针对勒索软件“wannacry”紧急防范处置手册

1.概述

北京时间5月13日,互联网上出现针对Windows操作系统的勒索软件的攻击案例,此次攻击事件的主角即名为“WannaCry”的勒索软件。该勒索软件同时具备加密勒索功能和内网蠕虫传播能力,属于新型的勒索软件家族,危害极大。勒索软件利用此前披露的Windows SMB服务漏洞(对应微软漏洞公告:MS17-010)攻击手段,向终端用户进行渗透传播,并向用户勒索比特币或其他价值物,涉及到国内用户(已收到多起高校案例报告),已经构成较为严重的攻击威胁,广东互联网应急中心综合相关材料形成针对勒索软件件“wannacry”紧急防范处置手册。

  2.应急处置方案

2.1主机应急处置操作指南

2.1.1确认主机是否被感染

  被感染的机器屏幕会显示如下的告知付赎金的界面: 来源国家互联网应急中心、360 公司、安天公司、数字观星等单位

2.1.2已感染的用户的补救措施

据目前了解情况,无法解密该勒索软件加密的文件,不建议用户向勒索者支付赎金。如果发现网内有感染的机器,应将其及时断网关机隔离处理,同时通告运维人员切断网络连接(如关闭交换机等网络连接设备),避免勒索软件的进一步扩散,内网的有关机器尽量做到断网关机等待处理。如有重要文件数据幸存,做好备份处理,但并不能说明备份的数据中没有被感染,存储到磁盘后,同样等候使用离线工具处理。若用户存在主机份则启动备份恢复程序。

2.1.3尚未感染主机防护步骤

关闭网络,开启系统防火墙;

利用系统防火墙高级设置阻止向445 端口进行连接(该操作会影响使用445 端口的服务)及网络共享;

针对主机进行漏洞补丁升级安装。

2.1.3.1 Win7、Win8、Win10 系统的处理流程

1) 关闭网络

2) 打开控制面板-系统与安全-Windows 防火墙,点击左侧启动或关闭Windows 防火墙

3) 选择启动防火墙,并点击确定

4) 点击高级设置

5)点击入站规则,新建规则,以 445 端口为例

  6) 选择端口、下一步

7) 选择特定本地端口,输入 445,下一步

  8) 选择阻止连接,下一步

  9) 配置文件,全选,下一步

  10) 名称,可以任意输入,完成即可。

11) 请安装MS17-010 补丁,微软已经发布 winxp_sp3 至win10、win2003 至win2016的 全 系 列 补 丁 。 微 软 官 方 下 载 地址https://blogs.technet.microsoft.com/msrc/2017/04/14/protecting-customers-and-evaluating-risk/?from=timeline&isappinstalled=0,或者恢复网络升级。

  12) 开启系统自动更新,并检测更新进行安装

13) Win7系统需要关闭 Server 服务才能够禁用 445端口的连接需要操作系统的 server服务关闭,依次点击“开始”,“运行”,输入 services.msc,进入服务管理控制台。

双击 Server,先停用,再选择禁用。

最后重启 win7。使用 netstat–an 查看 445 端口不存在了。

注:在系统更新完成后,如果业务需要使用 SMB 服务,将上面设置的防火墙入站规则删除即可。

2.1.3.2 Win XP系统的处理流程

1) 依次打开控制面板,安全中心,Windows 防火墙,选择启用

2) 通过注册表关闭 445 端口,单击“开始”——“运行”,输入“regedit”,单击 “确定”按钮,打开注册表。

  3) 找到 HKEY_LOCAL_MACHINESystemControlsetServicesNetBTParameters,

  选择“Parameters”项,右键单击,选择“新建”——“DWORD值”。

4) 将 DWORD 值命名为“SMBDeviceEnabled”,值修改为 0。

5) 重启机器,查看 445 端口连接已经没有了。

6) 鉴于本次 Wannacry 蠕虫事件的影响恶劣,微软总部决定对已停服的XP 和部分

服 务 器 版 本 发布 特 别 补 丁 , 微 软 公 告 详 情 / 。

https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

2.2网络设备应急处置操作指南

部分机构由于设备众多,为了避免感染设备之后的广泛传播,建议利用各网络设备的进行ACL访问控制策略配置,以实现临时应急方案。由于该蠕虫病毒主要利用TCP的445端口进行传播,为了阻断病毒快速传播, 建议在核心网络设备的三层接口位置,配置ACL规则从网络层面阻断TCP445端口的通讯。以下内容是基于较为流行的网络设备,举例说明配ACL规则,以禁止TCP 445 网络端口传输,仅供大家参考。在实际操作中,请协调网络管理人员或网络设备厂商服务人员,根据实际网络环境在核心网络设备上进行配置。

2.2.1 Juniper 设备的建议配置(示例):

set firewall family inet filter deny-wannacry termdeny445 from protocol tcp

set firewall family inet filter deny-wannacry termdeny445 from

destination-port 445

set firewall family inet filter deny-wannacry termdeny445 then discard

set firewall family inet filter deny-wannacry termdefault then accept

#在全局应用规则

set forwarding-options family inet filteroutput deny-wannacry

set forwarding-options family inet filterinput deny-wannacry

#在三层接口应用规则

set interfaces [需要挂载的三层端口名称] unit 0 family inetfilter

output deny-wannacry

set interfaces [需要挂载的三层端口名称] unit 0 family inet filterinput

deny-wannacry

2.2.2华三(H3C)设备的建议配置(示例):

新版本:

acl number 3050

rule deny tcp destination-port 445

rule permit ip

interface [需要挂载的三层端口名称]

packet-filter 3050 inbound

packet-filter 3050 outbound

旧版本:

acl number 3050

rule permit tcp destination-port 445

traffic classifier deny-wannacry

if-match acl 3050

traffic behavior deny-wannacry

filter deny

qos policy deny-wannacry

classifier deny-wannacry behaviordeny-wannacry

#在全局应用

qos apply policy deny-wannacry globalinbound

qos apply policy deny-wannacry globaloutbound

#在三层接口应用规则

Interface [需要挂载的三层端口名称]

qos apply policy deny-wannacryinbound

qos apply policy deny-wannacry outbound

2.2.3 华为设备的建议配置(示例):

acl number 3050

rule deny tcp destination-port eq 445

rule permit ip

traffic classifier deny-wannacry type and

if-match acl 3050

traffic behavior deny-wannacry

traffic policy deny-wannacry

classifier deny-wannacry behaviordeny-wannacry precedence 5 interface [需要挂载的三层端口名称]

traffic-policy deny-wannacry

inbound

traffic-policy deny-wannacry

outbound

2.2.4 Cisco 设备的建议配置(示例):

旧版本:

ip access-list extended deny-wannacry

deny tcp any any eq 445

permit ip any any

interface [需要挂载的三层端口名称]

ip access-group deny-wannacry in

ip access-group deny-wannacry out

新版本:

ip access-list deny-wannacry

deny tcp any any eq 445

permit ip any any

interface [需要挂载的三层端口名称]

ip access-group deny-wannacry in

ip access-group deny-wannacry out

2.2.5 锐捷设备的建议配置(示例):

ip access-list extended deny-wannacry

deny tcp any any eq 445

permit ip any any

interface [需要挂载的三层端口名称]

ip access-group deny-wannacry in

ip access-group deny-wannacry out

2.3其他应急处置操作指南

其他快速处置方式可使用“NSA 武器库免疫工具”,一键检测修复漏洞、关闭高风险服务,可精准检测出 NSA 武器库使用的漏洞是否已经修复,提示用户安装相应的补丁。针XP、2003等无补丁的系统版本用户,防御工具能够帮助用户关闭存在高危风险的服务,从而对NSA 黑客武器攻击的系统漏洞防护。

  NSA 武器库免疫工具下载地址:https://dl.360safe.com/nsa/nsatool.exe

来源:新疆互联网应急中心

编辑:张 腾 责编:王峙涵 编审:罗 剑

欢迎来稿,投稿邮箱:284894050@qq.com