对全球信息安全行业而言,上个周末过得可不轻松。在过去几天之中,包括中国在内的全球100多个国家和地区遭到大规模网络勒索攻击!事件波及医院、高校、企业、政府机构等各个领域。黑客将勒索病毒(WannaCry)、蠕虫病毒(永恒之蓝)与比特币三者相结合,公然向全世界的计算机用户发起了一场史诗级”勒索行动!
用户计算机一旦中毒,其系统中的图片、文档、视频、压缩包等各类数据资料都将被加密锁死,无法正常打开,只有在支付价值300-600美元的比特币赎金后,才能获得有黑客提供的“解密服务”。如果用户拒绝支付赎金,将面临文件、数据被销毁的灾难性后果。就像这次勒索病毒的名字一样——WannaCry,无论谁不幸中招,肯定都“想哭”。
面对突发状况,中国信息安全领军企业北信源迅速组织成立安全应急处置小组,对攻击事件展开持续、深入的调查分析,并在第一时间为用户推出“北信源解决方案”!
北信源安全专家指出,中国在信息安全产品和服务方面的投入相较美国等西方发达国家还有不小的差距。过去,传统病毒多攻击设备,传统信息安全手段主要保护的也是设备!然而,新兴勒索病毒则专门将目标瞄准用户数据信息,再次说明了数据作为无形资产的价值和重要性!勒索病毒、“永恒之蓝”的爆发也为世界信息安全狠狠地敲响了警钟,促使各界更加关注数据安全!
北信源认为,虽然大规模攻击的爆发起始于上周五,但本次事件几时能够完全结束还未可知。根据国家网络与信息安全信息通报中心通报内容,WannaCry勒索病毒的开关域名(Kill Switch)出现新变化,经分析研判,该蠕虫勒索病毒可能会出现多种变种,本周一为病毒新一轮爆发节点。考虑到前两天为周末不上班,如果企业或相关单位管理员未能及时、有效的采取安全防护措施,则确有可能出现一轮延迟爆发。
总而言之,对抗正在进行,对抗还将继续......
一、针对个人用户的解决方案
1、登陆北信源官网指定页面,下载并运行“北信源专杀免疫工具”;病毒查杀过程中,将同时对系统进行免疫。
下载方式:登录北信源官网-于首页导航栏点击进入"解决方案"页面-选择(蠕虫勒索)专杀工具及补丁下载-点击下载"北信源专杀免疫工具"
2、上网或登陆北信源官网指定页面,进行“微软官方系统补丁”更新。
3、启用并打开“Windows防火墙”,进入“高级设置”,在入站规则里禁用“文件和打印机共享”相关规则。关闭UDP135、445、137、138、139端口,关闭网络文件
共享。
二、针对使用北信源内网桌面安全管理平台网管的解决方案
1、登陆北信源官网指定页面,下载“北信源专杀免疫工具”
下载方式:登录北信源官网-于首页导航栏点击进入"解决方案"页面-选择(蠕虫勒索)专杀工具及补丁下载-点击下载"北信源专杀免疫工具"
2、把“北信源专杀免疫工具”上传到服务器,或者将其拷贝到内网服务器的Software目录下,例如:C:\VRV\RegionManage\Distribute\Software。
3、配置文件分发策略如下图
4、通过北信源内网安全管理平台为用户更新MS17-010的微软漏洞补丁
首先,从微软官网下载补丁,或从北信源补丁服务器下载对应补丁;
然后,把补丁上传到服务器,或者把补丁拷贝到内网服务器Software目录下,例如:C:\VRV\RegionManage\Distribute\Software;
最后,通过北信源文件分发策略,分发补丁。
5、企业用户如对网络安全有更高要求,可选择以下操作:
(1)开启协议防火墙策略,自动禁止139,445端口
登陆北信源内网安全管理平台,管理控制中心-基本安全-主机安全策略-协议防火墙策略;
新建策略“协议防火墙策略”,对于标准版本的协议防火墙策略配置如下:
如下图所示:点击添加,并将添加好的策略进行分配;
对于新版本协议防火墙,配置方式如下:
点击添加,并将添加好的策略进行分配;
这样445端口就全部禁用了,139端口添加方式相同;
在防火墙或者交换机上把445端口封堵,具体方法见对应产品操作手册。
(2)开启进程执行监控策略,自动禁止病毒加密进程tasksche.exe和taskche.exe
登陆北信源内网安全管理平台,管理控制中心-基本安全-进程及软件管理-进程执行监控;
新增“进程执行监控策略”策略配置如下: