重装,格式化相关硬盘,并重建MBR引导扇区,安装纯净操作系统,做好全面安全防护处理后方可连接网络。

问:被加密的数据价值远大于被勒索比特币的金额,能否通过支付进行加密?

答:勒索病毒加密采用AES或RSA方式加密,正常解密难度非常高。此类勒索病毒勒索方式为Tor洋葱网络,支付方式为比特币,根据国内目前网络环境及金融环境,支付渠道非常不容易,且有相关受害者在支付后没有收到相关解密密钥。安恒信息及国内各大网络安全厂商均在不遗余力地开展相关病毒的分析工作,以求找到揭秘被加密数据的方法。

问:对于未感染设备如何安全防护?

答:未感染的设备请务必做到第一时间断网处理,防止在加固处理过程中被感染。然后通过主机防火墙加固、漏洞修复方式逐步进行安全防护。

1. 主机防火墙加固:

Windows自带主机防火墙,能够通过主机层网络安全防护,禁止外界445端口连接,保障系统的安全,针对防火墙控制有以下两种方式:

方法一:Windows vista及以后版本可以采用如下命令方式开启主机防火墙,并添加TCP 445端口防护策略:

echo "请务必以管理员身份运行"

netsh firewall set opmode enable netsh advfirewall firewall add rule name="deny445" dir=in protocol=tcp localport=445 action=block

方法二:

首先启用Windows防火墙。 “控制面板”-> 所有控制面板项 -> Windows防火墙 -> 打开或关闭防火墙

图 启用Windows防火墙配置

然后,针对445端口新建入站策略

Windows防火墙高级设置

新建端口控制入站规则

端口选择TCP 445端口

操作方式为阻止连接

选择相关网络位置(强烈建议全选)

填入名称和描述,点击完成

▲ 添加防火墙策略后的效果

2.关闭相关服务

Windows 32位关闭445端口批处理(bat):

REG ADD HKLM\SYSTEM\CurrentControlSet\services\NetBT\Parameters /v SMBDeviceEnabled /T REG_DWORD /D 0 /F&&sc config LanmanServer start= disabled&&net stop lanmanserver /y

Windows x64位关闭445端口批处理(bat):

REG ADD HKLM\SYSTEM\CurrentControlSet\services\NetBT\Parameters /v SMBDeviceEnabled /T REG_QWORD /D 0 /F&&sc config LanmanServer start= disabled&&net stop lanmanserver /y

新建文本文档,然后复制以上脚本内容,另存为【.bat】格式的文件,并右键【管理员运行】,待CMD对话框消失后,重启电脑即可。

3. MS17-010漏洞修复:

Windows系统更新一般采用Windows update或者第三方系统漏洞修复工具,但由于此勒索病毒通过网络传播,在通过网络更新补丁过程中也即容易造成病毒感染,所以强烈建议通过离线方式进行修复,相关补丁下载参见:https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx

问:微软已经放弃了对Windows XP、Windows Server2003等操作系统的安全支持,怎么进行安全防护?

答:微软工作真对已经暂停安全支持的Windows XP、Windows Server 2003等操作系统版本特别推出了特殊补丁,大家可以针对相关系统进行安全更新操作,同时安恒信息强烈建议对官方已经不再进行安全支持的操作系统尽快开展升级处理,保障系统的安全。以下提供三条命令关闭Windows XP、Windows Server 2003的445端口监听,可以关闭相关服务,使用方法为“运行”(Win+R快捷键)中依次输入以下命令即可:

net stop rdr
net stop srv
net stop netbt

问:Windows官方漏洞补丁下载页面打不开,怎么修复漏洞?

答:勒索病毒“WannaCry”感染全球范围内的Windows系列操作系统,造成全世界各地都在针对MS17-010进行漏洞修复工作,导致相关补丁列表页面网站打不开或者网络延时过大,在此安恒信息建议大家耐心刷新几次,不要图便利在其他非权威网站下载安全性未知的补丁包,导致感染其他的病毒或者木马。同时,安恒信息也针对常用的操作系统提供了相关补丁官方下载地址,大家可以放心下载。

Security Update for Windows XP SP3 (KB4012598)

Security Update for Windows Server 2003 (KB4012598)

Security Update for Windows Server 2003 for x64 Systems (KB4012598)

Security Update for Windows 7 (KB4012212)

Security Update for Windows 7 x64 (KB4012212)

Security Update for Windows Server 2008 R2 x64 (KB4012212)

Security Update for Windows10 ()

Security Update for Windows10 x64 ()

问:作为网络管理人员该如何进行控制措施,保障系统安全?

答:网络管理人员可以针对目前网络情况进行安全防护,可以从以下方面入手对网络环境进行安全加固,防治病毒入侵及感染范围扩大:

?边界交换机、路由器、防火墙等设备禁止双向135/137/139/445端口的TCP连接

?内网核心主干交换路由设备禁止双向135/137/139/445端口的TCP连接

?更新入侵防御、入侵检测、APT等安全设备漏洞库,开启防御策略

相关阅读

  • 1不容错过 | “永恒之蓝”勒索病毒安全处置FAQ
  • 2“永恒之蓝”勒索病毒安全事件应急指导手册(附工具包)
  • 3“永恒之蓝”勒索软件样本分析及一线案例处置分享
  • 4“永恒之蓝”勒索病毒凶猛 周一上班请用正确姿势打开电脑
  • 5 最详尽“永恒之蓝”勒索病毒防范视频教程
  • 6一张图看懂“永恒之蓝”勒索病毒处置流程
  • 7紧急预警 | “永恒之蓝”勒索病毒爆发,安恒APT产品可检测



  • 关于安恒信息

    杭州安恒信息技术有限公司(DBAPPSecurity)是由国家千人计划专家范渊先生于2007年创办,是中国领先的信息安全产品和服务解决方案提供商,阿里巴巴使命级战略合作伙伴。作为云安全、应用安全、大数据安全和智慧城市安全等前沿领域的领导品牌,多次入选全球网络安全500强。曾先后为北京奥运会、国庆60周年庆典、上海世博会、广州亚运会、抗战七十周年、连续三届世界互联网大会和G20峰会等重大活动提供全方位网络信息安全保障。

    公司主营业务涵盖云计算安全,大数据安全以及应用安全、数据库安全、移动互联网安全、智慧城市安全等,包括安全态势感知、威胁情报分析、攻防实战培训、顶层设计、标准制定、课题和安全技术研究、产品研发、产品及服务综合解决方案提供等。

    安恒信息通过“云监测、云防护、云审计、云应用”四大产品线构建全生命周期的一站式“安恒云”平台,为用户提供全方位、立体式的安全托管服务,帮助用户更快速、更安全、更放心的拥抱云计算和大数据,目前“安恒云”防护模式已在各大云平台成功实践并拥有上千家云客户案例。是政府军工、公检法司、运营商、金融能源、财税审计、教育医疗、互联网+等行业值得信赖的网络安全首选品牌!

     


    同时用户可以下载E安全app获得最及时的安全资讯、预警信息及风险威胁指数等等,下载地址:http://www.easyaq.com/


    如果有读者就文章内容希望与安恒信息的专家进行交流,欢迎拨打我们的客服热线进行垂询:400-6059-110。
    或者通过以下方式联系我们。
    电子邮件 :info@dbAppsecurity.com.cn
    关注安恒信息官方微信号:DBApp2013 即可与我们的客服人员即时沟通