勒索病毒 Wannacry 的防範手法

2021-02-13 醫燃戰術簡報

      此病毒攻擊已經擴散到74個國家,包括美國、英國、中國、俄羅斯、西班牙、義大利等。請注意:目前國內正在大規模的傳播勒索軟體,本次攻擊的主要目標是位於全國各地的高校。

      攻擊者利用Windows系統默認開放的445埠在高校校園網內進行傳播,攻擊者不需要用戶進行任何操作即可進行感染。感染後設備上的所有文件都將會被加密,攻擊者聲稱用戶需要支付300~600美元的比特幣才可以解鎖。而目前眾多高校學生正在忙著論文,一旦被加密即使支付也不一定能夠獲得解密密鑰。疑似通過校園網傳播,十分迅速。目前受影響的有賀州學院、桂林電子科技大學、桂林航天工業學院以及廣西等地區的大學。另外有網友反映,大連海事大學、山東大學等也受到了病毒攻擊。

        這種勒索病毒名為WannaCry(及其變種),全球各地的大量組織機構遭受了它的攻擊。受害者電腦會被黑客鎖定,提示支付價值相當於300美元(約合人民幣2069元)的比特幣才可解鎖。如果你的電腦還沒有中招,就趕緊防範於未然。

下面微主就為大家送上防範策略的詳細步驟。


Windows7 / 8 / 10 啟用防火牆流程:

1、打開控制面板,「系統與安全」-「Windows防火牆」 

2、點擊「啟動或關閉防火牆」,並啟用防火牆,然後點擊確定。

3、點擊「高級設置」

4、點擊「入站規則」-「新建規則」

5、在打開的對話框中點擊「埠」-「下一步」

6、點擊「阻止連接」-「下一步」

7、在「配置文件」中全選,下一步

8、名稱可以自定義,然後點擊「完成」即可

如果你不願意按照上述步驟一步一步操作,還有一種更為簡單的方法就是:

1、在以下路徑中找到CMD文件

( C:\Windows\System32\CMD.exe )

2、對著程序右鍵以管理員方式運行CMD

3、打開後,在CMD窗口分別輸入以下兩條命令

netsh advfirewall set allprofile state on

netsh advfirewall firewall add rule name=deny445 dir=in action=block protocol=TCP localport=445

4、看到「確定」,即可

WindowsXP 解決方法:

1、啟用Windos防火牆,啟用方法和Win7中一樣

2、直接調用CMD命令行,然後輸入以下命令

net stop rdr

net stop srv

net stop netbt

最後,需要提醒的是,由於微軟已經不再為XP系統提供系統更新,建議用戶儘快升級到更高版本的系統。

***** 編外話 *****

   中型企業/大型企業由於設備眾多,為了避免感染設備之後的廣泛傳播,建議利用各網絡設備的 ACL 策略配置,以實現臨時封堵。

  該蠕蟲病毒主要利用 TCP 的 445 埠進行傳播, 對於各大企事業單位影響很大。為了阻斷病毒快速傳播, 建議在核心網絡設備的三層接口位置, 配置 ACL 規則從網絡層面阻斷 TCP 445 埠的通訊。

  以下內容是基於較為流行的網絡設備,舉例說明如何配置 ACL 規則,以禁止TCP 445 網絡埠傳輸,僅供大家參考。在實際操作中,請協調網絡管理人員或網絡設備廠商服務人員,根據實際網絡環境在核心網絡設備上進行配置。

  

Juniper 設備的建議配置(示例):

  set firewall family inet filter deny-wannacry term deny445 from protocol tcp

  set firewall family inet filter deny-wannacry term deny445 from destination-port 445 set firewall family inet filter deny-wannacry term deny445 then discard

  set firewall family inet filter deny-wannacry term default then accept

  #在全局應用規則

  set forwarding-options family inet filter output deny-wannacry set forwarding-options family inet filter input deny-wannacry

  #在三層接口應用規則

  set interfaces [ 需要掛載的三層埠名稱 ] unit 0 family inet filter output deny-wannacry

  set interfaces [ 需要掛載的三層埠名稱 ] unit 0 family inet filter input deny-wannacry

 

華三(H3C)設備的建議配置(示例):

  新版本: acl number 3050

  rule deny tcp destination-port 445 rule permit ip

  interface [需要掛載的三層埠名稱] packet-filter 3050 inbound packet-filter 3050 outbound

  舊版本: acl number 3050

  rule permit tcp destination-port 445

  traffic classifier deny-wannacry if-match acl 3050

  traffic behavior deny-wannacry filter deny

  qos policy deny-wannacry

  classifier deny-wannacry behavior deny-wannacry

  #在全局應用

  qos apply policy deny-wannacry global inbound qos apply policy deny-wannacry global outbound

  #在三層接口應用規則

  interface [需要掛載的三層埠名稱]

  qos apply policy deny-wannacry inbound

  qos apply policy deny-wannacry outbound

  

華為設備的建議配置(示例):

  acl number 3050

  rule deny tcp destination-port eq 445 rule permit ip

  traffic classifier deny-wannacry type and if-match acl 3050

  traffic behavior deny-wannacry

  traffic policy deny-wannacry

  classifier deny-wannacry behavior deny-wannacry precedence 5

  interface [需要掛載的三層埠名稱] traffic-policy deny-wannacry inbound traffic-policy deny-wannacry outbound

  

Cisco 設備的建議配置(示例):

  舊版本:

  ip access-list extended deny-wannacry

  deny tcp any any eq 445

  permit ip any any

  interface [需要掛載的三層埠名稱] ip access-group deny-wannacry in

  ip access-group deny-wannacry out

  新版本:

  ip access-list deny-wannacry deny tcp any any eq 445 permit ip any any

  interface [需要掛載的三層埠名稱] ip access-group deny-wannacry in

  ip access-group deny-wannacry out

  

銳捷設備的建議配置(示例):

  ip access-list extended deny-wannacry deny tcp any any eq 445

  permit ip any any

  interface [需要掛載的三層埠名稱] ip access-group deny-wannacry in

  ip access-group deny-wannacry out

相關焦點

  • WannaCry勒索病毒防護處理指南
    導讀       由於近期wana 新型惡意軟體爆發預警:這次爆發的勒索軟體是一個名稱為「wannacry」
  • 針對勒索軟體「wannacry」緊急防範處置手冊
    ,此次攻擊事件的主角即名為「WannaCry」的勒索軟體。該勒索軟體同時具備加密勒索功能和內網蠕蟲傳播能力,屬於新型的勒索軟體家族,危害極大。勒索軟體利用此前披露的Windows SMB服務漏洞(對應微軟漏洞公告:MS17-010)攻擊手段,向終端用戶進行滲透傳播,並向用戶勒索比特幣或其他價值物,涉及到國內用戶(已收到多起高校案例報告),已經構成較為嚴重的攻擊威脅,廣東網際網路應急中心綜合相關材料形成針對勒索軟體件「wannacry」緊急防範處置手冊。
  • 比特幣勒索病毒如何防範?WannaCry病毒防範攻略
    能讓Windows躺著也能中槍的勒索病毒Wanna  近日,一種危害更大,感染力更強的勒索病毒Wanna現身網絡,使得國內多處高校網絡和企業內網出現WannaCry勒索軟體感染情況,與之前勒索病毒不同的是,WannaCry勒索病毒利用的是NSA黑客武器庫洩漏的「永恆之藍」發起的蠕蟲病毒攻擊傳播功能,使得病毒會自動掃描網絡中開放445文件共享埠的
  • WannaCry勒索病毒處理指南
    日前,國家計算機病毒應急處理中心通過對網際網路的監測,發現一個名為「wannacry」的勒索軟體病毒正在全球大範圍蔓延,截至目前,該病毒已經席捲包括中國、美國、俄羅斯及歐洲在內的100多個國家。經緊急分析,判定該勒索軟體是一個名為「wannacry」的新家族,基於445埠的SMB漏洞(MS17-010)進行傳播,攻擊者利用該漏洞,針對關閉防火牆的目標機器,通過445埠發送預先設計好的網絡數據包文,實現遠程代碼執行。
  • 【重磅提醒】針對勒索軟體「wannacry」緊急防範處置手冊
    1.概述北京時間5月13日,網際網路上出現針對Windows作業系統的勒索軟體的攻擊案例,此次攻擊事件的主角即名為「WannaCry」的勒索軟體。該勒索軟體同時具備加密勒索功能和內網蠕蟲傳播能力,屬於新型的勒索軟體家族,危害極大。勒索軟體利用此前披露的Windows SMB服務漏洞(對應微軟漏洞公告:MS17-010)攻擊手段,向終端用戶進行滲透傳播,並向用戶勒索比特幣或其他價值物,涉及到國內用戶(已收到多起高校案例報告),已經構成較為嚴重的攻擊威脅,廣東網際網路應急中心綜合相關材料形成針對勒索軟體件「wannacry」緊急防範處置手冊。
  • Wannacry蠕蟲病毒來「勒索」了,你武裝好了嗎?
    該勒索軟體外媒取名wannacry(想哭蠕蟲),該勒索蠕蟲利用2017年4月14日NSA洩漏的永恆之藍漏洞進行感染傳播。Wannacry已襲擊了全球各地的成千上萬個系統。通過遠程攻擊Windows的445埠(文件共享),如果系統沒有安裝今年3月的微軟補丁,無需用戶任何操作,只要開機上網,「永恆之藍」就能在電腦裡執行任意代碼,植入勒索蠕蟲等惡意程序。wannacry的這次攻擊危害不亞於2008年臭名昭著的windows蠕蟲,windows蠕蟲當年感染了近200個國家的900多萬臺計算機。
  • 勒索病毒WannaCry應急解決方案
    2017年5月12日晚起,一款名為「WannaCry」的勒索病毒在全球進行大規模攻擊。
  • 【緊急通告】Petya勒索病毒大規模爆發防範通知
    北京時間6月28日深夜,一個全新的勒索病毒在全世界迅速流行,目前已經有很多知名的大公司中招,可以看作是wannacry的高級進化版,
  • 勒索病毒防範指南
    前言2017年4月中旬,「永恆之藍」攻擊工具在網絡盛傳,5月不法分子通過改造此工具製作了wannacry勒索病毒,一時間全球眾多醫院、高校、企業、政府及個人PC接連不斷中招,受害者被要求支付高額贖金才可解密恢復文件,這是勒索病毒第一次以如此「親民」的方式大規模滲透進各類網絡。
  • 防範勒索軟體「wannacry」高危病毒微軟補丁安裝與確認方法
    關於本次爆發的勒索軟體「wannacry」,目前已下發Win7、Win8.1、Win2008系統微軟補丁MS17-010(kb4012212
  • 剛需 |Wannacry 勒索蠕蟲病毒用戶修復指引
    根據騰訊雲安全團隊對已有樣本分析,勒索軟體存在觸發機制,如果可以成功訪問iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com,則電腦在中了勒索病毒後不會進行文件加密而直接退出。目前該域名已被安全人員註冊,可以正常訪問。
  • 【緊急】「勒索病毒」全球爆發!我州已有電腦中招!請立即按此方法急救防範!
    新型「蠕蟲」式勒索軟體「wannacry」全球爆發紅河人也沒能倖免!>部分縣市的小夥伴表示電腦已感染該病毒今天一大早,就有小夥伴發微信給小編說他們單位的電腦已中毒,提醒小編注意防範這條微博的內容為:「北京時間2017年5月12日20時左右,全球爆發電腦勒索病毒 中國高校大範圍中招,該勒索軟體是一個名稱為「wannacry」的新家族,一旦運行會對所有系統文件進行加密,目前無法解密該勒索軟體加密的文件。」
  • 誰殺死了Wannacry勒索病毒?原來「同門師兄」才是天敵
    Wannacry攻擊收益不到10萬美元,「同門師兄」被忽視除了全球網絡安全公司的股票暴漲外(當然也有安全公司被打臉,例如SOPHOS),Wannacry勒索病毒作者的收益其實非常有限,截止上周五,即使已經過了「撕票」期限,依然只有極少數的受害者支付贖金,累計不到9.4萬美元。
  • 新華三關於WannaCry勒索病毒的分析報告
    該病毒是一種蠕蟲變種,像其他勒索軟體的變種一樣,WannaCry通過加密的方式阻止用戶訪問計算機或文件,一旦電腦感染了Wannacry病毒,受害者需要支付高達300美元比特幣的勒索金才可解鎖。否則,電腦就無法使用,且文件會被一直封鎖。
  • 聚焦|亞信安全發布防範WannaCry/Wcry蠕蟲勒索病毒措施
    【感染全球的勒索信息提示】據亞信安全中國病毒響應中心監測:該勒索軟體利用了微軟SMB遠程代碼執行漏洞CVE-2017-0144,微軟已在今年3月份發布了該漏洞的補丁。利用此漏洞的攻擊包含前期的 EternalBlue 和近期大量感染的勒索病毒 WannaCry/Wcry。TDA 的內網攻擊檢測能力是針對源頭的零日漏洞進行實時有效的網絡攻擊行為檢測,讓用戶能快速從網絡威脅情報的角度定位內網遭受攻擊的終端,以實施相對應的響應措施。
  • 最完備 | 騰訊云為用戶推出專版WannaCry勒索病毒解密指引
    針對被勒索的企業,用戶遭到WannaCry勒索病毒感染後,在沒有重啟電腦前提下,推薦使用該工具嘗試進行文件解密:下載連結:https://habo.qq.com/tool/download/qcloud_wannacry_decryptor解壓後,在中毒電腦上執行"WannaCry解密工具-騰訊雲專版.exe"進行內存掃描
  • 勒索病毒防範措施與應急響應指南
    ,裡面介紹了很多解密的網站,並教了大家如何快速識別企業中了哪個勒索病毒家族,以及此勒索病毒是否有解密工具,也包含一些簡單的勒索病毒應急處理方法,這篇我將重點講解一下,作為一名安全應急響應人員,該如何去處理勒索病毒,可以給客戶提供哪些勒索病毒防範措施和應急響應指導等。
  • 全球網友來曬圖 | 那些被WannaCry病毒攻擊感染的場景
    據歐洲刑警組織表示,WannaCry勒索病毒攻擊已經危害到150多個國家的20萬臺計算機。
  • 如何防範勒索病毒的攻擊
    2019年2月最新升級的勒索病毒版本號為GANDCRAB V5.2,該病毒主要通過電子郵件的方式傳播。為全面做好勒索病毒的防範應對工作,信息技術中心建議校園網用戶 採取以下防範措施,以保障好個人信息的安全:1、 不要打開來歷不明的郵件附件;2、不要使用辦公(即學校)郵箱註冊第三方網站、論壇或在線服務等平臺,以防信息、密碼洩露;3、 及時安裝主流殺毒軟體,升級病毒庫,對相關系統進行全面掃描查殺;4、 在Windows中禁用U盤的自動運行功能
  • 勒索病毒到底有多可怕?全球各地變成了這樣
    據歐洲刑警組織表示,WannaCry 勒索病毒攻擊已經危害到全球150多個國家的20萬臺計算機。攻擊已經對全球眾多機構造成影響,其中包括美國聯邦快遞、西班牙電信巨頭Telefónica、法國汽車製造商雷諾、中國科研教育機構、德國聯邦鐵路系統,以及俄羅斯內政部1000多臺電腦。