Windows永恒之蓝勒索病毒(wannacry)
处理指南
一. 病毒说明
近期互联网出现大量勒索软件感染情况,磁盘文件会被病毒加密,该勒索软件是此前活跃的勒索软件Wallet的一类变种,运用了高强度的加密算法难以破解,被攻击者除了支付高额赎金外,往往没有其他办法解密文件,对工作资料和个人数据造成严重损失。根据网络安全机构通报,这是不法分子利用NSA黑客武器库泄漏的“永恒之蓝”发起的病毒攻击事件。
国家计算机病毒应急处理中心在5月13日发布了关于该病毒的紧急预警:
关于“wannacry”勒索软件的紧急预警(2017.5.13)
日前,国家计算机病毒应急处理中心通过对互联网的监测,发现一个名为“wannacry”的勒索软件病毒正在全球大范围蔓延,截至目前,该病毒已经席卷包括中国、美国、俄罗斯及欧洲在内的100多个国家。我国部分高校内网、大型企业内网和政府机构专网遭受攻击。经紧急分析,判定该勒索软件是一个名为“wannacry”的新家族,基于445端口的SMB漏洞(MS17-101)进行传播,攻击者利用该漏洞,针对关闭防火墙的目标机器,通过445端口发送预先设计好的网络数据包文,实现远程代码执行。当系统被该勒索软件感染后,一是会弹出勒索对话框,采用AES和RSA加密算法加密系统中的照片、图片、文档、压缩包、音频、视频、可执行文件等类型的文件;二是会将自身复制到系统的每个文件夹下,并重命名为“@WanaDecryptor@.exe”;三是生成随机IP并发起新的网络攻击。
由于该勒索软件的加密强度大,目前被加密的文件还无法解密恢复。针对遭受攻击的情况,建议采取如下措施:
1、在无法判断是否感染该勒索软件的情况下,立即断网,检查电脑主机,修复MS17-010漏洞、关闭445端口。
2、对已经感染勒索软件攻击的机器建议立即隔离处置,防止感染范围进一步扩大。 3、出于基于权限最小化的安全实践,建议用户关闭并非必需使用的Server服务。
4、及时备份重要业务系统数据,针对重要业务终端进行系统镜像,制作足够的系统恢复盘或者设备进行替换。
5、目前亚信、安天、360、北信源、瑞星5家公司已经研发出针对该病毒的最新专杀工具。
亚信专杀下载地址(32位):http://support.asiainfo-sec.com/Anti-Virus/Clean-Tool/ATTK_CN/supportcustomizedpackage.exe
亚信专杀下载地址(64位):http://support.asiainfo-sec.com/Anti-Virus/Clean-Tool/ATTK_CN/supportcustomizedpackage_64.exe
亚信专杀使用说明:http://support.asiainfo-sec.com/Anti-Virus/Clean-Tool/ATTK_CN/ATTK_USER_MANUAL.doc
安天专杀下载地址:http://www.antiy.com/response/wannacry/ATScanner.zip
安天免疫下载地址:http://www.antiy.com/response/wannacry/Vaccine_for_wannacry.zip。 安天应对说明链接:http://www.antiy.com/response/Antiy_Wannacry_FAQ.html。 360公司免疫工具下载链接:http://b.360.cn/other/onionwormimmune 360公司专杀工具下载链接:http://b.360.cn/other/onionwormkiller
北信源公司专杀免疫工具和说明下载链接:http://www.vrv.com.cn/index.php?m=content&c=index&a=lists&catid=205
瑞星免疫工具下载链接:http://download.rising.net.cn/zsgj/EternalBluemianyi.exe
瑞星免疫工具+杀软下载链接:http://download.rising.net.cn/zsgj/EternalBluemianyi_sharuan.exe
二. 解决办法
该病毒主要通过windows的漏洞进行传播,对于这种情况,主要有以下解决办法:
1、升级官方补丁,修复漏洞;
2、关闭相应windows服务,阻断入侵; 3、通过防火墙关闭服务端口,阻止入侵;
建议升级官方补丁治标治本,并且同时开启防火墙关闭不经常使用的端口,提高安全性。
国内知名安全厂商360,针对本次事件推出了360nsa武器库免疫工具包,可以提供检测及安装服务,如果检测不通过,会有如下提示:
在安装完补丁后,再次检测就可以通过。
360nsa武器库免疫工具下载地址: https://dl.360safe.com/nsa/nsatool.exe
2.1、 升级补丁
根据微软官方详细的补丁说明下载相应补丁,详细链接如下:
https://technet.microsoft.com/zh-cn/library/security/MS17-010.aspx 针对windows XP、windows 2003 、windows 8系统,微软虽然已经停止提供服务,但是因本次影响极大,官方仍然推出了补丁,顶下微软,下载链接如下:
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598 360也推出了“永恒之蓝”勒索蠕虫漏洞修复工具:
http://b.360.cn/other/onionwormfix 针对不同的操作系统版本,安装过程基本一致,但是有3点需要注意: 1、确认操作系统版本,并注意操作系统是32位还是64位,对于服务器操作系统,还存在安腾版本,需下载指定的版本补丁,否则无法安装。
2、对于部分版本的操作系统有Service Pack的要求,对于这种情况,需要先将操作系统升级至指定的Service Pack版本后,才可以打补丁,否则无法安装。
3、补丁安装完毕后,需重启服务器生效。 补丁对操作系统Service Pack要求及补丁号见下表:
操作系统 Windows Vista Windows Vista Windows Server 2008 Windows Server 2008 Windows Server 2008 Windows 7 Windows 7 Windows Server 2008 R2 Windows Server 2008 R2 Windows 8 Windows 8 Windows 8.1 Windows 8.1 Windows Server 2012 Windows Server 2012 R2 Windows 10 Windows 10 Windows 10 1511版本 系统版本 32位 64位 32位 64位 安腾 32位 64位 64位 安腾 32位 64位 32位 64位 64位 64位 32位 64位 32位 Service Pack要求 补丁号 SP2 SP2 SP2 SP2 SP2 SP1 SP1 SP1 SP1 备注 4012598 4012598 4012598 4012598 4012598 4012212 4012212 4012212 4012212 4012598 4012598 4012213 4012213 4012214 4012213 4012606 4012606 4013198 Windows 10 1511版本 Windows 10 1607版本 Windows 10 1607版本 Windows XP Windows XP Windows 2003 Windows 2003 Windows 2003 R2 Windows 2003 R2 64位 32位 64位 32位 64位 32位 64位 32位 64位 SP3 SP2 SP2 SP2 SP2 SP2 4013198 4013429 4013429 4012598 4012598 4012598 4012598 4012598 4012598
Service Pack版本升级过程,每次升级完成后需要重启才能进行下一步升级:
当前系统版本 升级目标版本 Windows XP x86 Windows XP x86 SP3(先升级到SP2,然后升级到SP3) Windows XP Windows XP x86 SP1 Windows XP x86 SP3 Windows XP x86 SP2 Windows XP x86 SP3 Windows Server 2003 x86 Windows Server 2003 x86 Windows Server 2003 x86 SP2 Windows Server 2003 x86 SP1 Windows Server 2003 x86 SP2 Windows Vista x86 Windows Vista x86 SP2(先升级到SP1,然后升级到SP2) Windows Vista Windows Vista x86 SP1 Windows Vista x86 SP2
Windows永恒之蓝勒索病毒(wannacry)处理指南
