應急指南|新一輪勒索病毒來襲,小白用戶看這里
2017-06-28 11:09:05經確認,該病毒名為 Petya(后被卡巴斯基反轉,認為應叫“ExPetr”),釆用(CVE-2017-0199)RTF漏洞進行釣魚攻擊,用(MS17-010)SMB漏洞進行內網傳播,都有補丁。?丁地址如下,
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0199
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
此外,各安全廠商也出具了應急處理措施,以下是雷鋒網對部分方案的匯總:
1.360
安全操作提示
從目前掌握的情況來看:
-
不要輕易點擊不明附件,尤其是rtf、doc等格式,可以安裝360天擎(企業版)和360安全衛士(個人版)等相關安全產品進行查殺。
-
及時更新windows系統補丁,具體修復方案請參考“永恒之藍”漏洞修復工具。
-
內網中存在使用相同賬號、密碼情況的機器請盡快修改密碼,未開機的電腦請確認口令修改完畢、補丁安裝完成后再進行聯網操作。
360企業安全天擎團隊開發的勒索蠕蟲漏洞修復工具,可解決勒索蠕蟲利用MS17-010漏洞帶來的安全隱患。此修復工具集成免疫、SMB服務關閉和各系統下MS17-010漏洞檢測與修復于一體??稍陔x線網絡環境下一鍵式修復系統存在的MS17-010漏洞,工具下載地址:http://b.#/other/onionwormfix
緩解措施
關閉TCP 135端口
建議在防火墻上臨時關閉TCP 135端口以抑制病毒傳播行為。
停止服務器的WMI服務
WMI(Windows Management Instrumentation Windows 管理規范)是一項核心的 Windows 管理技術 你可以通過如下方法停止 :在服務頁面開啟WMI服務。在開始-運行,輸入services.msc,進入服務?;蛘?,在控制面板,查看方式選擇大圖標,選擇管理工具,在管理工具中雙擊服務。
在服務頁面,按W,找到WMI服務,找到后,雙擊 ,直接點擊停止服務即可,如下圖所示:
2.阿里云
目前勒索者使用的郵箱已經被關停,不建議支付贖金。
所有在IDC托管或自建機房有服務器的企業,如果采用了Windows操作系統,立即安裝微軟補丁。
對大型企業或組織機構,面對成百上千臺機器,最好還是使用專業客戶端進行集中管理。比如,阿里云的安騎士就提供實時預警、防御、一鍵修復等功能。
可靠的數據備份可以將勒索軟件帶來的損失最小化。建議啟用阿里云快照功能對數據進行備份,并同時做好安全防護,避免被感染和損壞。
3.騰訊電腦管家+騰訊云鼎實驗室
騰訊電腦管家已緊急響應,并已經確認病毒樣本通過永恒之藍漏洞傳播,開啟騰訊電腦管家可以防御petya勒索病毒,還可全面防御所有已知的變種和其他勒索病毒;此外,漏洞檢測能力也得到升級,加入了NSA武器庫的防御,可以抵御絕大部分NSA武器庫泄漏的漏洞的攻擊。
騰訊云鼎實驗室:可以采用以下方案進行防護和查殺——
-
騰訊云用戶請確保安裝和開啟云鏡主機保護系統,云鏡可對海量主機集中管理,進行補丁修復,病毒監測。
-
更新EternalBlue&CVE-2017-0199對應漏洞補丁
-
補丁下載地址:
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspxhttps://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0199
-
終端用戶使用電腦管家進行查殺和防護
-
電腦管家已支持對EternalBlue的免疫和補丁修復,也支持對該病毒的查殺,可以直接開啟電腦管家進行防護和查殺。
4.安天
影響操作系統:“必加”(Petya)勒索軟件影響操作系統:Windows XP及以上版本;
如未被感染
? 郵件防范
由于此次“必加”(Petya)勒索軟件變種首次傳播通過郵件傳播,所以應警惕釣魚郵件。建議收到帶不明附件的郵件,請勿打開;收到帶不明鏈接的郵件,請勿點擊鏈接。
? 更新操作系統補?。∕S)
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
? 更新Microsoft Office/WordPad遠程執行代碼漏洞(CVE-2017-0199)補丁
https://technet.microsoft.com/zh-cn/office/mt465751.aspx
? 禁用WMI服務
禁用操作方法:https://zhidao.baidu.com/question/91063891.html
? 更改空口令和弱口令
如操作系統存在空口令或弱口令的情況,請及時將口令更改為高強度的口令。
? 免疫工具
安天開發的“魔窟”(WannaCry)免疫工具,針對此次事件免疫仍然有效。
下載地址:http://www.antiy.com/tools.html
如已被感染
? 如無重要文件,建議重新安裝系統,更新補丁、禁用WMI服務、使用免疫工具進行免疫。
? 有重要文件被加密,如已開啟Windows自動鏡像功能,可嘗試恢復鏡像;或等待后續可能出現解密工具。
敬請期待雷鋒網的詳細技術分析。