勒索病毒WannaCry针对服务器及其内部网络操作指引

发布时间:2020-06-19 14:50:53 作者:Walfred
来源:网络 阅读:1005

      5月12日,全球爆发勒索病毒WannaCry,大量企业和组织遭受大规模的勒索***,国内高校内网、大型企业内网和政府机构专网相继中招。

系统中毒后,会加密系统中的照片、图片、文档、压缩包、音频等几乎所有类型的文件,不法分子据此向受害者提出勒索要求,支付高额赎金才能解密恢复文件,对重要数据造成严重损失。



 

.序言

   本操作指引分为三个步骤展开:

1、隔离受感染主机

2、切断传染途径

3、修复系统隐患

.隔离受感染服务器主机

如果发现已经有主机被感染,立刻对此主机进行隔离。对于不确定是否已经被感染的主机当前阶段先不要逐一确认,请优先按照下述第三点和第四点处理。

判断方法:出现下述界面的主机


勒索病毒WannaCry针对服务器及其内部网络操作指引

操作方法:

    全部服务器断开网络,如:拔掉网线、操作系统内禁用网络连接。对于已经感染病毒的服务,目前业界暂无有效解决方案,建议隔离放置,暂时不要做任何操作。

 

影响及可能的问题:

    业务系统无法对外访问                    

 

.切断病毒传播路径

1、切断内网传播途径

方法:

内网交换机上配置访问控制策略,禁止内网之间的135137139445端口的访问权限。具体操作方案请参照对应交换机产品的操作手册。

    针对无线网络也需要进行隔离,具体方法建议根据无线产品特性确认方案;我司建议先临时关闭无线访问,待全部终端电脑修复完毕后再开启无线。

 

影响及可能的问题:

   1)建议核心交换、汇聚交换机、接入层交换机等具备访问控制策略功能的交换机全部开启。

   2445等端口为网上邻居、共享应用的端口,禁用端口后对应的应用将无法

对外系统服务。例如:打印机、共享文件夹等应用。

 

 

2、切断外网传播途径

方法:

   下述两种方法根据实际情况选择一种最快的方式执行即可。

1)安全网关设备开启对应防护规则

应用层防火墙、IPS等安全网关可能集成相应的防护功能,可以通过其应用层防火的功能阻止外网到内网的传播,具体建议与对应厂商进行确认。


2)安全网关通过限制访问端口进行防护

如果无法通过上述第一点进行防护,可以在边界防火墙设备上禁止对网络中135/137/139/445端口的访问,切断外部传播途径。

 

    

.修复或规避系统漏洞方案

    完成上述两个步骤后基本切断漏洞传播的内部和外部途径,接下来将对服务器可能存在的隐患进行修复。

4.1 建议根据业务系统重要性进行修复,建议如下:

 

1、重要业务系统服务器(优先级高)

建议判断标准:生产系统、销售系统、财务系统、研发系统、供应链系统、AO系统、邮件系统等。

2、次重要业务系统服务器(优先级中)

建议判断标准:内部论坛、打印机等其他服务器。

4.2 建议对重要业务系统数据进行备份

    建议将重要数据备份到其他外部介质上,如NAS等外置存储。

4.3执行修复方案

   下述三种方案贵司根据实际情况选择一种最快、最适合的方式执行,方案执行成功后可以恢复对应的业务。

1、关闭潜在服务器的SMB服务及端口 (规避措施)

方法:

启用并打开“Windows防火墙,进入高级设置,在入站规则新建规则。

勒索病毒WannaCry针对服务器及其内部网络操作指引

 

 

2、使用速修复工具(规避措施)

   方法:

http://pan.baidu.com/s/1pLe64mn

 

3、修复系统漏洞(彻底修复SMB漏洞)

方法:

升级微软针对MS17-010的漏洞补丁,建议采用U盘拷贝补丁、手动更新方法完成(避免自动更新上网时带来的交叉传染隐患)。并且建议补丁下载也在相对安全的环境中进行。微软补丁参考列表如下:https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx

建议优先下载微软官方的补丁,如果部分补丁可能会存在下载速度较慢的情况,我司整理微软补丁并提供下载的参考如下:

https://wx.xyclouds.com/static/bjsec/patch.zip

 

影响及可能的问题:

    1、上述方案1和方案2SMB漏洞的规避方案,隐患得到规避的同时会导致系统某些服务将停止,例如:打印机、共享文件夹等应用。

    2、方案3SMB漏洞的彻底修复方案,不会对业务员造成影响。

 

 

 


推荐阅读:
  1. 防范勒索病毒
  2. 亲历WannaCry变种病毒

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

服务器 解决方案 网络连接

上一篇:本地策略、域策略

下一篇:Java:优雅地处理异常真是一门学问啊!

相关阅读

您好,登录后才能下订单哦!

密码登录
登录注册
其他方式登录
点击 登录注册 即表示同意《亿速云用户服务条款》