2017年5月12日起, 全球性爆發勒索病毒WannaCry 。通過掃描開放445文件共享端口的Windows電腦,無需用戶進行任何操作,只要開機聯網,不法分子就能在電腦和服務器中植入病毒。
系統中招后,病毒會加密系統中的照片、圖片、文檔、壓縮包、音頻、視頻、可執行程序等幾乎所有類型的文件。同時,病毒更改終端背景圖片提出勒索要求。
受WannaCry影響系統
服務器操作系統:
Windows Server 2000
Windows Server 2003
Windows Server 2008
Windows Server 2012
Windows Server 2016
個人計算機操作系統:
Windows 2000
Windows XP
Windows Vista
Windows7
Windows8
Windows8.1
Windows10
由于Wannacry病毒擴散速度快,造成影響嚴重,為避免或減少損失,企業IT管理人員均需認真做好終端、服務器及網絡的整體防護及應急處置。為幫助廣大用戶輕松應對WannaCry,信服君提供如下應急處置方案指引。
終端應急處置指引
1、 已被感染的的計算機,建議您立即做好隔離
2、提前下發個人用戶處理指南給員工,并要求員工開機前先閱讀指南文檔,做好防護策略。指南可通過手機微信群、手機QQ 群、廣播、打印下發等方式傳遞給員工。
個人用戶詳細處理指南,可通過鏈接下載:
http://sec.sangfor.com.cn/download?file=person.doc
(請將鏈接復制到瀏覽器中打開)
服務器及內部網絡應急處置指引
1、隔離受感染主機
全部服務器斷開網絡,如:拔掉網線、操作系統內禁用網絡連接。對于已經感染病毒的服務,目前業界暫無有效解決方案,建議隔離放置,暫時不要做任何操作。
2、切斷內網傳播途徑
內網交換機上配置訪問控制策略,禁止內網之間的135、137、139、445端口的訪問權限。具體操作方案可參照對應交換機產品的操作手冊。
3、 切斷外網傳播途徑
使用安全設備開啟漏洞防護功能,或者在安全網關上限制135、138、139、445等訪問端口進行防護。具體操作可與安全設備對應廠商進行確認。
4、修復或規避潛在的漏洞
1、關閉潛在服務器的SMB服務及端口
2、使用安全廠商提供的快速修復工具
3、安裝系統補丁,修復系統漏洞
網絡管理員詳細處理指南,可參見:
http://sec.sangfor.com.cn/download?file=manager.doc(請將鏈接復制到瀏覽器中打開)
【說明】
1、深信服產品用戶,可通過如下方式進行應急處置:
1)深信服上網行為管理的用戶,可配置終端提示頁面,提醒終端用戶安裝免疫工具;配置策略阻斷135/137/139/445端口
2)深信服下一代防火墻的用戶,配置阻斷135/137/139/445端口、更新規則庫至20170415及以上版本
3)深信服企業云的用戶,開啟anet模塊的分布式防火墻,一鍵禁用135/137/139/445端口
4)深信服安全云的用戶,針對有域名的網站,檢測是否存在漏洞
以上詳細配置,可參見:
http://sec.sangfor.com.cn:88/events/89.html
(請將鏈接復制到瀏覽器中打開)
2、深信服下一代防火墻未開通相關模塊、規則庫過期的用戶可申請一個月的免費使用【只需聯系深信服當地辦事處人員即可處理】
3、深信服企業云未開通aNet模塊的客戶,可以申請一個月的免費使用【只需聯系深信服當地辦事處人員即可處理】
【咨詢與服務】
您可以通過以下方式聯系我們,獲取關于WannaCry的免費咨詢及支持服務:
1)撥打電話400-630-6430(已開通勒索軟件專線)
2)關注【深信服技術服務】微信公眾號,選擇“智能服務”菜單,進行咨詢
3)PC端訪問深信服社區bbs.sangfor.com.cn,選擇右側在線咨詢或智能服務,進行咨詢
