《周一开机保障指南及工具包》由会员分享,可在线阅读,更多相关《周一开机保障指南及工具包(30页珍藏版)》请在金锄头文库上搜索。
1、 周一开机保障指南及工具包 2017 年 05 月 15 日 2 目录目录 第第 1 1 章章 事件概述事件概述 .3 第第 2 2 章章 受影响系统受影响系统 .4 第第 3 3 章章 本文档及工具包的作用本文档及工具包的作用 .5 第第 4 4 章章 本文档及工具包的内容本文档及工具包的内容 .6 4.1 所包含的文档说明所包含的文档说明 . 6 4.2 所包含的工具说明所包含的工具说明 . 7 第第 5 5 章章 风险提示风险提示 .9 5.1 域环境下禁用域环境下禁用 445 端口风险端口风险 . 9 5.2 关键数据被加密的处置建议关键数据被加密的处置建议 . 9 第第 6 6 章章
2、 安全开机操作指南安全开机操作指南 .10 6.1 如果你是网络管理员如果你是网络管理员 . 10 6.2 如果你是服务器管理员如果你是服务器管理员 . 12 6.3 如果你是桌面终端管理如果你是桌面终端管理员员 . 18 6.4 如果你是普通电脑用户如果你是普通电脑用户 . 26 3 第第1 1章章 事件概述事件概述 2017 年 4 月,美国国家安全局(NSA)旗下的“方程式黑客组织”使用的部分网络武器被公开,其中有十款工具最容易影响 Windows 用户,包括永恒之蓝、 永恒王者、永恒浪漫、永恒协作、翡翠纤维、古怪地鼠、爱斯基摩卷、文雅学者、日食之翼和尊重审查。不法分子利用“永恒之蓝”
3、,通过扫描开放 445 文件共享端口的 Windows,无需任何操作,只要开机上网,不法分子就能在电脑和服务器中植入执行勒索程序、远程控制木马、虚拟货币挖矿机等恶意程序,就像冲击波、震荡波等著名蠕虫一样可以瞬间影响互联网。 2017 年 5 月 12 日晚间起,我国各大高校的师生陆续发现自己电脑中的文件和程序被加密而无法打开,弹出对话框要求支付比特币赎金后才能恢复,如若不在规定时间内 提供赎金,被加密的文件将被彻底删除。同时,英国多家医院也受到了类似的勒索攻击,导致医院系统趋于瘫痪,大量病患的诊断被延误。而此次事件不是个案,后续不断报道出全球各国遭受勒索软件威胁,近 100 个国家遭受了攻击。
4、加油站、火车站、政府办事终端等设备以及邮政、医院、电信运营商,部分工业设施等行业都被“中招” ,部分设备已完全罢工,无法使用。 目前,该事件的影响已逐步扩展到国内各类规模的企业内网、教育网、政府机构 等多类单位。 需要了解该永恒之蓝”(蠕虫 WannaCry) 攻击详情的用户请参考附件 1 360 针对“永恒之蓝” (蠕虫 WannaCry)攻击预警通告 。 本开机保障指南在线阅读地址: http:/ 4 第第2 2章章 受影响系统受影响系统 本次威胁主要影响以下操作系统: 桌面版本操作系统:桌面版本操作系统: Windows 2000 Windows XP Windows Vista Win
5、dows7 Windows8 Windows8.1 Windows10 服务器版本操作系统:服务器版本操作系统: Windows Server 2000 Windows Server 2003 Windows Server 2008 Windows Server 2012 Windows Server 2016 5 第第3 3章章 本本文档文档及工具包的作用及工具包的作用 由于本次攻击爆发在 5 月 12 日周五下午,感染高峰出现在众多机构下班之后,周六和周日两天恰逢公休,360 安全监测与响应中心判断在 5 月 15 日周一上班时,存在大量电脑或服务器开机的情况,此时应该存在新的一轮感染高峰
6、,为了确保周一开机时用户电脑和服务器免遭病毒感染或避免更大范围的传播,360 企业安全制定了本文档,用于指导机构用户不同角色根据指南内容进行安全操作。 6 第第4 4章章 本本文档文档及工具包的内容及工具包的内容 本指南包含多个文档及工具,下表针对文档和工具提供详细说明。 4.1 所包含所包含的的文档说明文档说明 序号序号 文档说明文档说明 文件名文件名 1 360CERT 针对本次攻击的操作指南,包含在不使用安全产品的前提下,如何进行影响范围确定、网络及终端层面的临时抑制方案及相关根治方法及恢复建议。 http:/ 附件 1 360 针对“永恒之蓝”(蠕虫WannaCry)攻击预警通告 2
7、360CERT 本次攻击的紧急处置手册,包含应急响应推荐操作及隔离网、互联网、网络设备等多个方面的防护操作流程及方法 http:/ 附件 2 针对“永恒之蓝”攻击紧急处置手册(蠕虫 WannaCry) 3 微软相关高危漏洞 MSID 与 KBID 对照表,用于检验相关的 CVE 漏洞是否被修复。人工操作方法:开始菜单运行 cmd.exe ,输入 systeminfo 命令等待返回,从如果返回的补丁信息中包含对应的 KB 号,漏洞修复成功。 http:/ 附件 3 微软高危漏洞-MSID 与 KBID 对照表 4 360 追日团队(专业高级威胁追踪溯源团队)针对本次攻击的技术分析报告,包含蠕虫攻
8、击流程、蠕虫利用漏洞分析、相关释放文件分析、勒索加密过程及解密附件 4 WanaCrypt0r 勒索蠕虫完全分析报告 7 过程分析等模块。 http:/ 5 360 网关产品线对本次攻击的操作指南,包含网络策略配置、IPS 防护引擎配置、DNS 诱导、失陷主机隔离等多个方面的防护操作流程及方法。 其中要注意的是:使用 DNS 诱导的方法时一定要建立一个运行在 80 端口的正常的 HTTP 服务,隔离网用户建议在内部 DNS SERVER 上同时增加相关 DNS 诱导配置。 http:/ 附件 5 360 防火墙产品针对“永恒之蓝”勒索蠕虫的防护方案 v3.1 6 360 终端安全产品线针对本次
9、攻击的操作指南,包含临时免疫工具使用、病毒特征更新、补丁升级等多个方面的防护操作流程及方法。 http:/ 附件 6 360 天擎产品针对“永恒之蓝”勒索蠕虫病毒的防护方案 1.13 7 360 虚拟化产品线针对本次攻击的操作指南,包含轻代理及无代理解决方案下的防火墙模块操作指南、未购买防火墙模块的情况下终端加固操作流程及方法。 http:/ 附件 7 360 虚拟化安全产品“永恒之蓝”应急处置办法 4.2 所包含的所包含的工具说明工具说明 序号序号 工具工具 文件名文件名 1 360 勒索蠕虫漏洞修复工具,此修复工具集成免疫、SMB服务关闭和各系统下 MS17-010 漏洞检测与修复于一体。
10、NSAScan.exe 8 可在离线网络环境下一键式修复系统存在的 MS17-010 漏洞,根本解决勒索蠕虫利用 MS17-010 漏洞带来的安全隐患。修复工具下载地址: http:/ 2 360 勒索蠕虫免疫工具,可用于主机免疫勒索蠕虫的破坏过程。下载地址:http:/ OnionWormImmune 3 勒索软件漏洞扫描工具,可通过扫描端口远程或本地检测主机是否存在漏洞。该工具有一定风险性,建议寻求 360企业安全技术支持获取该工具及服务支持。开源工具下载地址:https:/ ms17010detectv4 4 360 勒索蠕虫文件恢复工具(非解密),有可能恢复一部分被加密的文件,用于紧急数据恢复,存在一定概率无法恢复。下载地址:https:/
