勒索病毒攻击4种紧急处理方法(蠕虫WannaCry),NSA武器库免疫工具下载
针对“永恒之蓝”攻击紧急处置手册(蠕虫WannaCry)工具下载:http://www.35dc.net/news/show-852.html
首先确认主机是否被感染被感染的机器屏幕会显示如下的告知付赎金的界面:http://p0.qhimg.com/t0178d7dc33e16862d5.png?size=865x598如果主机已被感染:则将该主机隔离或断网(拔网线)。若客户存在该主机备份,则启动备份恢复程序。如果主机未被感染:则存在四种方式进行防护,均可以避免主机被感染。针对未感染主机,方式二是属于彻底根除的手段,但耗时较长;其他方式均属于抑制手段,其中方式一效率最高。特别提醒,四种处置方式均应确保在未感染主机不联网的情况下操作。从响应效率和质量上,360建议首先采用方式一进行抑制,再采用方式二进行根除。方式一:启用蠕虫快速免疫工具免疫工具的下载地址:http://dl.b.360.cn/tools/OnionWormImmune.exe请双击运行OnionWormImmune.exe工具,并检查任务管理器中的状态。http://p5.qhimg.com/t0146fcc5965987bde2.png?size=865x709方式二:针对主机进行补丁升级请参考紧急处置工具包相关目录并安装MS17-010补丁,微软已经发布winxp_sp3至win10、win2003至win2016的全系列补丁。微软官方下载地址(采用已经免疫的电脑下载补丁):https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/快速下载地址:https://yunpan.cn/cXLwmvHrMF3WI 访问密码 614d方式三:关闭445端口相关服务点击开始菜单,运行,cmd,确认。输入命令netstat –an查看端口状态http://p8.qhimg.com/t01b48dcb229f16832e.png?size=865x563输入net stop rdr 回车net stop srv 回车net stop netbt 回车http://p3.qhimg.com/t01eddbeba84207f132.png?size=865x564再次输入netsta –an,成功关闭445端口。http://p6.qhimg.com/t01d4fb57d769d60319.png?size=865x602方式四:配置主机级ACL策略封堵445端口通过组策略IP安全策略限制Windows网络共享协议相关端口开始菜单->运行,输入gpedit.msc回车。打开组策略编辑器在组策略编辑器中,计算机配置->windows设置->安全设置->ip安全策略 下,在编辑器右边空白处鼠标右键单击,选择“创建IP安全策略”http://p5.qhimg.com/t01de2b02cd90434b9f.png?size=865x606下一步->名称填写“封端口”,下一步->下一步->勾选编辑属性,并点完成http://p2.qhimg.com/t01ddda512cd272829c.png?size=865x774去掉“使用添加向导”的勾选后,点击“添加”http://p9.qhimg.com/t01e190d065de08f5ca.png?size=726x907在新弹出的窗口,选择“IP筛选列表”选项卡,点击“添加”http://p8.qhimg.com/t018197ed2c1771a2b7.png?size=726x907在新弹出的窗口中填写名称,去掉“使用添加向导”前面的勾,单击“添加”http://p2.qhimg.com/t014112738f8ea7ae55.png?size=843x780在新弹出的窗口中,“协议”选项卡下,选择协议和设置到达端口信息,并点确定。http://p9.qhimg.com/t0181bb64e1d391a8fc.png?size=726x911重复第7个步骤,添加TCP端口135、139、445。添加UDP端口137、138。添加全部完成后,确定。选中刚添加完成的“端口过滤”规则,然后选择“筛选器操作”选项卡。http://p8.qhimg.com/t018f6d5c69387ddd31.png?size=726x906去掉“使用添加向导”勾选,单击“添加”按钮http://p1.qhimg.com/t0149ec249ee53e883f.png?size=726x9071. 选择“阻止”http://p1.qhimg.com/t0137c5555dc1ca1b79.png?size=726x9062. 选择“常规”选项卡,给这个筛选器起名“阻止”,然后“确定”。点击3. 确认“IP筛选列表”选项卡下的“端口过滤”被选中。确认“筛选器操作”选项卡下的“阻止”被选中。然后点击“关闭”。http://p1.qhimg.com/t0137c5555dc1ca1b79.png?size=726x9064. 确认安全规则配置正确。点击确定。http://p8.qhimg.com/t01e33734763ce13ba1.png?size=728x9075. 在“组策略编辑器”上,右键“分配”,将规则启用。http://p1.qhimg.com/t0147bfec429416a450.png?size=865x606第2章 核心网络设备应急处置操作指南大型机构由于设备众多,为了避免感染设备之后的广泛传播,建议利用各网络设备的ACL策略配置,以实现临时封堵。该蠕虫病毒主要利用TCP的445端口进行传播, 对于各大企事业单位影响很大。为了阻断病毒快速传播, 建议在核心网络设备的三层接口位置, 配置ACL规则从网络层面阻断TCP 445端口的通讯。以下内容是基于较为流行的网络设备,举例说明如何配置ACL规则,以禁止TCP 445网络端口传输,仅供大家参考。在实际操作中,请协调网络管理人员或网络设备厂商服务人员,根据实际网络环境在核心网络设备上进行配置。Juniper设备的建议配置(示例):set firewall family inet filter deny-wannacry term deny445 from protocol tcpset firewall family inet filter deny-wannacry term deny445 from destination-port 445set firewall family inet filter deny-wannacry term deny445 then discardset firewall family inet filter deny-wannacry term default then accept#在全局应用规则set forwarding-options family inet filter output deny-wannacryset forwarding-options family inet filter input deny-wannacry#在三层接口应用规则set interfaces [需要挂载的三层端口名称] unit 0 family inet filter output deny-wannacryset interfaces [需要挂载的三层端口名称] unit 0 family inet filter input deny-wannacry华三(H3C)设备的建议配置(示例):新版本:acl number 3050rule deny tcp destination-port 445rule permit ipinterface [需要挂载的三层端口名称]packet-filter 3050 inboundpacket-filter 3050 outbound旧版本:acl number 3050rule permit tcp destination-port 445traffic classifier deny-wannacryif-match acl 3050traffic behavior deny-wannacryfilter denyqos policy deny-wannacryclassifier deny-wannacry behavior deny-wannacry#在全局应用qos apply policy deny-wannacry global inboundqos apply policy deny-wannacry global outbound#在三层接口应用规则interface [需要挂载的三层端口名称]qos apply policy deny-wannacry inboundqos apply policy deny-wannacry outbound华为设备的建议配置(示例):acl number 3050rule deny tcp destination-port eq 445rule permit iptraffic classifier deny-wannacry type andif-match acl 3050traffic behavior deny-wannacrytraffic policy deny-wannacryclassifier deny-wannacry behavior deny-wannacry precedence 5interface [需要挂载的三层端口名称]traffic-policy deny-wannacry inboundtraffic-policy deny-wannacry outboundCisco设备的建议配置(示例):旧版本:ip access-list extended deny-wannacrydeny tcp any any eq 445permit ip any anyinterface [需要挂载的三层端口名称]ip access-group deny-wannacry inip access-group deny-wannacry out新版本:ip access-list deny-wannacrydeny tcp any any eq 445permit ip any anyinterface [需要挂载的三层端口名称]ip access-group deny-wannacry inip access-group deny-wannacry out锐捷设备的建议配置(示例):ip access-list extended deny-wannacrydeny tcp any any eq 445permit ip any anyinterface [需要挂载的三层端口名称]ip access-group deny-wannacry inip access-group deny-wannacry out第3章 互联网主机应急处置操作指南采用快速处置方式,建议使用360安全卫士的“NSA武器库免疫工具 ”,可一键检测修复漏洞、关闭高风险服务,包括精准检测出NSA武器库使用的漏洞是否已经修复,并提示用户安装相应的补丁。针对XP、2003等无补丁的系统版本用户,防御工具能够帮助用户关闭存在高危风险的服务,从而对NSA黑客武器攻击的系统漏洞彻底“免疫”。NSA武器库免疫工具下载地址:http://dl.360safe.com/nsa/nsatool.exehttp://p2.qhimg.com/t0141a3e2a878c675f0.png?size=865x618
页:
[1]