登录推广|客服 |

扫描或点击关注
中金在线客服

使用财视扫码登陆 中金二维码

下次自动登录

登录
忘记密码?立即注册

其它账号登录:新浪QQ微信

手机网AndroidApp IOS
手机网AndroidApp IOS
欢迎您,

首页|财经|股票|行情|数据|基金|黄金|外汇|期货|现货|期指|港股|理财|保险|银行|债券|汽车|房产|图片|视频|路演|博客|部落|圈子|财经号

车show:给你最好的汽车微社区体验 818出国网微信 您的出国掌中宝! 中金在线官方微信 10大翻倍金股,您看我就送

首页>>财经>>IT>>  正文







危险!蠕虫勒索病毒全球爆发,瑞星提供解决方案

来源:中国网    作者:    2017-05-15 12:27:02
中金在线微博
微信 加关注 扫描二维码
关注
中金在线微信

关注

在线咨询

扫描或点击关注
中金在线客服

  事件介绍

  2017年5 月12 日晚上20 时左右,全球爆发大规模蠕虫勒索软件感染事件,用户只要开机上网就可被攻击。五个小时内,包括英国、俄罗斯、整个欧洲以及国内多个高校校内网、大型企业内网和政府机构专网中招,被勒索支付高额赎金(有的需要比特币)才能解密恢复文件,这场攻击甚至造成了国内大量教学系统瘫痪,包括校园一卡通系统。

  目前,瑞星公司针对此次病毒事件成立的应急处理小组,瑞星产品全线进行了紧急升级,并开通服务专线,广大用户可与瑞星安全专家直接取得联系。

  技术分析

  据瑞星反病毒监测网监测, 这是不法分子通过改造之前泄露的NSA黑客武器库中“永恒之蓝”攻击程序发起的网络攻击事件。“永恒之蓝”通过扫描开放445文件共享端口的Windows电脑甚至是电子信息屏,无需用户进行任何操作,只要开机联网,不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等一系列恶意程序。

  利用445文件共享端口实施破坏的蠕虫病毒,曾多次在国内爆发。因此,运营商很早就针对个人用户将445端口封闭,但是教育网并未作此限制,仍然存在大量开放的445端口。据有关机构统计,目前国内平均每天有5000多台电脑遭到NSA“永恒之蓝”黑客武器的远程攻击,教育网已成重灾区!

  瑞星安全专家分析:该勒索软件利用了微软SMB远程代码执行漏洞CVE-2017-0144,微软已在今年3月份发布了该漏洞的补丁。2017年4月黑客组织影子经纪人(Shadow Brokers)公布的方程式组织(Equation Group)使用的“EternalBlue”中包含了该漏洞的利用程序,而该勒索软件的攻击者在借鉴了该“EternalBlue”后进行了这次全球性的大规模勒索攻击事件。

  瑞星解决方案

  瑞星针对此次“永恒之蓝”发起的蠕虫病毒攻击传播勒索恶意事件,给出相关产品应对措施及风险应对方案。

  一、瑞星终端安全产品解决方案

  瑞星终端安全产品用户参照以下方法解决:

  ESM版本号: 2.0.1.29

  10网络版:22.04.63.50

  11网络版:23.00.11.85

  12网络版:24.00.12.60

  13网络版:25.00.03.35

  以上版本带的漏洞扫描功能已经可以支持下列补丁。更新微软MS17-010漏洞补丁,对应不同系统的补丁号对照表:

  
危险!蠕虫勒索病毒全球爆发,瑞星提供解决方案


  1. ESM产品安装了行为审计、防火墙组件的用户可以设置防火墙规则(XP或非XP系统都可以)

  
危险!蠕虫勒索病毒全球爆发,瑞星提供解决方案


  使用行为审计\IP规则策略,设置端口规则

  l 启用端口规则,根据需要考虑是否勾选“阻止访问时通知用户”

  l 从右边增加一条新端口规则,勾选离线生效

  l 选择“单个端口”,并设置端口号为445

  l 协议选择TCP,方向选择入站

  l 注意“允许联网”不要勾选,表示拒绝访问

  网络版产品设置防火墙规则

  l 通过控制,给组设置防火墙组规则,右键组,出操作菜单,设置防火墙规则

  
危险!蠕虫勒索病毒全球爆发,瑞星提供解决方案


  
危险!蠕虫勒索病毒全球爆发,瑞星提供解决方案


  
危险!蠕虫勒索病毒全球爆发,瑞星提供解决方案


  特别注意“常规”里一定要选择“禁止”,协议里协议类型选TCP,对方端口选任意端口,本地端口选指定端口,并填445

  2. 没有防火墙功能的用户,可以在终端上执行以下命令

  netsh firewall set opmode enable

  netsh advfirewall firewall add rule name="deny445" dir=in protocol=tcp localport=445 action=block

  也可以保持存.bat批处理文件,管理员权限直接运行

  3. 使用公安专版或只有杀毒模块的用户

  瑞星杀毒软件会进行病毒库紧急升级,用来查杀相应的病毒。

  因为公安专版、单杀毒模块产品上就即不带漏洞补丁修复,又不带防火墙功能,所以请使用公安网内部的其他方式安装系统补丁或配置防火墙规则(也可参考下一条说明方案)进行防御措施。

  4. 没有防火墙功能的用户,可以在终端上执行以下命令

  netsh firewall set opmode enable

  netsh advfirewall firewall add rule name="deny445" dir=in protocol=tcp localport=445 action=block

  也可以将上述命令保存为.bat批处理文件,管理员权限直接运行。

  制作.bat批处理文件方法:

  n 新建一个文本文件

  n 把上述命令拷贝到文件里,并保存

  n 重命名.txt后缀改为.bat

  二、临时解决方案及建议

  1、 Win7、Win 8.1、Win 10用户,尽快安装微软MS17-010的官方补丁。https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx

  2、 Windows XP用户,点击开始-》运行-》输入cmd,确定。在弹出的命令行窗口中输入下面三条命令以关闭SMB。

  net stop rdr

  net stop srv

  net stop netbt

  3、 升级操作系统的处理方式:建议广大用户使用自动更新升级到Windows的最新版本。

  4、在边界出口交换路由设备禁止外网对校园网135/137/139/445端口的连接。

  5、在校园网络核心主干交换路由设备禁止135/137/139/445端口的连接。

  6、及时升级操作系统到最新版本;

  7、勤做重要文件非本地备份;

  8、停止使用Windows XP、Windows 2003等微软已不再提供安全更新的操作系统。
责任编辑:cnfol001下载中金财经客户端
名博
吹牛皮:市场真企稳了吗 少爷:白马陨落注意风险了 老乐:热点不够坚强有力 狙击炮:惊天变盘会后上演
推荐
指南针:周二操作参考 吹牛皮:市场企稳了吗

我来说两句

查看所有评论 注册 登录
博客淘股部落圈子

鸿牛:振荡中寻求机会 周本泉:顺势则昌逆势必亡

木头:这个题材有重大机会 张中秦:大盘转折点已出现

本周赚钱机会将持续的增加 缩量等待政策红利窗口!

短线再拾升势 周二闭幕后应翻转 小幅反弹择股运作

寂寞:全面进入收获期 展锋:反抽结构萎靡成交难作为

教父:主板补跌但个股仍精彩 少爷:白马陨落注意风险

牛传:有望爆赚的大热点 猎枪:有回踩60日均线要求!

金鼎实战 老夫子选股 李博文 鸿牛中金客 股海豹子

狗蛋小窝 期指风云圈 金牛做 股海指南针 天津股侠

昆仑神鹰 小队陈会计 荐股圈 雨农谈股群 黑球大帝

涨停先锋 虎啸股海圈 一买红 牛熊绝杀圈 牛传千股

事前诸葛 木头玩股圈 拾金客 低价牛股圈 慧眼识金

草根股神 天空操盘 贾磊看盘 股道酬勤圈 证星叶开

中线疯马 涨停股直播 天外星 抓热点牛股 小曾计划

赞助商链接

专家看盘今日荐股收益排行

赞助商链接

分类信息

X
X