收藏
下载资源

“wannacry”紧急防范处置手册v1.1

上传人:油条 文档编号:2727238 上传时间:2017-07-26 格式:PDF 页数:15 大小:1.20MB
返回 下载 相关 举报
“wannacry”紧急防范处置手册v1.1_第1页
第1页 / 共15页
“wannacry”紧急防范处置手册v1.1_第2页
第2页 / 共15页
“wannacry”紧急防范处置手册v1.1_第3页
第3页 / 共15页
“wannacry”紧急防范处置手册v1.1_第4页
第4页 / 共15页
“wannacry”紧急防范处置手册v1.1_第5页
第5页 / 共15页
点击查看更多>>
资源描述

《“wannacry”紧急防范处置手册v1.1》由会员分享,可在线阅读,更多相关《“wannacry”紧急防范处置手册v1.1(15页珍藏版)》请在金锄头文库上搜索。

1、互联网网络安全信息通报 国家计算机网络应急技术处理协调中心广东分中心 5 月 13 日 针对 勒索软件“ wannacry” 紧急 防范 处置 手册 1.概述 北京时间 5 月 13 日 , 互联网上出现针对 Windows 操作系统的勒索软件的攻击案例, 此次攻击事件的主角即名为“ WannaCry”的勒索软件。该勒索软件同时具备加密勒索功能和内网蠕虫传播能力,属于新型的勒索软件家族,危害极大。勒索软件利用此前披露的 Windows SMB服务漏洞(对应微软漏洞公告: MS17-010)攻击手段,向终端用户进行渗透传播,并向用户勒索比特币或其他价值物,涉及到国内用户(已收到多起高校案例报告)

2、,已经构成较为严重的攻击威胁 , 广东互联网 应急 中心 综合 相关材料 1形成 针对 勒索软件“ wannacry” 紧急 防范 处置 手册 。 2.应急处置 方案 2.1 主机应急处置操作指南 2.1.1 确认主机是否被感染 被感染的机器屏幕会显示如下的告知付赎金的界面: 1 来源 国家互联网应急中心、 360 公司 、安天 公司 、数字观星等单位 2.1.2 已 感染的用户 的补救 措施 据 目前 了解情况, 无法解密该勒索软件加密的文件 , 不建议 用户 向 勒索者支付赎金 。 如果发现 网内 有感染的机器, 应 将其 及时断网关机隔离处理 , 同时 通告运维人员切断 网络连接(如关闭

3、交换机 等网络连接设备 ) ,避免勒索软件的进一步扩散,内网的有关机器尽量做到断网关机 等 待 处理。 如有重要文件数据幸存,做好备份处理 , 但并不能说明备份的数据中没有被感染, 存储到磁盘后,同样 等候使用离线 工具处理。 若 用户 存在 主机备份,则启动备份恢 复程序。 2.1.3 尚未感染 主机 防护步骤 关闭 网络 ,开启系统防火墙; 利用系统防火墙高级设置阻止向 445 端口进行连接(该操作会影响使用445 端口的服务) 及 网络共享 ; 针对主机进行漏洞补丁升级安装。 2.1.3.1 Win7、 Win8、 Win10 系统 的处理流程 1) 关闭 网络 2) 打开控制面板 -系

4、统与安全 -Windows 防火墙,点击左侧启动或关闭 Windows 防火墙 3) 选择启动防火墙,并点击确定 4) 点击高级设置 5) 点击入站规则,新建规则 , 以 445 端口 为例 6) 选择端口、下一步 7) 选择 特定本地端口,输入 445,下一步 8) 选择阻止连接,下一步 9) 配置文件,全选,下一步 10) 名称,可以任意输入,完成即可。 11) 请 安装 MS17-010 补丁,微软已经发布 winxp_sp3 至 win10、 win2003 至 win2016 的 全 系 列 补 丁 。 微 软 官 方 下 载 地 址 :https:/ 恢复 网络 升级。 12) 开

5、启系统自动更新,并检测更新进行安装 13) Win7 系统 需要关闭 Server 服务才 能够 禁用 445 端 口的连接 需要操作系统的 server 服务关闭,依次点击“开始”,“运行”,输入 services.msc,进入服务管理控制台。 双击 Server, 先停用,再 选择 禁用。 最后 重启 win7。 使用 netstat an 查看 445 端口 不存在 了。 注 : 在 系统更新完成后,如果业务 需要 使用 SMB 服务 , 将 上面 设置 的防火墙入站规则删除即可。 2.1.3.2 Win XP 系统的处理流程 1) 依次打开控制面板,安全中心, Windows 防火墙,

6、选择启用 2) 通过注册表 关闭 445 端口, 单击“开始” “运行”,输入“ regedit”,单击“确定”按钮,打开注册表 。 3) 找到 HKEY_LOCAL_MACHINESystemControlsetServicesNetBTParameters,选择“ Parameters”项,右键单击,选择“新建” “ DWORD 值”。 4) 将 DWORD 值命名为“ SMBDeviceEnabled”, 值修改为 0。 5) 重启机器,查看 445 端口连接已经没有了 。 6) 鉴于本次 Wannacry 蠕虫事件的影响 恶劣 ,微软总部决定对已停服的 XP 和部分服 务 器 版 本

7、发 布 特 别 补 丁 , 微 软 公 告 详 情 / 。https:/ 2.2 网络设备 应急处置操作指南 部分 机构由于设备众多,为了避免感染设备之后的广泛传播,建议利用各网 络设备的 进行 ACL 访问控制 策略配置,以实现临 时 应急方案 。 由于 该蠕虫病毒主要利用 TCP 的 445 端口进行传播 ,为了阻断病毒快速传播 , 建议在核心网络设备的三层接口位置 ,配置 ACL 规 则从网络层面阻断 TCP 445 端口的通讯。 以下内容是基于较为流行的网络设备,举例说明 配置 ACL 规则,以禁止 TCP 445 网络端口传输,仅供大家参考。在实际操作中,请协调网络管理人员或 网络设

8、备厂商服务人员,根据实际网络环境在核心网络设备上进行配置。 2.2.1 Juniper 设备的建议配置(示例) : set firewall family inet filter deny-wannacry term deny445 from protocol tcp set firewall family inet filter deny-wannacry term deny445 from destination-port 445 set firewall family inet filter deny-wannacry term deny445 then discard set fire

9、wall family inet filter deny-wannacry term default then accept #在全局应用规则 set forwarding-options family inet filter output deny-wannacry set forwarding-options family inet filter input deny-wannacry #在三层接口应用规则 set interfaces 需要挂载的三层端口名称 unit 0 family inet filter output deny-wannacry set interfaces 需要挂

10、载的三层端口名称 unit 0 family inet filter input deny-wannacry 2.2.2 华三 (H3C)设备的建议配置(示例) : 新版本 : acl number 3050 rule deny tcp destination-port 445 rule permit ip interface 需要挂载的三层端口名称 packet-filter 3050 inbound packet-filter 3050 outbound 旧版本 : acl number 3050 rule permit tcp destination-port 445 traffic c

11、lassifier deny-wannacry if-match acl 3050 traffic behavior deny-wannacry filter deny qos policy deny-wannacry classifier deny-wannacry behavior deny-wannacry #在全局应用 qos apply policy deny-wannacry global inbound qos apply policy deny-wannacry global outbound #在三层接口应用规则 Interface 需要挂载的三层端口名称 qos apply

12、 policy deny-wannacry inbound qos apply policy deny-wannacry outbound 2.2.3 华为设备的建议配置(示例) : acl number 3050 rule deny tcp destination-port eq 445 rule permit ip traffic classifier deny-wannacry type and if-match acl 3050 traffic behavior deny-wannacry traffic policy deny-wannacry classifier deny-wan

13、nacry behavior deny-wannacry precedence 5 interface 需要挂载的三层端口名称 traffic-policy deny-wannacry inbound traffic-policy deny-wannacry outbound 2.2.4 Cisco 设备的建议配置(示例) : 旧版本 : ip access-list extended deny-wannacry deny tcp any any eq 445 permit ip any any interface 需要挂载的三层端口名称 ip access-group deny-wannac

14、ry in ip access-group deny-wannacry out 新版本 : ip access-list deny-wannacry deny tcp any any eq 445 permit ip any any interface 需要挂载的三层端口名称 ip access-group deny-wannacry in ip access-group deny-wannacry out 2.2.5 锐捷设备的建议配置(示例) : ip access-list extended deny-wannacry deny tcp any any eq 445 permit ip

15、any any interface 需要挂载的三层端口名称 ip access-group deny-wannacry in ip access-group deny-wannacry out 2.3 其他 应急处置操作指南 其他快速处置方式可 使用 “ NSA 武器库免疫工具 ”, 一键检测修复漏洞、关闭高风险服务, 可 精准检测出 NSA 武器库使用的漏洞 是否已经修复, 提示用户安装相应的补丁。 针对 XP、 2003 等无补 丁的系统版 本用户,防御工具能够帮助用户关闭存在高危风险的服务,从而对 NSA 黑客武 器攻击的系统漏洞 防护 。 NSA 武器库免疫工具下载地址: http:/ 关于 国家计算机网络应急技术处理协调中心广东分中心 国家计算机网络应急技术处理协调中心广东分中心 (中文简称“ 广东互联网应急中心 ”, 英文简称 GDCE

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 行业资料 > 其它行业文档

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号