Question

如何防范感染勒索蠕虫病毒？

Answer 1

　　5月12日开始散播的勒索蠕虫病毒，从发现到大面积传播，仅仅用了几个小时，其中高校成为了重灾区。那么，这款病毒究竟要如何防范呢下面我就带大家一起来详细了解下吧。

　　勒索蠕虫病毒预防处理方法

　　1、关闭危险埠已制作一键关闭批处理

　　2、更新安全补丁已提供各版本作业系统补丁下载

　　3、安装防毒软体推荐：微软防毒软体已提供软体包及病毒库升级包

　　2017年5月12日起，全球范围内爆发基于Windows网路共享协议进行攻击传播的蠕虫恶意程式码，这是不法分子通过改造之前泄露的NSA黑客武器库中“永恒之蓝”攻击程式发起的网路攻击事件，使用者只要开机上网就可被攻击。五个小时内，影响覆盖美国、俄罗斯、整个欧洲等100多个国家，国内多个高校校内网、大型企业内网和 *** 机构专网中招，被勒索支付高额赎金才能解密恢复档案，对重要资料造成严重损失。这次的“永恒之蓝”勒索蠕虫，是NSA网路军火民用化的全球第一例。一个月前，第四批NSA相关网路攻击工具及文件被ShadowBrokers组织公布，包含了涉及多个Windows系统服务SMB、RDP、IIS的远端命令执行工具，其中就包括“永恒之蓝”攻击程式。

　　漏洞描述

　　近期国内多处高校网路和企业内网出现WannaCry勒索软体感染情况，磁碟档案会被病毒加密，只有支付高额赎金才能解密恢复档案，对重要资料造成严重损失。

　　根据网路安全机构通报，这是不法分子利用NSA黑客武器库泄漏的“永恒之蓝”发起的蠕虫病毒攻击传播勒索恶意事件。恶意程式码会扫描开放445档案共享埠的Windows机器，无需使用者任何操作，只要开机上网，不法分子就能在电脑和伺服器中植入勒索软体、远端控制木马、虚拟货币挖矿机等恶意程式。

　　由于以前国内多次爆发利用445埠传播的蠕虫，部分运营商在主干网路上封禁了445埠，但是教育网及大量企业内网并没有此限制而且并未及时安装补丁，仍然存在大量暴露445埠且存在漏洞的电脑，导致目前蠕虫的泛滥。

　　风险等级

　　360安全监测与响应中心对此事件的风险评级为：危急

　　影响范围

　　扫描内网，发现所有开放445SMB服务埠的终端和伺服器，对于Win7及以上版本的系统确认是否安装了MS17-010补丁，如没有安装则受威胁影响。Win7以下的WindowsXP/2003目前没有补丁，只要开启SMB服务就受影响。

　　应急处置方法

　　目前利用漏洞进行攻击传播的蠕虫开始氾滥，360企业安全强烈建议网路管理员在网路边界的防火墙上阻断445埠的访问，如果边界上有IPS和360新一代智慧防火墙之类的装置，请升级装置的检测规则到最新版本并设定相应漏洞攻击的阻断，直到确认网内的电脑已经安装了MS17-010补丁或关闭了Server服务。

　　终端层面

　　暂时关闭Server服务。

　　检查系统是否开启Server服务：

　　1、开启开始按钮，点选执行，输入cmd，点选确定

　　2、输入命令：netstat-an回车

　　3、检视结果中是否还有445埠

　　感染处理

　　对于已经感染勒索蠕虫的机器建议隔离处置。

　　根治方法

　　对于Win7及以上版本的作业系统，目前微软已释出补丁MS17-010修复了“永恒之蓝”攻击的系统漏洞，请立即电脑安装此补丁。出于基于许可权最小化的安全实践，建议使用者关闭并非必需使用的Server服务，操作方法见“应急处置方法”部分。

　　对于WindowsXP、2003等微软已不再提供安全更新的机器，推荐使用360“NSA武器库免疫工具”检测系统是否存在漏洞，并关闭受到漏洞影响的埠，以避免遭到勒索蠕虫病毒的侵害。免疫工具下载地址：

　　恢复阶段

　　建议针对重要业务系统立即进行资料备份，针对重要业务终端进行系统映象，制作足够的系统恢复盘或者装置进行替换。

　　关于 WannaCry/Wcry 勒索蠕虫病毒的具体防范措施建议

　　一、个人计算机使用者的预防措施

　　1、使用Widnows Vista、Windows 7、Windows 8.1、Windows 10、Windows Server 2008、Windows Server 2012、Windows Server 2016 系统的使用者，请启用系统自带的更新功能将补丁版本升级到最新版本;

　　2、仍然使用Windows XP、Windows 8 及 Windows Server 2003 系统使用者，建议升级作业系统到 Windows 7 及以上，如果因为特殊原因无法升级作业系统版本的，请手动下载补丁程式进行安装，补丁下载地址：

　　

　　3、升级电脑上的防毒软体病毒库到最新版本。

　　二、校园网预防措施

　　在校园网装置上阻断TCP 135、137、139、445 埠的连线请求，将会有效防止该病毒的传播，但是同时也阻断了校内外使用者正常访问使用Windows系统相应档案共享机制的资讯系统和网路服务。因此，必须谨慎使用下列预付措施：

　　1、在网路边界如校园网出口上阻断 TCP 135、137、139、445 埠的连线请求。这个操作可有效阻断病毒从外部传入内部网路，但无法阻止病毒在内部网路传播。

　　2、在校园网的核心交换装置处阻断 TCP 135、137、139、445 埠的连线请求，该操作可阻断病毒在校内的区域网间进行传播，但无法阻止病毒在区域网内传播。

　　3、在区域网子网边界处阻断 TCP 135、137、139、445 埠的连线请求，该操作可最大限度保护子网的安全，但是无法阻挡该病毒在同台交换机下传播。

　　综上所述，阻断网路的TCP 135、137、139、445 埠连线请求只是临时措施，尽快完成各类使用者Windows系统软体的升级或修复漏洞才是防范该病毒的根本措施。

　　看过的人还：