自5月12日起,勒索病毒WannaCry强势来袭,一次大规模的勒索袭击在网络中迅速蔓延,目前已波及全球百余国家和地区,我国多所高校及部分企业均受到影响。这种病毒会通过加密受害人电脑里的文件,致使受害人完全打不开,以此方式勒索受害人支付赎金后解密。

曾有英国小伙无意间发现病毒的漏洞,并利用漏洞阻拦了病毒的蔓延,但随着变种后的WannaCry2.0再次卷土重来,让这种“治毒”方法只起到了非常短暂的作用。

在此,

神州云联合山石网科全面升级神州云界,有效阻止ONION勒索软件(永恒之蓝)病毒攻击,目前加入神州云界的云主机无一受感染。

根据网络安全机构通报,这是不法分子利用NSA黑客武器库泄漏的“永恒之蓝”发起的病毒攻击事件。“永恒之蓝”会扫描开放445文件共享端口的Windows机器,无需用户任何操作,只要开机上网,不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序。

8

攻击过程

Wanacrypt0r勒索软件攻击过程主要为病毒传播、病毒感染、实施勒索三个步骤:

  • 此次病毒传播,利用SMB漏洞,使用“永恒之蓝”来进行初始攻击;
  • 被执行后,Wanacrypt0r加密本地关键文件和网络共享文件夹;
  • 完成加密后,勒索软件在用户系统弹出提示框,对用户进行勒索;

7

应对措施

在侦查和漏洞利用阶段:

  • 利用策略管控 —— 禁止外网到内网的SMB流量,在防火墙上阻断对135/137/139/445端口的访问;禁止SMB服务流量在内网不同区域之间转发,从而禁止Wanacrypt0r恶意流量感染到内网的不同区域。
  • 利用入侵防御系统 —— 山石网科入侵防御系统已经加入对MS17-010的检测特征,升级山石网科入侵防御系统特征库到1.187版本,开启1905385, 1905387, 1905388, 1905389, 1905390规则,即可对利用MS17-010的漏洞进行检测和防御。

具体操作如下:

1、登录云界, 对象->服务薄

1

2、弹出的服务簿,点击新建服务弹出窗口添加tcp 445、137、138、139目的端口,完成后点击确认

2

3、选择左边栏的策略,点击新建->安全策略

3

4、弹出的策略配置端口,在服务薄里面选择之前建立的端口禁用服务薄,动作选择拒绝

4

5、点击高级选项在列表位置里面选择将策略置于列表最前确定

5

6、策略添加完成后,在安全策略页面就会出现该禁用端口策略,操作即完成

6