漏洞描述
1.1漏洞描述
2017年5月12日起,在國內外網絡中發現爆發基於的Windows網絡共享協議進行攻擊傳播的蠕蟲惡意代碼,這是不法分子通過改造之前洩露的國家安全局的黑客武器庫中“WannaCryptor”攻擊程序發起的網絡攻擊事件。
目前發現的蠕蟲會掃描開放445文件共享端口的的Windows機器,無需用戶任何操作,只要開機上網,不法分子就能在電腦和服務器中植入執行勒索程序,遠程控制木馬,虛擬貨幣挖礦機等惡意程序。
此蠕蟲目前在沒有對445端口進行嚴格訪問控制的教育網,企業內網及業務外網大量傳播,呈現爆發的態勢,受感染系統會被勒索高額金錢,不能按時支付贖金的系統會被銷毀數據造成嚴重損失。該蠕蟲攻擊事件已經造成非常嚴重的現實危害,各類規模的網絡也已經面臨此類威脅。
1.2影響範圍
涉及開放445 SMB服務端口而沒有及時安裝安全補丁的客戶端和服務器系統將可能面臨此威脅。
應急方案
ESET NOD32查殺“WannaCryptor”方法:
安裝ESET NOD32殺毒軟件,更新到最新病毒庫,保持安全防禦功能開啟,
1.1 NOD32查殺“WannaCryptor”方法:
ESET NOD32病毒庫版本要求是15404(2017-05-12)或者更高版本
ESET官方加入病毒庫查詢 https://www.virusradar.com/en/search/all/wannacry。
更新病毒庫到15404(2017年5月12日)之後查殺結果
1.2 ESET防火牆版用戶對於Win7及以上版本的系統確認是否安裝MS17-010補丁,如果沒有安裝則受威脅影響; Win7以下的Windows XP / 2003沒有補丁,只要開啟SMB服務就會受到影響。
為了減少“WannaCryptor”帶來的損失,我們建議客戶首先對向外開放的445等共享端口進行防火牆阻斷控制,並及時部署MS17-010補丁,
提醒:執行應急處置辦法之前,請管理員先自行評估關閉135,137,138,139,445端口對業務是否帶來影響。
進入殺毒軟件高級設置
選擇規則和區域點擊設置
選擇嚴格保護,則直接關閉445等端口。
以上防火牆測量可以在遠程管理服務器上下發到每台NOD32帶防火牆版的終端。
2,打開Windows Update自動更新,及時升級系統。
微軟在3月份已經針對NSA洩漏的漏洞發布了MS17-010升級補丁,包括本次被敲詐者蠕蟲病毒利用的“WannaCryptor”漏洞,同時針對停止支持的Windows XP,Windows Server 2003,Windows 8也發布了專門的修復補丁。
重災區WINDOWS XP&win 8補充下載地址:
直接下載地址:
Windows XP SP2 64位:
Windows XP SP3 32位:
Windows XP SP3 32位嵌入式:
Windows Server 2003 SP2 32位:
Windows Server 2003 SP2 64位:
Windows 8 32位:
Windows 8 64位:
最新版的Windows 10 1703創意者更新已經不存在此漏洞,不需要補丁。
各系統補丁官方下載地址如下:
適用於Windows XP 32位/ 64位/嵌入式,Windows Vista 32/64位,Windows Server 2003 SP2 32位/ 64位,Windows 8 32位/ 64位,Windows Server 2008 32位/ 64位/安騰
適用於Windows 7 32位/ 64位/嵌入式,Windows Server 2008 R2 32位/ 64位
適用於Windows 8.1 32位/ 64位,Windows Server 2012 R2 32位/ 64位
適用於Windows 8嵌入式,Windows Server 2012
適用於Windows 10 RTM 32位/ 64位/ LTSB
適用於Windows 10 1511十一月更新版32/64位
適用於Windows 10 1607週年更新版32/64位,Windows Server 2016 32/64位
3.應急方案 - 未購買防火牆版本的用戶
1.開始菜單 - >運行,輸入GPEDIT.MSC回車打開組策略編輯器
在組策略編輯器中,計算機配置 - > windows設置 - >安全設置 - > ip安全策略下,在編輯器右邊空白處鼠標右鍵單擊,選擇“創建IP安全策略”
3.下一步 - >名稱填寫“封端口”,下一步 - >下一步 - >勾選編輯屬性,並點完成
4.去掉“使用添加嚮導”的勾選後,點擊“添加”
5.在新彈出的窗口,選擇“IP篩選列表”選項卡,點擊“添加”
6.在新彈出的窗口中填寫名稱,去掉“使用添加嚮導”前面的勾,單擊“添加”
7.在新彈出的窗口中,“協議”選項卡下,選擇協議和設置到達端口信息,並點確定。
8.重複第7個步驟,添加TCP端口135,139,445。添加UDP端口137,138。添加全部完成後,確定。
9.選中剛添加完成的“端口過濾”規則,然後選擇“篩選器操作”選項卡。
10.去掉“使用添加嚮導”勾選,單擊“添加”按鈕
11.選擇“阻止”
12.選擇“常規”選項卡,給這個篩選器起名“阻止”,然後點擊“確定”。
13.確認“IP篩選列表”選項卡下的“端口過濾”被選中。確認“篩選器操作”選項卡下的“阻止”被選中。然後點擊“關閉”。
14.確認安全規則配置正確。點擊確定。
15.在“組策略編輯器”上,右鍵“分配”,將規則啟用。
4.附錄 - 查看445端口是否開放1.查看445端口是否關閉的方法:
2.打開開始菜單---點擊運行----輸入在cmd---點擊確定
3.輸入命令:netstat -an回車
4.查看結果中是否還有445端口
5,Windows XP,Windows Server 2003系統用戶還可以關閉445端口,規避遭遇此次敲詐者蠕蟲病毒的感染攻擊。
步驟如下:
(1),開啟系統防火牆保護控制面板 - >安全中心 - >窗防火牆 - >啟用。
開啟系統防火牆保護
(2),關閉系統445端口。
(a),快捷鍵WIN + R啟動運行窗口,輸入cmd並執行,打開命令行操作窗口,輸入命令“netstat -an”,檢測445端口是否開啟。
(b)中,如上圖假如445端口開啟,依次輸入以下命令進行關閉:
淨停止rdr / net stop srv / net stop netbt
功後的效果如下:
(C),關閉該端口會導致共享文件和共享打印機無法打印,如上圖假如445端口已關閉,如需恢復共享,依次輸入以下命令進行恢復:
net star rdr / net star srv / net star netbt
4,謹慎打開不明來源的網址和郵件,打開辦公文檔的時候禁用宏開啟,網絡掛馬和釣魚郵件一直是國內外勒索病毒傳播的重要渠道。
釣魚郵件文檔中暗藏勒索者病毒,誘導用戶開啟宏運行病毒
5,養成良好的備份習慣,及時使用網盤或移動硬盤備份個人重要文件。
本次敲詐者蠕蟲爆發事件中,國內很多高校和企業都遭遇攻擊,很多關鍵重要資料都被病毒加密勒索,希望廣大用戶由此提高重要文件備份的安全意識。