永利澳门网投平台news

蠕虫勒索病毒全球作

国内大量高校及企事业单位被打击

2017年5月12日晚上20时左右,全球作大范围蠕虫勒索软件熏染事件,用户只要开机上网就可被打击。五个小时内,包罗英国、俄罗斯、整个欧洲以及国内多个高校校内网、大型企业内网和政府机构专网中招,被勒索支付高额赎金才华解密恢复文件,这场打击甚至造成了国内大量教学系统瘫痪,包罗校园一卡通系统。

面对病毒,别担心,永利澳门网投平台人在守护!

永利澳门网投平台客服:在线咨询 论坛咨询 010-82616666 (7X24: 18600176950 / 15611628752)

开机指南    免疫东西    免疫东西+杀软    恢复东西

内网用户免疫病毒要领

WanaCrypt的主步伐启动时,首先会访问 iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com 或 fferfsodp9ifjaposdfjhgosurijfaewrwergwea.com 如果可以访问,则会停止事情。

目前该域名已经被注册,在互联网环境下,WanaCrypt应该已经不再起效。对付无法连接互联网的用户,可以在本地网络环境中增加该域名的解析,起到抑WanaCrypt活性的作用。或者在本机修改host文件,让该域名指向任意有效HTTP办事,都可以起到“免疫”的效果。无法连接互联网的用户需要自己手工修改指向一个内部可访问的HTTP办事,防毒墙可以在拦截到这个HTTP请求时返回乐成信息。

永利澳门网投平台所有产物解决方案

一、永利澳门网投平台终端宁静产物解决方案

永利澳门网投平台杀毒软件网络版查杀截图:

永利澳门网投平台宁静云查杀截图:

1. 更新微软MS17-010漏洞补丁,对应差别系统的补丁号比较表:

系统 补丁号 补丁下载地址
Windows XP SP3 KB4012598 http://softdown.rising.net.cn/soft/windows/MS17/MS17-010/File/windowsxp-kb4012598-x86-custom-chs_dca9b5adddad778cfd4b7349ff54b51677f36775.exe
Windows XP x64 SP2 KB4012598 http://softdown.rising.net.cn/soft/windows/MS17/MS17-010/File/windowsserver2003-kb4012598-x64-custom-enu_f24d8723f246145524b9030e4752c96430981211.exe
Windows 2003 SP2 KB4012598 http://softdown.rising.net.cn/soft/windows/MS17/MS17-010/File/windowsserver2003-kb4012598-x86-custom-chs_b45d2d8c83583053d37b20edf5f041ecede54b80.exe
Windows 2003 x64 SP2 KB4012598 http://softdown.rising.net.cn/soft/windows/MS17/MS17-010/File/windowsserver2003-kb4012598-x64-custom-chs_68a2895db36e911af59c2ee133baee8de11316b9.exe
Windows Vista Windows Server 2008 KB4012598 http://softdown.rising.net.cn/soft/windows/MS17/MS17-010/File/windows6.0-kb4012598-x86_13e9b3d77ba5599764c296075a796c16a85c745c.msu http://softdown.rising.net.cn/soft/windows/MS17/MS17-010/File/windows6.0-kb4012598-x64_6a186ba2b2b98b2144b50f88baf33a5fa53b5d76.msu
Windows 7 Windows Server 2008 R2 KB4012212 http://softdown.rising.net.cn/soft/windows/MS17/MS17-010/File/windows6.1-kb4012212-x86_6bb04d3971bb58ae4bac44219e7169812914df3f.msu http://softdown.rising.net.cn/soft/windows/MS17/MS17-010/File/windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu
KB4012215 http://softdown.rising.net.cn/soft/windows/MS17/MS17-010/File/windows6.1-kb4012215-x86_e5918381cef63f171a74418f12143dabe5561a66.msu http://softdown.rising.net.cn/soft/windows/MS17/MS17-010/File/windows6.1-kb4012215-x64_a777b8c251dcd8378ecdafa81aefbe7f9009c72b.msu
Windows 8.1 KB4012213 http://softdown.rising.net.cn/soft/windows/MS17/MS17-010/File/windows8.1-kb4012213-x86_e118939b397bc983971c88d9c9ecc8cbec471b05.msu http://softdown.rising.net.cn/soft/windows/MS17/MS17-010/File/windows8.1-kb4012213-x64_5b24b9ca5a123a844ed793e0f2be974148520349.msu
KB4012216 http://softdown.rising.net.cn/soft/windows/MS17/MS17-010/File/windows8.1-kb4012216-x86_d4facfdaf4b1791efbc3612fe299e41515569443.msu http://softdown.rising.net.cn/soft/windows/MS17/MS17-010/File/windows8.1-kb4012216-x64_cd5e0a62e602176f0078778548796e2d47cfa15b.msu
Windows Server2012 KB4012214 http://softdown.rising.net.cn/soft/windows/MS17/MS17-010/File/windows8-rt-kb4012214-x64_b14951d29cb4fd880948f5204d54721e64c9942b.msu
KB4012217 http://softdown.rising.net.cn/soft/windows/MS17/MS17-010/File/windows8-rt-kb4012217-x64_96635071602f71b4fb2f1a202e99a5e21870bc93.msu
Windows Server2012 R2 KB4012213 http://softdown.rising.net.cn/soft/windows/MS17/MS17-010/File/windows8.1-kb4012213-x64_5b24b9ca5a123a844ed793e0f2be974148520349.msu
KB4012216 http://softdown.rising.net.cn/soft/windows/MS17/MS17-010/File/windows8.1-kb4012216-x64_cd5e0a62e602176f0078778548796e2d47cfa15b.msu
Windows 10 KB4012606 http://softdown.rising.net.cn/soft/windows/MS17/MS17-010/File/windows10.0-kb4012606-x86_8c19e23de2ff92919d3fac069619e4a8e8d3492e.msu http://softdown.rising.net.cn/soft/windows/MS17/MS17-010/File/windows10.0-kb4012606-x64_e805b81ee08c3bb0a8ab2c5ce6be5b35127f8773.msu
Windows 10 1511 KB4013198 http://softdown.rising.net.cn/soft/windows/MS17/MS17-010/File/windows10.0-kb4013198-x86_f997cfd9b59310d274329250f14502c3b97329d5.msu http://softdown.rising.net.cn/soft/windows/MS17/MS17-010/File/windows10.0-kb4013198-x64_7b16621bdc40cb512b7a3a51dd0d30592ab02f08.msu
Windows 10 1607 KB4013429 http://softdown.rising.net.cn/soft/windows/MS17/MS17-010/File/windows10.0-kb4013429-x86_delta_13d776b4b814fcc39e483713ad012070466a950b.msu http://softdown.rising.net.cn/soft/windows/MS17/MS17-010/File/windows10.0-kb4013429-x64_delta_24521980a64972e99692997216f9d2cf73803b37.msu

ESM版: 2.0.1.29

10网络版:22.04.63.50

11网络版:23.00.11.85

12网络版:24.00.12.60

13网络版:25.00.03.35

以上版本带的漏洞扫描成果已经可以支持以上补丁。

2. ESM产物安装了行为审计、防火墙组件的用户可以设置防火墙规矩(XP或非XP系统都可以)

使用行为审计\IP规矩计谋,设置端口规矩

  • 启用端口规矩,凭据需要考虑是否勾选“阻止访问时通知用户”
  • 从右边增加一条新端口规矩,勾选离线生效
  • 选择“单个端口”,并设置端口号为445
  • 协议选择TCP,偏向选择入站
  • 注意“允许联网”不要勾选,体现拒绝访问

3. 网络版产物设置防火墙规矩

通过控制,给组设置防火墙组规矩,右键组,出操纵菜单,设置防火墙规矩

特别注意“通例”里一定要选择“禁止”,协议里协议类型选TCP,对方端口选任意端口,本地端口选指定端口,并填445

4. 使用公安专版或只有杀毒模块的用户

永利澳门网投平台杀毒软件会进行病毒库紧急升级,用来查杀相应的病毒。 因为公安专版、单杀毒模块产物上就即不带漏洞补丁修复,又不带防火墙成果,所以请使用公安网内部的其他方法安装系统补丁或配置防火墙规矩(也可参考下一条说明方案)进行防备步伐。

5. 没有防火墙成果的用户,可以在终端上执行以下命令

netsh firewall set opmode enable

netsh advfirewall firewall add rule name="deny445" dir=in protocol=tcp localport=445 action=block

netsh advfirewall firewall add rule name="deny139" dir=in protocol=tcp localport=139 action=block

netsh firewall set portopening protocol=TCP port=445 mode=disable name=deny445

netsh firewall set portopening protocol=TCP port=139 mode=disable name=deny139

也可以将上述命令生存为.bat批处理惩罚文件,治理员权限直接运行,制作.bat批处理惩罚文件要领:

  • 新建一个文本文件
  • 把上述命令拷贝到文件里,并生存
  • 重命名.txt后缀改为.bat

二、永利澳门网投平台云宁静产物解决方案

(一)封闭系统445文件共享端口

1、安装了永利澳门网投平台虚拟化系统宁静软件最新版windows宁静防护终端的用户可以在 “网络防护”成果中增加新的“IP规矩”以封闭445端口,防备黑客通过445端口共享入侵熏染系统。具体步调如下:

开启windows宁静防护终端的“网络防护”成果

在“IP规矩”中增加禁用共享445端口的规矩设置

亦可通过永利澳门网投平台虚拟化系统宁静软件治理中心进行规矩设置

通过系统治理中心的终端治理对终端规矩进行设置

设置终端的“IP规矩”

增加禁用共享445端口的规矩设置

注:此设置要领也可应用于计谋模板生成,生成的模板可以批量应用于环境内的所有终端。

2、使用了永利澳门网投平台虚拟化系统宁静软件华为无署理防火墙的用户,亦可通过增加防火墙规矩,封闭445共享端口,实现无署理网络宁静防护。设置要领如下:

增加无署理防火墙禁用共享445端口的规矩

3、如果没有使用永利澳门网投平台虚拟化系统宁静软件的网络防护成果,也可接纳以下临时解决方案暂时缓解宁静问题:

A.打开“Windows防火墙”,在“高级设置”的入站规矩里禁用“文件和打印机共享”相关规矩。

B.或通过在终端上执行命令封闭445端口共享,命令如下:

netsh firewall

set opmode enable

netsh advfirewall

firewall add rule name=”deny445” dir=in protocol=tep localport=445 action=block

通过治理员权限直接运行即可。

(二)针对SMB远程代码执行漏洞进行补丁修补

1、通过修补Microsoft 宁静通告 MS17-010 - 严重宁静漏洞补丁https://technet.microsoft.com/zh-cn/library/security/MS17-010,解决黑客利用SMB的远程代码执行漏洞熏染计算机的问题。

对应操纵系统漏洞补丁编号如下:

系统补丁号
Windows Vista/ Windows Server 2008KB4012598
Windows 7/ Windows Server 2008 R2KB4012212/KB4012215
Windows 8.1KB4012213/KB4012216
Windows Server2012KB4012214/KB4012217
Windows Server2012 R2KB4012213/KB4012216
Windows 10KB4012606
Windows 10 1511KB4013198
Windows 10 1607KB4013429

2、如果担心补丁稳定性问题,亦可通过如下步调临时缓解部分系统问题:

通过运行终端命令封闭SMB

适用于运行Windows XP的客户解决要领

net stop rdr

net stop srv

net stop netbt

适用于运行 Windows 8.1 或 Windows Server 2012 R2 及更高版本的客户的替代要领

对付客户端操纵系统:

1、打开“控制面板”,单击“步伐”,然后单击“打开或封闭 Windows 成果”。

2、在“Windows 成果”窗口中,清除“SMB 1.0/CIFS 文件共享支持”复选框,然后单击“确定”以封闭此窗口。

3、重启系统。

对付办事器操纵系统:

1、打开“办事器治理器”,单击“治理”菜单,然后选择“删除角色和成果”。

2、在“成果”窗口中,清除“SMB 1.0/CIFS 文件共享支持”复选框,然后单击“确定”以封闭此窗口。

3、重启系统。

受此临时缓解要领的影响。目标系统上将禁用 SMBv1 协议。

有很多用户无法第一时间获取种种补丁,或者由于重要业务无法中断,无法安装补丁,还有很多用户不肯封闭自身的445端口文件共享以及SMB,同时又不希望自己被Wannacry影响环境内的宁静,如果用户已经摆设了永利澳门网投平台虚拟化系统宁静软件,那么可以通过开启入侵防备规矩,有效解决此次Wannacry宁静威胁,同时不影响当前环境的稳定性。

用户可以在宁静防护终端本地开启IPS规矩。

或者在永利澳门网投平台虚拟化系统宁静软件治理中心为需要掩护的系统开启IPS防护规矩

虽然如果用户的数据中心使用的是永利澳门网投平台虚拟化系统宁静软件的无署理网络防护成果,永利网投下载亦可为用户提供无署理网络防护内的IPS防护成果,通过永利澳门网投平台虚拟化系统宁静软件治理中心为云环境内的虚拟机设置无署理IPS规矩,解决数据中心内部的微分段网络内的宁静风险。

(三)将防病毒软件病毒库更新至最新版本解决系统内的WannaCry勒索病毒。

对付已经摆设永利澳门网投平台虚拟化系统宁静软件子产物的用户,可以将宁静防护产物更新至2.0.0.40版本(病毒库版本:29.0513.0001)以上,即可解决本地存在的Wannacry勒索病毒。

用户亦可在更新至最新版本后通知数据中心或治理中心内全部环境上的子产物进行全盘查杀,已解决当前环境内的全部Wannacry宁静威胁。

勒索病毒已经存在很久,并且已经成为最具威胁的恶意代码,由于黑客通过勒索软件可以获取大量的利益,因此,勒索软件的变种速度也极快,给各大宁静厂商带来很多的麻烦,此次勒索软件使用的445共享端口,SMB远程执行漏洞,都是已知的宁静缺陷或是宁静漏洞,并且微软也已经布了相应的宁静补丁,所以提升宁静防护意识,才是解决宁静风险的第一要素。


三、永利澳门网投平台网关宁静产物解决方案

(一)永利澳门网投平台导线式防毒墙防护要领

永利澳门网投平台导线式防毒墙查杀截图:

登录导线式防毒墙WEB治理界面,进入【系统治理】》【宁静加固】菜单,选择"系统补丁升级"页面,使用永利澳门网投平台官网最新布的系统补丁对导线式防毒墙进行系统升级,如图所示:

登录导线式防毒墙WEB治理界面,进入【系统治理】》【宁静加固】菜单,选择"病毒库升级",使用永利澳门网投平台官网最新布的病毒库升级包,对导线式防毒墙进行病毒库的升级,最新版本的病毒库中已经加入了对勒索病毒种种变种病毒文件的检测,完成病毒库升级可以有效的检测并阻断勒索病毒文件的播,如图所示:

打开导线式防毒墙的【配置治理】》【高级配置】菜单,选择"查毒计谋"配置页面,对导线式防毒墙的查毒计谋进行配置,启用蠕虫病毒检测成果和免疫勒索病毒的处理惩罚,启用后,导线式防毒墙将阻断拦截蠕虫病毒和所有经过防毒墙 TCP 445端口的出站、入站请求,如下图所示:

(二)永利澳门网投平台UTM2.0防毒墙防护要领

永利澳门网投平台UTM防毒墙查杀截图:

登录永利澳门网投平台UTM2.0防毒墙WEB治理界面,进入【系统治理】》【系统维护】菜单,选择"软件升级"标签页,使用永利澳门网投平台官网最新布的病毒库升级包,对UTM2.0防毒墙进行病毒威胁库的升级,最新版本的病毒威胁库中已经加入了对勒索病毒种种变种病毒文件的检测,完成病毒库升级可以有效的检测并阻断勒索病毒文件的播,如图所示:

打开【防火墙】》【宁静计谋配置】菜单,选择"宁静计谋配置"标签页,在宁静计谋中点击"增加"添加一条宁静计谋,如图所示:

在新增的宁静计谋配置窗口中,选择办事内容配置项,在下拉菜单最下方选择【增加】,如下图所示:

新增一个办事东西,办事东西的配置如下图所示:

点击"确定"后,宁静计谋中办事内容将会增加一个勒索病毒防护的办事东西,如下图所示,选择新增的办事东西并点击"确定"完成防火墙宁静计谋的加。

回"宁静计谋配置"页面,勾选新增加的宁静计谋,点击"启用"按钮完成宁静计谋的启用,如下图所示,启用乐成后,新增宁静计谋的状态变为

(三)永利澳门网投平台下一代防毒墙防护要领

永利澳门网投平台下一代防毒墙查杀截图:

登录永利澳门网投平台下一代防毒墙WEB治理界面,进入【系统治理】》【软件升级】菜单,使用永利澳门网投平台官网最新布的病毒库升级包,对下一代防毒墙进行病毒威胁库的升级,最新版本的病毒威胁库中已经加入了对勒索病毒种种变种病毒文件的检测,完成病毒库升级可以有效的检测并阻断勒索病毒文件的播,如图所示:

打开【计谋配置】》【宁静计谋】菜单,点击屏幕下方的"新增"按钮,增加一条新的宁静计谋,如下图所示,在通例配置标签中,在办事内容下拉菜单最下方点击"添加"增加一条办事东西。

配置指定的协议和端口,如下图所示,点击"确定"完成办事东西的增加。

完成增加后在办事东西中选择新增的这条办事东西,如下图所示:

切换到"其他配置"标签页,将宁静计谋的处理惩罚行动设置为“拒绝”,如下图所示。

配置完成后,点击“确定”完成计谋的增加。

返回宁静计谋列表,勾选新增的宁静计谋,点击下方的"启用"按钮,完成计谋的启用,如下图所示,启用乐成后,宁静计谋状态会变为

(四)永利澳门网投平台网络宁静预警系统全面监控

永利澳门网投平台网络宁静预警系统监控截图:

永利澳门网投平台网络宁静预警系统用户只需升级到最新版本,即可全面监控“永恒之蓝”勒索病毒的全网播及熏染情况。


四、临时解决方案及建议

1、Win7、Win 8.1、Win 10用户,尽快安装微软MS17-010的官方补丁。https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx

2、Windows XP用户,点击开始-》运行-》输入cmd,确定。在弹出的命令行窗口中输入下面三条命令以封闭SMB。

net stop rdr

net stop srv

net stop netbt

3、升级操纵系统的处理惩罚方法:建议宽大用户使用自动更新升级到Windows的最新版本。

4、在界限出口交换路由设备禁止外网对校园网135/137/139/445端口的连接。

5、在校园网络核心主干交换路由设备禁止135/137/139/445端口的连接。

6、及时升级操纵系统到最新版本;

7、勤做重要文件非本地备份;

8、停止使用Windows XP、Windows 2003等微软已不再提供宁静更新的操纵系统。

技术阐发

据永利澳门网投平台反病毒监测网监测, 这是非法分子通过改革之前泄露的NSA黑客武器库中“永恒之蓝”打击步伐起的网络打击事件。“永恒之蓝”通过扫描开放445文件共享端口的Windows电脑甚至是电子信息屏,无需用户进行任何操纵,只要开机联网,非法分子就能在电脑和办事器中植入勒索软件、远程控制木马、虚拟货币挖矿机等一系列恶意步伐。

利用445文件共享端口实施破坏的蠕虫病毒,曾多次在国内作。因此,运营商很早就针对小我私家用户将445端口封闭,但是教育网并未作此限制,仍然存在大量开放的445端口。据有关机构统计,目前国内平均每天有5000多台电脑遭到NSA“永恒之蓝”黑客武器的远程打击,教育网已成重灾区!

永利澳门网投平台宁静专家阐发:该勒索软件利用了微软SMB远程代码执行漏洞CVE-2017-0144,微软已在今年3月份布了该漏洞的补丁。2017年4月黑客组织影子经纪人(Shadow Brokers)宣布的方程式组织(Equation Group)使用的“EternalBlue”中包罗了该漏洞的利用步伐,而该勒索软件的打击者在借鉴了该“EternalBlue”后进行了这次全球性的大范围勒索打击事件。

具体病毒行为阐发

WannaCry勒索病毒 通过windows操纵系统漏洞EternalBlue永恒之蓝 起打击。3月14 微软已经布补丁,由于很多受害者没有及时安装补丁,导致被病毒打击,计算机中的文件被加密。

1. 病毒伪装为Windows系统文件

图:伪装系统文件

2. 病毒会删除windows自动备份 无法还原被加密的文件

图:删除备份

3. 病毒会加密指定类型的文件

图:加密的文件类型

4. 加密后的文件添加后缀 .WNCRYT

图:加密的文件类型

5. 释放病毒文件

释放到C:\ProgramData\dhoodadzaskflip373目录下

图:释放的病毒

6. 伪装为系统办事

图:伪装为办事

7. 修改桌面配景 显示勒索信息

图:勒索信息

8. 作者的比特币钱包地址

图:比特币钱包地址

“永恒之蓝”WannaCry勒索病毒阐发陈诉

Q&A

Q:请详细介绍一下此次事件?

A:2017年5 月12 日晚上20 时左右,全球作大范围蠕虫勒索软件熏染事件,用户只要开机上网就可被打击。五个小时内,包罗英国、俄罗斯、整个欧洲以及国内多个高校校内网、大型企业内网和政府机构专网中招,被勒索支付高额赎金(有的需要比特币)才华解密恢复文件,这场打击甚至造成了国内大量教学系统瘫痪,包罗校园一卡通系统。


Q:影响范畴如何?

A:仅仅几个小时内,该勒索软件已经打击了99个国家近万台电脑。英国、美国、俄罗斯、德国、土耳其、意大利、中国、菲律宾等国家都已中招。且打击仍在蔓延。据报道,勒索打击导致16家英国医院业务瘫痪,西班牙某电信公司有85%的电脑熏染该恶意步伐。至少1600家美国组织,11200家俄罗斯组织和6500家中国组织和企业都受到了打击。


Q:勒索病毒是如何播的?

A:据永利澳门网投平台反病毒监测网监测,这是非法分子通过改革之前泄露的NSA黑客武器库中“永恒之蓝”打击步伐起的网络打击事件。“永恒之蓝”通过扫描开放445文件共享端口的Windows电脑甚至是电子信息屏,无需用户进行任何操纵,只要开机联网,非法分子就能在电脑和办事器中植入勒索软件、远程控制木马、虚拟货币挖矿机等一系列恶意步伐。

利用445文件共享端口实施破坏的蠕虫病毒,曾多次在国内作。因此,运营商很早就针对小我私家用户将445端口封闭,但是教育网并未作此限制,仍然存在大量开放的445端口。据有关机构统计,目前国内平均每天有5000多台电脑遭到NSA“永恒之蓝”黑客武器的远程打击,教育网已成重灾区!

永利澳门网投平台宁静专家阐发:该勒索软件利用了微软SMB远程代码执行漏洞CVE-2017-0144,微软已在今年3月份布了该漏洞的补丁。2017年4月黑客组织影子经纪人(Shadow Brokers)宣布的方程式组织(Equation Group)使用的“EternalBlue”中包罗了该漏洞的利用步伐,而该勒索软件的打击者在借鉴了该“EternalBlue”后进行了这次全球性的大范围勒索打击事件。


Q:加密的文档类型有哪些?

A:


Q:用户有什么调停步伐和建议吗?

A:1、Win7、Win 8.1、Win 10用户,尽快安装微软MS17-010的官方补丁。https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx

2、Windows XP用户,点击开始-》运行-》输入cmd,确定。在弹出的命令行窗口中输入下面三条命令以封闭SMB。

net stop rdr

net stop srv

net stop netbt

3、 升级操纵系统的处理惩罚方法:建议宽大用户使用自动更新升级到Windows的最新版本。

4、在界限出口交换路由设备禁止外网对校园网135/137/139/445端口的连接。

5、在校园网络核心主干交换路由设备禁止135/137/139/445端口的连接。

6、及时升级操纵系统到最新版本;

7、勤做重要文件非本地备份;

8、停止使用Windows XP、Windows 2003等微软已不再提供宁静更新的操纵系统。


Q:用户已经中毒怎么办?

A:首先立即断网,如电脑中有需要恢复的重要文件,则立即联系专业宁静厂商,期待解决方案,永利澳门网投平台客服紧急联系方法:在线咨询 / 010-82616666 (7X24小时:18600176950 / 15611628752)

相关报道

永利澳门网投平台微信

小我私家

企业

永利澳门网投平台