全球爆发WannaCry病毒,深信服智安全倾情奉献实用解决方案

  • 来源:深信服安全中心
  • 发布时间:2017-05-13
#

事件描述

病毒介绍

    2017年5月12日起, 全球性爆发勒索病毒WannaCry ,经研究,此次为不法分子通过改造之前泄露的NSA黑客武器库中“永恒之蓝”攻击程序发起的网络攻击事件。“永恒之蓝”通过扫描开放445文件共享端口的Windows电脑,无需用户进行任何操作,只要开机联网,不法分子就能在电脑和服务器中植入病毒。

    系统中招后,病毒会加密系统中的照片、图片、文档、压缩包、音频、视频、可执行程序等几乎所有类型的文件,被加密的文件后缀名被统一修改为“.WNCRY”,病毒更改终端背景图片提出勒索要求,如下:    image.png

    一旦电脑感染了Wannacry病毒,受害者需支付等价300美金的比特币的勒索金才可解锁。否则,电脑就无法使用,且文件会被一直封锁。 

应对措施

一 、PC终端的隔离与加固

1、针对已被感染的计算机

已被感染的计算机请立即隔离,禁用所有有线及无线网卡或直接拔掉网线。

不要删除或损坏被加密数据,待后续解决方案。

2、针对暂未被感染的计算机

如计算机暂未被感染,为加强保护,避免被感染,请下载智安全Wannacry免疫工具2.0,在计算机上执行,并选择“立即免疫”。

下载最新工具,一键免疫:>>智安全Wannacry免疫工具2.0

>>永恒之蓝+永恒之石免疫工具

工具使用说明:

1)、请以系统管理员权限运行本工具; 

2)、执行本工具时,如有杀软提醒,请选择“允许”;

工具详细说明:>>工具说明

系统补丁未更新的,请按如下指示进行更新:http://sec.sangfor.com.cn/vulns/314.html

3、针对已被“永恒之石”病毒感染用户,可获取“永恒之石”专杀工具,一键查杀病毒,保障系统安全,下载链接:http://sec.sangfor.com.cn/events/95.html

4、针对已部署深信服行为管理设备的客户,可以通过配置终端提示页面,提醒用户安装免疫工具

>>查看提醒内容

在上网策略中,新增终端提醒策略

时间选择每隔 5 分钟

此策略至少开启 1 小时后再禁用,以保证所有人都能收到提醒;

URL填写:http://sec.sangfor.com.cn/wannacry_notify.html

blob.png

4、针对已经部署深信服防火墙的客户,每日首次登陆可获取最新威胁情报提醒,之后点击“威胁情报预警与处置”获取详情。点击“立即扫描”主动发现主机风险,如下图所示:

blob.png

blob.png


二、 网络边界设备的策略优化

【部署AF客户的策略建议】

1.  禁止外网对内网135/137/138/139/445端口的访问,切断外部攻击途径。

image.pngimage.png然后配置应用控制策略,阻断这几个端口的流量,如下图3所示(注意区域选择全部):

image.png

2. 更新漏洞识别库至20170415(4月15日发布)及以上版本,并配置阻断策略。

1)确认漏洞特征识别库中,包含WannaCry阻断规则

image.png

2)确认配置了阻断策略。(在原有基础上增加新的策略)

image.png

【部署AC客户的策略建议】

  禁止外网对内网135/137/139/445端口的访问,切断外部攻击途径。

 A. 新增网络服务

在对象定义->网络服务中,新增一个网络服务

image.png

B. 新增防火墙规则

在防火墙->过滤规则-> WAN<->LAN 中,新增规则<!-----><!----->

image.png

image.png


【部署企业云客户的策略建议】

1、打开虚拟网络页面,进入防火墙,配置规则,拒绝数据中心所有访问135、137、138、139、445、3389:

源:全部

目的:全部

服务:TCP 135、139、445、3389;UDP 137、138

动作:拒绝

image.png

选择拒绝这些服务:

image.png

配置好的规则如下:

image.png

2、如果您不确定数据中心是否虚拟机与虚拟机间有正常的135、137、139、445、3389访问,可以打开实时拦日志,查看被该规则拦截的访问,再对该虚拟机进行单独放通。

image.pngimage.png

三、 针对有域名的网站,排查有无“永恒之蓝”MS17-010 漏洞

   登录深信服网站安全监测服务首页(https://rm.sangfor.net.cn),点击注册,联系当地一线,协助注册(需要输入一线工号,提供验证码之后即可注册成功),领取网站安全监测服务,监测“永恒之蓝”MS17-010 漏洞是否存在。

image.png

关于WannaCry 病毒,如有相关咨询,可拨打紧急电话:18038155791,信服君免费为您提供咨询和帮忙!