手把手教:WannaCry勒索蠕虫最新、最全应对步骤

北京时间2017年5月12日20时左右,全球爆发大规模勒索软件感染事件,医院、学校为受攻击的重灾区。






✖该勒索软件通过利用 MS17-010来自行传播。这是一个 SMB 漏洞,可导致任意代码执行(https://technet.microsoft.com/en-us/library/security/ms17-010.aspx)。漏洞利用代码在很多站点都有提供。
✖传播手段:病毒会渗透到未打补丁的Windows计算机中,实现大规模迅速传播。 一旦你所在组织中一台计算机受攻击,蠕虫会迅速寻找其他有漏洞的电脑并发起攻击。

事件至此,东软NetEye提醒您,千万别方(慌),无论你是政府、企业机构的IT管理员,还是个人PC使用者,接下来为你送上详细的应对方法。


一、已使用东软NetEye安全产品的机构

为了防御勒索病毒,东软网络安全防火墙补充了能够抵御ms17-010漏洞的检测规则,紧急制作针对100200、200800、200400/200450、700300等四种版本防火墙的IPS升级包。如果您目前使用的东软防火墙不是上面的四种版本,可直接阅读第二部分:未使用东软NetEye安全产品的机构或个人的解决方法。



漏洞ID

CVE

漏洞名称

39617

CVE-2017-0143,CVE-2017-0144,CVE-2017-0145,CVE-2017-0146,CVE-2017-0147,CVE-2017-0148

SMB任意执行代码漏洞ms17-010

可以以手动或自动的方式进行对应版本升级包的更新。升级包对应文件名以及版本号为:
 

防火墙版本

升级包版本

100200

NetEye_Package_Rule_BACKDOOR_2.1.83

200800

NetEye_Package_Rule_BACKDOOR_1.4.221

200400/

20045

NetEye_Package_Rule_BACKDOOR_1.3.212

700300

NetEye_Package_Rule_BACKDOOR_2.2.36


以上升级包下载(用于手动更新)地址:
链接:http://pan.baidu.com/s/1i48oH9b 密码:zcor

升级步骤:

❶ 200800版本
用户登录防火墙后,依次选择进入UTM->IPS->更新页面,用户可以选择自动升级或手动升级的方式完成升级包的更新。

(1)自动升级方法:连接自动升级服务器,并点击立即更新按钮。


(2)手动升级方法:首先下载200800版本的IPS升级包,存储在本地计算机上,点击上载升级包按钮,进行升级包的更新。 (以下版本同理)

升级成功后防火墙页面会提示升级成功,并且BACKDOOR版本号会更新为1.4.221。


❷ 100200版本
登录防火墙后,依次选择进入UTM->IPS->更新页面,用户可以选择自动升级或手动升级的方式完成升级包的更新。

手动升级过程可参考上方200800版本,同理。
升级成功后防火墙页面会提示升级成功,并且BACKDOOR版本号会更新为2.1.83。

❸ 200400 / 200450版本

登录防火墙后,依次选择进入配置-深度检测-攻击签名-更新页面
用户可以选择自动升级或手动升级的方式完成升级包的更新、升级。

手动升级过程可参考上方200800版本,同理。
升级成功后防火墙页面会提示升级成功,并且BACKDOOR版本号会更新为1.2.212。

❹ 700300版本
用户登录防火墙后,依次选择进入UTM->IPS->更新页面,用户可以选择自动升级或手动升级的方式完成升级包的更新。

手动升级过程可参考上方200800版本,同理。
升级成功后防火墙页面会提示升级成功,并且BACKDOOR版本号会更新为2.2.36。

❺ 规则漏洞验证
成功更新升级包后,在防护配置中能够查询到ms17-010漏洞的相关信息,并且检测动作设置为阻断,以此我们的防火墙会对该漏洞进行有效防护。

二、未使用东软NetEye安全产品的机构或个人

❶ IT管理员:出口防火墙暂时屏蔽445,135,137,139端口 。 方法度娘中有详细步骤指导,可直接搜索~
❷个人电脑防火墙入站和出站规则屏蔽掉445端口。
❸关闭电脑打印机共享
❹关闭SMBv1,适用于运行 Windows 8.1 或 Windows Server 2012 R2 及更高版本的客户
(①-④均为临时应急方案)
❺使用安全厂商的防火墙等相关防护设备,目前东软的入侵检测系统可以有效防御此漏洞的利用。

❻如果以上的都看不懂,且已经中了该病毒,那么请立即断网关机,请专业人士帮忙处理,或直接重做系统。

❼如尚未感染该病毒,可去下载微软已经在三月份发布相关漏洞(MS17-010)修复补丁。
https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx
只需升级对应补丁即可完全不受此病毒影响。