5月12日,全球爆发勒索病毒WannaCry,大量企业和组织遭受大规模的勒索攻击,国内高校内网、大型企业内网和政府机构专网相继中招。
系统中毒后,会加密系统中的照片、图片、文档、压缩包、音频等几乎所有类型的文件,不法分子据此向受害者提出勒索要求,支付高额赎金才能解密恢复文件,对重要数据造成严重损失。
一.序言
本操作指引分为三个步骤展开:
1、隔离受感染主机
2、切断传染途径
3、修复系统隐患
如果发现已经有主机被感染,立刻对此主机进行隔离。对于不确定是否已经被感染的主机当前阶段先不要逐一确认,请优先按照下述第三点和第四点处理。
判断方法:出现下述界面的主机
操作方法:
全部服务器断开网络,如:拔掉网线、操作系统内禁用网络连接。对于已经感染病毒的服务,目前业界暂无有效解决方案,建议隔离放置,暂时不要做任何操作。
影响及可能的问题:
业务系统无法对外访问
1、切断内网传播途径
方法:
内网交换机上配置访问控制策略,禁止内网之间的135、137、139、445端口的访问权限。具体操作方案请参照对应交换机产品的操作手册。
针对无线网络也需要进行隔离,具体方法建议根据无线产品特性确认方案;我司建议先临时关闭无线访问,待全部终端电脑修复完毕后再开启无线。
影响及可能的问题:
1)建议核心交换、汇聚交换机、接入层交换机等具备访问控制策略功能的交换机全部开启。
2)445等端口为网上邻居、共享应用的端口,禁用端口后对应的应用将无法
对外系统服务。例如:打印机、共享文件夹等应用。
2、切断外网传播途径
方法:
下述两种方法根据实际情况选择一种最快的方式执行即可。
1)安全网关设备开启对应防护规则
应用层防火墙、IPS等安全网关可能集成相应的防护功能,可以通过其应用层防火的功能阻止外网到内网的传播,具体建议与对应厂商进行确认。
2)安全网关通过限制访问端口进行防护
如果无法通过上述第一点进行防护,可以在边界防火墙设备上禁止对网络中135/137/139/445端口的访问,切断外部传播途径。
四.修复或规避系统漏洞方案
完成上述两个步骤后基本切断漏洞传播的内部和外部途径,接下来将对服务器可能存在的隐患进行修复。
4.1 建议根据业务系统重要性进行修复,建议如下:
1、重要业务系统服务器(优先级高)
建议判断标准:生产系统、销售系统、财务系统、研发系统、供应链系统、AO系统、邮件系统等。
2、次重要业务系统服务器(优先级中)
建议判断标准:内部论坛、打印机等其他服务器。
4.2 建议对重要业务系统数据进行备份
建议将重要数据备份到其他外部介质上,如NAS等外置存储。
4.3执行修复方案
下述三种方案贵司根据实际情况选择一种最快、最适合的方式执行,方案执行成功后可以恢复对应的业务。
1、关闭潜在服务器的SMB服务及端口 (规避措施)
方法:
启用并打开“Windows防火墙”,进入“高级设置”,在入站规则新建规则。
2、使用速修复工具(规避措施)
方法:
http://pan.baidu.com/s/1pLe64mn
3、修复系统漏洞(彻底修复SMB漏洞)
方法:
升级微软针对MS17-010的漏洞补丁,建议采用U盘拷贝补丁、手动更新方法完成(避免自动更新上网时带来的交叉传染隐患)。并且建议补丁下载也在相对安全的环境中进行。微软补丁参考列表如下:https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx
建议优先下载微软官方的补丁,如果部分补丁可能会存在下载速度较慢的情况,我司整理微软补丁并提供下载的参考如下:
https://wx.xyclouds.com/static/bjsec/patch.zip
影响及可能的问题:
1、上述方案1和方案2是SMB漏洞的规避方案,隐患得到规避的同时会导致系统某些服务将停止,例如:打印机、共享文件夹等应用。
2、方案3是SMB漏洞的彻底修复方案,不会对业务员造成影响。
本文出自 “胡斌” 博客,转载请与作者联系!
原文地址:http://hyperbin.blog.51cto.com/766889/1925873