? ? ? 北京時間2017年5月12日，全球爆發(fā)大規(guī)模勒索軟件感染事件，截止到目前，已有近百個國家超過10萬家企業(yè)和公共組織數(shù)十萬臺機器感染。國內(nèi)被感染的組織和機構(gòu)幾乎覆蓋了所有地區(qū)，影響范圍遍布高校、火車站、自助終端、郵政、加油站、醫(yī)院、政府辦事終端等多個領(lǐng)域，被感染的電腦數(shù)字還在不斷增長中。一旦被感染，電腦中的文檔、圖片、壓縮包、音頻、視頻、可執(zhí)行程序等幾乎所有類型的文件都會被加密，目前業(yè)內(nèi)也沒有解決方案對其解密還原，主流方案也以防御為主。

? ? ? 遠望信息將持續(xù)報告事件動態(tài)，本文基于“遠望在行動（一）”對解決方案進行了更新細化。

? ? ??上期鏈接：http://mp.weixin.qq.com/s/AkUoITTP0GkwdSP6uavtXQ

“周一”個人電腦開機指南

? ? ? 由于該事件發(fā)生在周末，個人電腦都處于關(guān)機狀態(tài)，感染對象以服務(wù)器為主，周一上班后個人電腦均會開機，我們需要做好開機預案，規(guī)避風險。

? ? ??1.1 直接拔掉網(wǎng)線，筆記本電腦還需關(guān)閉無線網(wǎng)卡，如無法關(guān)閉無線網(wǎng)卡，應在撥出網(wǎng)線后，關(guān)閉所連接的無線路由器。

? ? ? 1.2 準備大容量的移動U盤或者光盤。

? ? ? 1.3 開機后使用相應的免疫工具，禁用系統(tǒng)服務(wù)、修改hosts文件、設(shè)置ipsec本地組策略等多種方式對勒索軟件WannaCry的傳播途徑進行有效阻斷。

? ? ??1.4 完成免疫后，再使用專殺工具，對已經(jīng)感染的電腦進行勒索軟件的清除。

? ? ? 1.5 如已被感染，可使用文件恢復工具，對加密文件進行恢復處理。

? ? ??（如需上述工具，請聯(lián)系遠望信息技術(shù)人員。）

已部署遠望終端安全監(jiān)管防護系統(tǒng)解決方案

? ? ? 遠望信息從預防和控制兩方面入手，有效阻止“WannaCry”的繼續(xù)侵入及蔓延。

1 預防

1.1 阻止擴散

? ? ??從管理界面打開“防火墻”策略，并按如下配置后分配到所有設(shè)備。

1.2 分發(fā)修復工具

? ? ? 通過文件分發(fā)下發(fā)免疫工具、專殺工具，并開啟默認執(zhí)行。

2 控制

2.1 減少感染途徑

? ? ? 從管理界面打開“外設(shè)控制”策略，并按如下配置后分配到所有設(shè)備，減少通過USB移動存儲設(shè)備的感染風險。

2.2 評估感染面

? ? ??從管理界面打開“進程運行檢查”策略，并按如下配置后分配到所有設(shè)備。禁止運行的進程名稱：mssecsvc.exe、tasksche.exe、tor.exe、taskdl.exe、taskse.exe、@[email protected]。

? ? ? 當系統(tǒng)檢測到上述進程后，自動斷開電腦的網(wǎng)絡(luò)連接，避免擴散。

未部署遠望終端安全監(jiān)管防護系統(tǒng)解決方案

1.1 端口開放檢查

? ? ? 開始---->運行---->cmd，或者是window+R組合鍵，調(diào)出命令窗口，輸入命令：netstat -ano，列出所有端口的情況。在列表中我們觀察開放的445端口。

1.2 本地防火墻配置方法（禁止135、137、139、445端口的連接）

? ? ? 本地防火墻配置需要逐臺設(shè)備調(diào)整，步驟如下：

1.3 手動安裝補丁

? ? ??微軟官方地址：https://technet.microsoft.com/library/security/MS17-010

? ? ? 百度云盤：http://pan.baidu.com/s/1nuSzjGP

? ? ??由于本次WannaCry蠕蟲事件的巨大影響，微軟總部發(fā)布XP和部分服務(wù)器版特別補丁：

? ? ??https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-f

1.4 做好重要文件的備份工作（非本地備份）

1.5 如無需使用共享服務(wù)建議關(guān)閉該服務(wù)

右擊網(wǎng)絡(luò)圖標，點屬性

點擊更改高級共享設(shè)置

有專網(wǎng)、來賓或公網(wǎng)、所有網(wǎng)絡(luò)三項

都進行關(guān)閉即可

1.6 注冊域名

? ? ??最新分析結(jié)論表明，“WannaCry”的觸發(fā)機制為是否能訪問iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com，如果訪問成功，則不會觸發(fā)勒索功能。根據(jù)此結(jié)論，網(wǎng)絡(luò)管理人員可以通過在內(nèi)部網(wǎng)絡(luò)搭建DNS Server，將iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com域名地址解析到內(nèi)網(wǎng)WEB Server的IP地址，同時WEB Server可以接受該域名的連接請求，從而實現(xiàn)免疫。同時，也可以監(jiān)測內(nèi)網(wǎng)訪問該域名的用戶IP地址和用戶數(shù)量統(tǒng)計出內(nèi)部用戶的感染情況。該方法對“WannaCry2.0”無效