互联网网络安全信息通报国家计算机网络应急技术处理协调中心广东分中心5月13日针对勒索软件"wannacry"紧急防范处置手册1.
概述北京时间5月13日,互联网上出现针对Windows操作系统的勒索软件的攻击案例,此次攻击事件的主角即名为"WannaCry"的勒索软件.
该勒索软件同时具备加密勒索功能和内网蠕虫传播能力,属于新型的勒索软件家族,危害极大.
勒索软件利用此前披露的WindowsSMB服务漏洞(对应微软漏洞公告:MS17-010)攻击手段,向终端用户进行渗透传播,并向用户勒索比特币或其他价值物,涉及到国内用户(已收到多起高校案例报告),已经构成较为严重的攻击威胁,广东互联网应急中心综合相关材料1形成针对勒索软件"wannacry"紧急防范处置手册.
2.
应急处置方案2.
1主机应急处置操作指南2.
1.
1确认主机是否被感染被感染的机器屏幕会显示如下的告知付赎金的界面:1来源国家互联网应急中心、360公司、安天公司、数字观星等单位2.
1.
2已感染的用户的补救措施据目前了解情况,无法解密该勒索软件加密的文件,不建议用户向勒索者支付赎金.
如果发现网内有感染的机器,应将其及时断网关机隔离处理,同时通告运维人员切断网络连接(如关闭交换机等网络连接设备),避免勒索软件的进一步扩散,内网的有关机器尽量做到断网关机等待处理.
如有重要文件数据幸存,做好备份处理,但并不能说明备份的数据中没有被感染,存储到磁盘后,同样等候使用离线工具处理.
若用户存在主机备份,则启动备份恢复程序.
2.
1.
3尚未感染主机防护步骤关闭网络,开启系统防火墙;利用系统防火墙高级设置阻止向445端口进行连接(该操作会影响使用445端口的服务)及网络共享;针对主机进行漏洞补丁升级安装.
2.
1.
3.
1Win7、Win8、Win10系统的处理流程1)关闭网络2)打开控制面板-系统与安全-Windows防火墙,点击左侧启动或关闭Windows防火墙3)选择启动防火墙,并点击确定4)点击高级设置5)点击入站规则,新建规则,以445端口为例6)选择端口、下一步7)选择特定本地端口,输入445,下一步8)选择阻止连接,下一步9)配置文件,全选,下一步10)名称,可以任意输入,完成即可.
11)请安装MS17-010补丁,微软已经发布winxp_sp3至win10、win2003至win2016的全系列补丁.
微软官方下载地址:https://blogs.
technet.
microsoft.
com/msrc/2017/04/14/protecting-customers-and-evaluating-risk/from=timeline&isappinstalled=0,或者恢复网络升级.
12)开启系统自动更新,并检测更新进行安装13)Win7系统需要关闭Server服务才能够禁用445端口的连接需要操作系统的server服务关闭,依次点击"开始","运行",输入services.
msc,进入服务管理控制台.
双击Server,先停用,再选择禁用.
最后重启win7.
使用netstat–an查看445端口不存在了.
注:在系统更新完成后,如果业务需要使用SMB服务,将上面设置的防火墙入站规则删除即可.
2.
1.
3.
2WinXP系统的处理流程1)依次打开控制面板,安全中心,Windows防火墙,选择启用2)通过注册表关闭445端口,单击"开始"——"运行",输入"regedit",单击"确定"按钮,打开注册表.
3)找到HKEY_LOCAL_MACHINE\System\Controlset\Services\NetBT\Parameters,选择"Parameters"项,右键单击,选择"新建"——"DWORD值".
4)将DWORD值命名为"SMBDeviceEnabled",值修改为0.
5)重启机器,查看445端口连接已经没有了.
6)鉴于本次Wannacry蠕虫事件的影响恶劣,微软总部决定对已停服的XP和部分服务器版本发布特别补丁,微软公告详情/.
https://blogs.
technet.
microsoft.
com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/2.
2网络设备应急处置操作指南部分机构由于设备众多,为了避免感染设备之后的广泛传播,建议利用各网络设备的进行ACL访问控制策略配置,以实现临时应急方案.
由于该蠕虫病毒主要利用TCP的445端口进行传播,为了阻断病毒快速传播,建议在核心网络设备的三层接口位置,配置ACL规则从网络层面阻断TCP445端口的通讯.
以下内容是基于较为流行的网络设备,举例说明配置ACL规则,以禁止TCP445网络端口传输,仅供大家参考.
在实际操作中,请协调网络管理人员或网络设备厂商服务人员,根据实际网络环境在核心网络设备上进行配置.
2.
2.
1Juniper设备的建议配置(示例):setfirewallfamilyinetfilterdeny-wannacrytermdeny445fromprotocoltcpsetfirewallfamilyinetfilterdeny-wannacrytermdeny445fromdestination-port445setfirewallfamilyinetfilterdeny-wannacrytermdeny445thendiscardsetfirewallfamilyinetfilterdeny-wannacrytermdefaultthenaccept#在全局应用规则setforwarding-optionsfamilyinetfilteroutputdeny-wannacrysetforwarding-optionsfamilyinetfilterinputdeny-wannacry#在三层接口应用规则setinterfaces[需要挂载的三层端口名称]unit0familyinetfilteroutputdeny-wannacrysetinterfaces[需要挂载的三层端口名称]unit0familyinetfilterinputdeny-wannacry2.
2.
2华三(H3C)设备的建议配置(示例):新版本:aclnumber3050ruledenytcpdestination-port445rulepermitipinterface[需要挂载的三层端口名称]packet-filter3050inboundpacket-filter3050outbound旧版本:aclnumber3050rulepermittcpdestination-port445trafficclassifierdeny-wannacryif-matchacl3050trafficbehaviordeny-wannacryfilterdenyqospolicydeny-wannacryclassifierdeny-wannacrybehaviordeny-wannacry#在全局应用qosapplypolicydeny-wannacryglobalinboundqosapplypolicydeny-wannacryglobaloutbound#在三层接口应用规则Interface[需要挂载的三层端口名称]qosapplypolicydeny-wannacryinboundqosapplypolicydeny-wannacryoutbound2.
2.
3华为设备的建议配置(示例):aclnumber3050ruledenytcpdestination-porteq445rulepermitiptrafficclassifierdeny-wannacrytypeandif-matchacl3050trafficbehaviordeny-wannacrytrafficpolicydeny-wannacryclassifierdeny-wannacrybehaviordeny-wannacryprecedence5interface[需要挂载的三层端口名称]traffic-policydeny-wannacryinboundtraffic-policydeny-wannacryoutbound2.
2.
4Cisco设备的建议配置(示例):旧版本:ipaccess-listextendeddeny-wannacrydenytcpanyanyeq445permitipanyanyinterface[需要挂载的三层端口名称]ipaccess-groupdeny-wannacryinipaccess-groupdeny-wannacryout新版本:ipaccess-listdeny-wannacrydenytcpanyanyeq445permitipanyanyinterface[需要挂载的三层端口名称]ipaccess-groupdeny-wannacryinipaccess-groupdeny-wannacryout2.
2.
5锐捷设备的建议配置(示例):ipaccess-listextendeddeny-wannacrydenytcpanyanyeq445permitipanyanyinterface[需要挂载的三层端口名称]ipaccess-groupdeny-wannacryinipaccess-groupdeny-wannacryout2.
3其他应急处置操作指南其他快速处置方式可使用"NSA武器库免疫工具",一键检测修复漏洞、关闭高风险服务,可精准检测出NSA武器库使用的漏洞是否已经修复,提示用户安装相应的补丁.
针对XP、2003等无补丁的系统版本用户,防御工具能够帮助用户关闭存在高危风险的服务,从而对NSA黑客武器攻击的系统漏洞防护.
NSA武器库免疫工具下载地址:http://dl.
360safe.
com/nsa/nsatool.
exe关于国家计算机网络应急技术处理协调中心广东分中心国家计算机网络应急技术处理协调中心广东分中心(中文简称"广东互联网应急中心",英文简称GDCERT/CC或GDCERT)是国家计算机网络应急技术处理协调中心(中文简称"国家互联网应急中心",英文简称CNCERT/CC或CNCERT)在广东的省级分中心,受国家互联网应急中心与广东省通信管理局的双重领导.
目前,广东互联网应急中心依托国家级全程全网的应急体系和技术平台,为我省公共互联网、重要政府部门、骨干运营企业、重要行业提供互联网安全的事件发现、预警通报、应急处置和测试评估等技术支撑.
联系我们网址:www.
cert.
org.
cnemail:gd@cert.
org.
cn电话:020-85613834
由于行业需求和自媒体的倾向问题,对于我们个人站长建站的方向还是有一些需要改变的。传统的个人网站建站内容方向可能会因为自媒体的分流导致个人网站很多行业不再成为流量的主导。于是我们很多个人网站都在想办法进行重新更换行业,包括前几天也有和网友在考虑是不是换个其他行业做做。这不有重新注册域名重新更换。鉴于快速上手的考虑还是采用香港服务器,这不腾讯云和阿里云早已不是新账户,考虑到新注册UCLOUD账户还算比...
月神科技是由江西月神科技有限公司运营的一家自营云产品的IDC服务商,提供香港安畅、香港沙田、美国CERA、成都电信等机房资源,月神科技有自己的用户群和拥有创宇认证,并且也有电商企业将业务架设在月神科技的平台上。本次带来的是全场八折促销,续费同价。并且上新了国内成都高防服务器,单机100G集群1.2T真实防御,上层屏蔽UDP,可定制CC策略。非常适合网站用户。官方网站:https://www.ysi...
Boomer.Host是一家比较新的国外主机商,虽然LEB自述 we’re now more than 2 year old,商家提供虚拟主机和VPS,其中VPS主机基于OpenVZ架构,数据中心为美国得克萨斯州休斯敦。目前,商家在LET发了两款特别促销套餐,年付最低3.5美元起,特别提醒:低价低配,且必须年付,请务必自行斟酌确定需求再入手。下面列出几款促销套餐的配置信息。CPU:1core内存:...
win7下安装win8为你推荐
赛我网赛我网(cyworld)怎么进不去?支付宝查询余额我的支付宝如何查询余额在线漏洞检测漏洞扫描工具有哪些伪静态什么是伪静态数码资源网哪个网站可以直接在线做照片?功能要齐全的`今日热点怎么删除千牛里面的今日热点怎么取消_?iphone越狱后怎么恢复iPhone越狱后怎么恢复?godaddygodaddy域名怎样使用商标注册查询官网商标注册网的官网是哪个?如何快速收录如何掌握百度收录之快速收录
如何申请域名 双线主机租用 vps推荐 个人域名备案流程 动态域名解析软件 lamp安装 香港ufo 冰山互联 rak机房 谷歌香港 mysql主机 免费全能空间 dux 天互数据 常州联通宽带 网站在线扫描 闪讯官网 域名与空间 上海电信测速网站 丽萨 更多