溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
5月12日,全球爆發勒索病毒WannaCry,大量企業和組織遭受大規模的勒索***,國內高校內網、大型企業內網和政府機構專網相繼中招。
系統中毒后,會加密系統中的照片、圖片、文檔、壓縮包、音頻等幾乎所有類型的文件,不法分子據此向受害者提出勒索要求,支付高額贖金才能解密恢復文件,對重要數據造成嚴重損失。
一.序言
本操作指引分為三個步驟展開:
1、隔離受感染主機
2、切斷傳染途徑
3、修復系統隱患
如果發現已經有主機被感染,立刻對此主機進行隔離。對于不確定是否已經被感染的主機當前階段先不要逐一確認,請優先按照下述第三點和第四點處理。
判斷方法:出現下述界面的主機
操作方法:
全部服務器斷開網絡,如:拔掉網線、操作系統內禁用網絡連接。對于已經感染病毒的服務,目前業界暫無有效解決方案,建議隔離放置,暫時不要做任何操作。
影響及可能的問題:
業務系統無法對外訪問
1、切斷內網傳播途徑
方法:
內網交換機上配置訪問控制策略,禁止內網之間的135、137、139、445端口的訪問權限。具體操作方案請參照對應交換機產品的操作手冊。
針對無線網絡也需要進行隔離,具體方法建議根據無線產品特性確認方案;我司建議先臨時關閉無線訪問,待全部終端電腦修復完畢后再開啟無線。
影響及可能的問題:
1)建議核心交換、匯聚交換機、接入層交換機等具備訪問控制策略功能的交換機全部開啟。
2)445等端口為網上鄰居、共享應用的端口,禁用端口后對應的應用將無法
對外系統服務。例如:打印機、共享文件夾等應用。
2、切斷外網傳播途徑
方法:
下述兩種方法根據實際情況選擇一種最快的方式執行即可。
1)安全網關設備開啟對應防護規則
應用層防火墻、IPS等安全網關可能集成相應的防護功能,可以通過其應用層防火的功能阻止外網到內網的傳播,具體建議與對應廠商進行確認。
2)安全網關通過限制訪問端口進行防護
如果無法通過上述第一點進行防護,可以在邊界防火墻設備上禁止對網絡中135/137/139/445端口的訪問,切斷外部傳播途徑。
四.修復或規避系統漏洞方案
完成上述兩個步驟后基本切斷漏洞傳播的內部和外部途徑,接下來將對服務器可能存在的隱患進行修復。
4.1 建議根據業務系統重要性進行修復,建議如下:
1、重要業務系統服務器(優先級高)
建議判斷標準:生產系統、銷售系統、財務系統、研發系統、供應鏈系統、AO系統、郵件系統等。
2、次重要業務系統服務器(優先級中)
建議判斷標準:內部論壇、打印機等其他服務器。
4.2 建議對重要業務系統數據進行備份
建議將重要數據備份到其他外部介質上,如NAS等外置存儲。
4.3執行修復方案
下述三種方案貴司根據實際情況選擇一種最快、最適合的方式執行,方案執行成功后可以恢復對應的業務。
1、關閉潛在服務器的SMB服務及端口 (規避措施)
方法:
啟用并打開“Windows防火墻”,進入“高級設置”,在入站規則新建規則。
2、使用速修復工具(規避措施)
方法:
http://pan.baidu.com/s/1pLe64mn
3、修復系統漏洞(徹底修復SMB漏洞)
方法:
升級微軟針對MS17-010的漏洞補丁,建議采用U盤拷貝補丁、手動更新方法完成(避免自動更新上網時帶來的交叉傳染隱患)。并且建議補丁下載也在相對安全的環境中進行。微軟補丁參考列表如下:https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx
建議優先下載微軟官方的補丁,如果部分補丁可能會存在下載速度較慢的情況,我司整理微軟補丁并提供下載的參考如下:
https://wx.xyclouds.com/static/bjsec/patch.zip
影響及可能的問題:
1、上述方案1和方案2是SMB漏洞的規避方案,隱患得到規避的同時會導致系統某些服務將停止,例如:打印機、共享文件夾等應用。
2、方案3是SMB漏洞的徹底修復方案,不會對業務員造成影響。
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
