search
應急指南|新一輪勒索病毒來襲,小白用戶看這裡

應急指南|新一輪勒索病毒來襲,小白用戶看這裡

雷鋒網宅客頻道招人了!我們需要若干對網路安全、雲有興趣,具有探索精神,對黑客與白帽子文化有一定了解的作者(官方職位是編輯)加入「宅客頻道」報道團隊。如果你有一定文字功底,文風活潑就更好了!工作地點:北京。我們將提供給你的是:與各大安全公司、各路黑客大牛親密接觸的機會+與你的工作相匹配的薪水。簡歷投遞至:liqin@leiphone.com。歡迎關注公眾號「宅客頻道」。

6月27日晚上9點多,雷鋒網發現,歐洲遭到新一輪的未知病毒的衝擊,英國、烏克蘭、俄羅斯等都受到了不同程度的影響。據悉,該病毒和勒索軟體很類似,都是遠程鎖定設備,然後索要贖金。

經確認,該病毒名為 Petya(后被卡巴斯基反轉,認為應叫「ExPetr」),釆用(CVE-2017-0199)RTF漏洞進行釣魚攻擊,用(MS17-010)SMB漏洞進行內網傳播,都有補丁。䃼丁地址如下,

此外,各安全廠商也出具了應急處理措施,以下是宅客對部分方案的匯總:

1. 騰訊電腦管家+騰訊雲鼎實驗室

騰訊電腦管家已緊急響應,並已經確認病毒樣本通過永恆之藍漏洞傳播,開啟騰訊電腦管家可以防禦petya勒索病毒,還可全面防禦所有已知的變種和其他勒索病毒;此外,漏洞檢測能力也得到升級,加入了NSA武器庫的防禦,可以抵禦絕大部分NSA武器庫泄漏的漏洞的攻擊。

騰訊雲鼎實驗室:可以採用以下方案進行防護和查殺——

騰訊雲用戶請確保安裝和開啟雲鏡主機保護系統,雲鏡可對海量主機集中管理,進行補丁修復,病毒監測。

更新EternalBlue&CVE-2017-0199對應漏洞補丁

終端用戶使用電腦管家進行查殺和防護

電腦管家已支持對EternalBlue的免疫和補丁修復,也支持對該病毒的查殺,可以直接開啟電腦管家進行防護和查殺。

2. 360

安全操作提示

從目前掌握的情況來看:

  • 不要輕易點擊不明附件,尤其是rtf、doc等格式,可以安裝360天擎(企業版)和360安全衛士(個人版)等相關安全產品進行查殺。

  • 及時更新windows系統補丁,具體修復方案請參考「永恆之藍」漏洞修復工具。

  • 內網中存在使用相同賬號、密碼情況的機器請儘快修改密碼,未開機的電腦請確認口令修改完畢、補丁安裝完成後再進行聯網操作。

360企業安全天擎團隊開發的勒索蠕蟲漏洞修復工具,可解決勒索蠕蟲利用MS17-010漏洞帶來的安全隱患。此修復工具集成免疫、SMB服務關閉和各系統下MS17-010漏洞檢測與修復於一體。可在離線網路環境下一鍵式修復系統存在的MS17-010漏洞,工具下載地址:http://b.360.cn/other/onionwormfix

緩解措施

關閉TCP 135埠

建議在防火牆上臨時關閉TCP 135埠以抑制病毒傳播行為。

停止伺服器的WMI服務

WMI(Windows Management Instrumentation Windows 管理規範)是一項核心的 Windows 管理技術 你可以通過如下方法停止 :在服務頁面開啟WMI服務。在開始-運行,輸入services.msc,進入服務。或者,在控制面板,查看方式選擇大圖標,選擇管理工具,在管理工具中雙擊服務。

在服務頁面,按W,找到WMI服務,找到后,雙擊 ,直接點擊停止服務即可,如下圖所示:

3. 阿里雲

目前勒索者使用的郵箱已經被關停,不建議支付贖金。

所有在IDC託管或自建機房有伺服器的企業,如果採用了Windows操作系統,立即安裝微軟補丁。

對大型企業或組織機構,面對成百上千台機器,最好還是使用專業客戶端進行集中管理。比如,阿里雲的安騎士就提供實時預警、防禦、一鍵修復等功能。

可靠的數據備份可以將勒索軟體帶來的損失最小化。建議啟用阿里雲快照功能對數據進行備份,並同時做好安全防護,避免被感染和損壞。

4. 安天

影響操作系統:「必加」(Petya)勒索軟體影響操作系統:Windows XP及以上版本;

如未被感染

郵件防範

1)由於此次「必加」(Petya)勒索軟體變種首次傳播通過郵件傳播,所以應警惕釣魚郵件。建議收到帶不明附件的郵件,請勿打開;收到帶不明鏈接的郵件,請勿點擊鏈接。

2)更新操作系統補丁(MS)

3)更新Microsoft Office/WordPad遠程執行代碼漏洞(CVE-2017-0199)補丁

4)禁用WMI服務

禁用操作方法:https://zhidao.baidu.com/question/91063891.html

5)更改空口令和弱口令

如操作系統存在空口令或弱口令的情況,請及時將口令更改為高強度的口令。

6)免疫工具

安天開發的「魔窟」(WannaCry)免疫工具,針對此次事件免疫仍然有效。

下載地址:http://www.antiy.com/tools.html

如已被感染

1)如無重要文件,建議重新安裝系統,更新補丁、禁用WMI服務、使用免疫工具進行免疫。

2)有重要文件被加密,如已開啟Windows自動鏡像功能,可嘗試恢復鏡像;或等待後續可能出現解密工具。

藍字查看更多精彩內容

探索篇

真相篇

人物篇

更多精彩正在整理中……

---

「喜歡就趕緊關注我們」

宅客『Letshome』

雷鋒網旗下業界報道公眾號。

專註先鋒科技領域,講述黑客背後的故事。

並識別關注

熱門推薦

本文由 一點資訊 提供 原文連結

一點資訊
寫了5860316篇文章,獲得23261次喜歡
留言回覆
回覆
精彩推薦