不容错过 | “永恒之蓝”勒索病毒安全处置FAQ

病毒相关

Q

为什么此次勒索病毒“永恒之蓝”感染人数如此之多?

A

此次勒索软件利用了NSA黑客武器库泄漏的“永恒之蓝”工具进行网络感染,只要是Windows XP、Windows2003、Windows Vista、Windows7 、Windows 2008、Windows 10、Windows2012,对外开放445端口(系统默认开放)且没有更新微软官方MS17-010漏洞补丁的均有可能被感染,而在国内符合这些条件的PC主机数量非常大,而且经过安恒信息安全专家分析发现该病毒可以通过智能生成IP地址进行网络感染,所以几乎一夜间感染量达到数万台之多。

Q

此次勒索病毒“永恒之蓝”受影响操作系统版本是哪些?

A

此次勒索软件利用了NSA黑客武器库泄漏的“永恒之蓝”工具进行网络感染,影响范围如下:

桌面版本操作系统:

Windows 2000

Windows XP

Windows Vista

Windows7

Windows8

Windows8.1

Windows10

服务器版本操作系统:

Windows Server 2000

Windows Server 2003

Windows Server 2008

Windows Server 2012

Windows Server 2016

安恒信息安全专家强烈建议,如果涉及相关的操作系统一定要采用适当的方式开展系统更新,防止勒索病毒“永恒之蓝”感染。

Q

此次勒索病毒“永恒之蓝”的勒索方式是怎样的?

A

此次勒索病毒与先前的勒索方式一样,采用暗网Tor网络支付比特币方式进行勒索,一般勒索数额至少为1个比特币,折合人民币至少12000元。

Q

勒索病毒“永恒之蓝”被加密的数据能否通过正常途径进行解密?

A

勒索病毒“永恒之蓝”加密方式一般为AES或RSA,加密密钥掌握在黑客手中,没有相关密钥不能正确解密,就相当于你的家门被别人上了一把锁,但是这把锁的钥匙却掌握在别人的手里。目前,安恒信息及国内各大安全厂商都在积极分析相关病毒样本数据,以求获取能够查杀、遏制、解密被加密数据的方法。

Q

此次勒索病毒“永恒之蓝”对于不连接互联网的专有网络有影响么?

A

安恒信息安全专家根据对目前发现的全网勒索病毒“永恒之蓝”样本分析,并未发现该病毒具有通过存储介质传播的能力,但专网中的安全防护、系统补丁更新情况较落后,一旦存在私自外接WiFi等方式导致一台感染病毒后极易造成专网大面积感染情况,所以建议相关单位做好网络层面、主机层安全预防处置。

Q

什么是“永恒之蓝EternalBlue”?

A

“永恒之蓝”工具是美国国家安全局开发的漏洞利用程序,于2017年4月14日被黑客组织影子经纪人泄露。尽管微软于2017年3月14日发布补丁修补了这个漏洞,5月12日“永恒之蓝”病毒利用这个漏洞传播时,很多Windows用户仍然没有安装补丁。由于“永恒之蓝”病毒的严重性,微软于2017年5月13日为已超过支持周期的操作系统Windows XP、Windows 8和Windows Server 2003发布了紧急安全更新,以阻止“永恒之蓝”病毒的传播。

“永恒之蓝”工具利用的是微软Windows操作系统的SMBv1协议中的安全漏洞。未经身份验证的攻击者可以向目标机器发送特制报文触发缓冲区溢出,导致在目标机器上远程执行任意代码。“永恒之蓝”工具会扫描开放445文件共享端口的Windows机器,只要用户开机上网,黑客就可能在电脑和服务器中植入勒索软件。

Q

什么样的网络容易遭受感染?

A

勒索病毒“永恒之蓝”是利用Windows操作系统 MS17-010漏洞进行感染的,只要系统存在相关漏洞,并能够被其他主机访问到均有可能受到感染。目前来看,暴露在公网上的445端口受感染的几率最高,而且一旦被感染后也可以自我感染其他公网主机或者自身所在内网中,其次是办公内网中,办公网络安全防护复杂,极易造成严重的大面积感染情况,再次是服务器区域,而且该区域一旦被感染后损失最大,相关应用、数据等均在此区域,一旦被加密后果不堪设想,内部的专网受感染情况较低。以上几种网络环境均需要全面的安全防护,一旦感染被加密后都会影响到个人、单位、企业的正常运转。

Q

家庭宽带、手机4G网络等个人网络容易感染勒索病毒么?

A

家庭宽带、手机4G网络都是通过入口网关(路由器等)的方式进行网络交互的,此次勒索病毒感染的条件是Windows 445端口交互,而在家庭宽带及手机4G网络条件下外部网络不能与内部直接通信,所以家庭宽带、手机4G较企业网络更乐观一些,但安恒信息仍建议做好相关安全防护工作。

检测相关

Q

如何检测系统是否存在相关Windows MS17-10漏洞?

A

检测相关IP是否对外监听445端口,排查是否更新MS17-010补丁两个条件进行检测,相关检测方式如下:

1. 检测是否对外监听445端口,可以采用Telnet方式,也可以使用专业的端口扫描工具,如下所示:

1)Telnet命令:telnet [ip 地址] 445

▲ 用Telnet检测到主机开放445端口

2)使用SoftPerfect Network Scanner进行网络端口扫描:

▲ 设置扫描端口为445端口

▲ 配置好扫描目标IP段点击Start Scanning即可

▲ 扫描到的开放445端口的主机

3)使用Nmap进行网络端口扫描:

# nmap -sS -p 445 -vv 192.168.1.1/24

▲ Nmap扫描445端口(SYN扫描速度快)

2. 检测系统安装更新情况

通过检查系统的更新情况可以知晓系统是否已经针对MS17-010安装过安全补丁,检查方法为 “控制面板”->“程序和功能”->“已安装更新”(相关布丁编号见https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx )

▲ Windows7系统安全更新情况(上图未安装)

Q

我的主机没有监听445端口是不是就说明系统是没有问题的?

A

目前勒索病毒“永恒之蓝”的感染途径为网络445端口,所以阻断445端口通信可以防止来自网络的感染行为,但是系统仍然是不安全的,因为相关安全补丁还未及时更新,安很信息专家建议做好网络防护后做好相关补丁更新工作。

Q

我的网络中部署安恒信息专业APT预警平台,是否能够对相关病毒攻击行为进行审计告警?

A

明鉴APT预警平台在3月已经针对MS17-010的攻击开发了专业攻击预警策略,能够第一时间审计相关攻击行为,最快发现攻击来源及攻击目标,并及时发出告警,保障系统针对“永恒之蓝”病毒爆发、MS17-010攻击的告警。

应急处置相关

Q

已经感染了勒索病毒“永恒之蓝”的主机该怎么处理?

A

已经感染了勒索病毒“永恒之蓝”的主机必须第一时间进行网络隔离处理,防止感染其他主机。直接办法就是拔掉网线。同时对系统中的数据损失进行分析,拷贝残留的有价值数据,拷贝完成后对所用的存储介质进行全面杀毒处理,并留存相关主机系统。如果要继续使用已经被感染的设备,安恒信息建议要对相关系统进行全面重装,格式化相关硬盘,并重建MBR引导扇区,安装纯净操作系统,做好全面安全防护处理后方可连接网络。

Q

被加密的数据价值远大于被勒索比特币的金额,能否通过支付进行加密?

A

勒索病毒加密采用AES或RSA方式加密,正常解密难度非常高。此类勒索病毒勒索方式为Tor洋葱网络,支付方式为比特币,根据国内目前网络环境及金融环境,支付渠道非常不容易,且有相关受害者在支付后没有收到相关解密密钥。安恒信息及国内各大网络安全厂商均在不遗余力地开展相关病毒的分析工作,以求找到揭秘被加密数据的方法。

Q

对于未感染设备如何安全防护?

A

未感染的设备请务必做到第一时间断网处理,防止在加固处理过程中被感染。然后通过主机防火墙加固、漏洞修复方式逐步进行安全防护。

1. 主机防火墙加固:

Windows自带主机防火墙,能够通过主机层网络安全防护,禁止外界445端口连接,保障系统的安全,针对防火墙控制有以下两种方式:

方法一:Windows vista及以后版本可以采用如下命令方式开启主机防火墙,并添加TCP 445端口防护策略:

echo "请务必以管理员身份运行"

netsh firewall set opmode enable

netsh advfirewall firewall add rule name="deny445" dir=in protocol=tcp localport=445 action=block

方法二:

首先启用Windows防火墙。

“控制面板”-> 所有控制面板项 -> Windows防火墙 -> 打开或关闭防火墙

▲ 启用Windows防火墙配置

然后,针对445端口新建入站策略

▲ Windows防火墙高级设置

▲ 新建端口控制入站规则

▲ 端口选择TCP 445端口

▲ 操作方式为阻止连接

▲ 选择相关网络位置(强烈建议全选)

▲ 填入名称和描述,点击完成

▲ 添加防火墙策略后的效果

2.关闭相关服务

Windows 32位关闭445端口批处理(bat):

REG ADD HKLM\SYSTEM\CurrentControlSet\services\NetBT\Parameters /v SMBDeviceEnabled /T REG_DWORD /D 0 /F&&sc config LanmanServer start= disabled&&net stop lanmanserver /y

Windows x64位关闭445端口批处理(bat):

REG ADD HKLM\SYSTEM\CurrentControlSet\services\NetBT\Parameters /v SMBDeviceEnabled /T REG_QWORD /D 0 /F&&sc config LanmanServer start= disabled&&net stop lanmanserver /y

新建文本文档,然后复制以上脚本内容,另存为【.bat】格式的文件,并右键【管理员运行】,待CMD对话框消失后,重启电脑即可。

3. MS17-010漏洞修复:

Windows系统更新一般采用Windows update或者第三方系统漏洞修复工具,但由于此勒索病毒通过网络传播,在通过网络更新补丁过程中也即容易造成病毒感染,所以强烈建议通过离线方式进行修复,相关补丁下载参见:https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx

Q

微软已经放弃了对Windows XP、Windows Server2003等操作系统的安全支持,怎么进行安全防护?

A

微软工作真对已经暂停安全支持的Windows XP、Windows Server 2003等操作系统版本特别推出了特殊补丁,大家可以针对相关系统进行安全更新操作,同时安恒信息强烈建议对官方已经不再进行安全支持的操作系统尽快开展升级处理,保障系统的安全。以下提供三条命令关闭Windows XP、Windows Server 2003的445端口监听,可以关闭相关服务,使用方法为“运行”(Win+R快捷键)中依次输入以下命令即可:

net stop rdr

net stop srv

net stop netbt

Q

Windows官方漏洞补丁下载页面打不开,怎么修复漏洞?

A

勒索病毒“永恒之蓝”感染全球范围内的Windows系列操作系统,造成全世界各地都在针对MS17-010进行漏洞修复工作,导致相关补丁列表页面网站打不开或者网络延时过大,在此安恒信息建议大家耐心刷新几次,不要图便利在其他非权威网站下载安全性未知的补丁包,导致感染其他的病毒或者木马。同时,安恒信息也针对常用的操作系统提供了相关补丁官方下载地址,大家可以放心下载。

Security Update for Windows XP SP3 (KB4012598)

http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-chs_dca9b5adddad778cfd4b7349ff54b51677f36775.exe

Security Update for Windows Server 2003 (KB4012598)

http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x86-custom-chs_b45d2d8c83583053d37b20edf5f041ecede54b80.exe

Security Update for Windows Server 2003 for x64 Systems (KB4012598)

http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-chs_68a2895db36e911af59c2ee133baee8de11316b9.exe

Security Update for Windows 7 (KB4012212)

http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x86_6bb04d3971bb58ae4bac44219e7169812914df3f.msu

Security Update for Windows 7 x64 (KB4012212)

http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu

Security Update for Windows Server 2008 R2 x64 (KB4012212)

http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu

Security Update for Windows10 (KB4012606)

http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4012606-x86_8c19e23de2ff92919d3fac069619e4a8e8d3492e.msu

Security Update for Windows10 x64 (KB4012606)

http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows10.0-kb4012606-x64_e805b81ee08c3bb0a8ab2c5ce6be5b35127f8773.msu

Q

作为网络管理人员该如何进行控制措施,保障系统安全?

A

网络管理人员可以针对目前网络情况进行安全防护,可以从以下方面入手对网络环境进行安全加固,防治病毒入侵及感染范围扩大:

边界交换机、路由器、防火墙等设备禁止双向135/137/139/445端口的TCP连接

内网核心主干交换路由设备禁止双向135/137/139/445端口的TCP连接

更新入侵防御、入侵检测、APT等安全设备漏洞库,开启防御策略

原文发布于微信公众号 - 安恒信息(DBAPP2013)

原文发表时间:2017-05-15

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏Laoqi's Linux运维专列

Shell脚本配合iptables屏蔽来自某个国家的IP访问

1432
来自专栏FreeBuf

漫谈攻击链:从WebShell到域控的奇妙之旅

做渗透测试时遇到的域环境经常就是要么太复杂我们搞不定,要么太简单进去就拿到域控没啥意思,这些显然都无法满足我们实践已掌握知识的刚需。同时为了给我们道格安全技术小...

1845
来自专栏Python中文社区

突发 |“永恒之蓝”漏洞紧急应对方案

專 欄 ❈ 七夜,Python中文社区专栏作者,信息安全研究人员,比较擅长网络安全、逆向工程、Python爬虫开发、Python Web开发。 Github:h...

2247
来自专栏FreeBuf

WannaMine新动向:对Weblogic服务端发起大规模攻击

近日,360互联网安全中心监测到挖矿僵尸网络“WannaMine”进行了一次全面更新,目标直指使用Weblogic服务端组件的服务器。该僵尸网络使用Oracle...

3725
来自专栏安恒信息

"永恒之蓝"勒索病毒凶猛 周一上班请用正确姿势打开电脑

一、概述   这个周末,对于网络安全圈来说可以用“血雨腥风”来形容。北京时间5月12日开始,全球范围内爆发了基于Windows网络共享协议进行攻击传播的“永恒之...

34010
来自专栏landv

k3 Bos开发百问百答

1513
来自专栏FreeBuf

揭秘来自中国的数字货币“挖矿”军团 – Bondnet僵尸网络

最近,以色列安全公司GuardiCore发现了一个名为Bondnet的僵尸网络,该僵尸网络由数万台被控制的具备不同功率的服务器肉鸡组成。从目前的情况来看,幕后运...

23210
来自专栏腾讯云安全的专栏

刚需 |Wannacry 勒索蠕虫病毒用户修复指引

2015
来自专栏安恒信息

IE10 0day漏洞被利用窃取军事情报

安全公司FireEye的研究人员发现了一个新的IE10 0day漏洞 (CVE-2014-0322) ,被攻击者利用发动偷渡下载攻击(Wateri...

2678
来自专栏FreeBuf

揭秘银行木马Chthonic:网银大盗ZeuS的最新变种

说到Zeus/Zbot,做安全多多少少都会有所了解。Zeus是对金融系统威胁最大的僵尸网络之一,控制者借助僵尸程序窃取账户登录信息和信用卡号码。Zbot往往通过...

1797

扫码关注云+社区

领取腾讯云代金券