阿里云
阿里云多端小程序中小企业获客首选
发表主题 回复主题
  • 8796阅读
  • 4回复

[安全漏洞公告专区]【企业IT管理员必读】WanaCrypt0r 2.0和ONION等勒索软件病毒应急处置方案

级别: 论坛版主
发帖
241
云币
478
— 本帖被 正禾 执行提前操作(2017-05-15) —
{ NJ>[mKg  
g4~qc I=a  
近期爆出WanaCrypt0r 2.0、onion以及wallet等后缀的勒索加密事件,影响较大,对于企业的IT管理员和信息安全管理员,阿里安全专家推荐您按照以下举措进行应急响应和处理: @t8kN6.  
q'U5QyuC  
wannacry攻击原理图
qo- F9u1J  
  • 进入到云盾控制台,开通免费版态势感知动检测是否被入侵;
  • 检查服务上是否存在mssecsvc.exe、taskse.exe、tasksche.exe、@WanaDecryptor@.exe 进程或文件(可以打开“任务管理器”或“全盘搜索w文件”),如果存在,请立即结束进程,并查找到文件位置,根据文件创建时间确认文件为非法后,删除文件;
  • 如果发现大面积wannacry蠕虫加密数据并内网传播,请立即断网;
  • 如果发现部分主机疑似被植入了蠕虫,但数据未被加密,强烈建议您使用ECS提供的快照功能立即创建磁盘快照备份;
  • 微软已于2017年3月份修复了此次三个高危的零日漏洞,建议您立即安装相关补丁(域用户建议通过域控紧急推送微软官方的补丁),参见:https://help.aliyun.com/knowledge_detail/52638.html,其中MS17-010为必须安装的补丁,下载链接点击:https://technet.microsoft.com/zh-cn/library/security/MS17-010修复漏洞;
  • 安装防病毒软件(如MSE):https://support.microsoft.com/en-us/help/17466/windows-defender-offline-help-protect-my-pc清理,并同时按照第一步打上补丁;
  • WindowsServer 2003微软官方已经紧急发布针对此次事件的特殊补丁:https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/,因此建议您立即安装相关补丁(域用户建议通过域控紧急推送微软官方的补丁),修复漏洞。
  • 通过安全组策略增加访问控制策略,关闭公网和内网入方向的TCP137、139、445、3389端口(注意,关闭3389端口可能导致无法远程登录服务器,建议您通过ECS的管理终端功能登录管理服务器);
  • 使用以下命令关闭SMB服务:
       关闭SMB服务方案一 :5{@*  
  1. 以管理员身份打开CMD,运行以下命令:
  2. net stop server
  3. sc config lanmanserver start= disabled
    关闭SMB服务方案二       Ch9!AUiR  
    1.请在控制面板>程序>启用或关闭windows功能>取消勾选SMB1.0/CIFS文件共享并重启系统。 #cG479X"  
    2.打开控制面板>查看网络状态和任务>更改适配器设置>右键点击正在使用的网卡后点击属性>取消勾选Microsoft网络文件和打印机共享,重启系统。
  • 检查【内网】入方向是否存在0.0.0.0/0 允许策略,如果存在,建议您备份安全组设置后,尽快删除0.0.0.0/0条目(注意:删除此策略前,请您务必确认内网需要互访的请求已经单独通过安全组策略放行,具体安全组实践您可参考:https://yq.aliyun.com/articles/70403
  • 对于已经被加密的机器目前尚无可靠的解密手段,若有备份,建议您重置系统后使用备份数据进行恢复;
  • 新创建的ECS已经安装了补丁,不受此事件影响,但依然建议您确认高危端口是否对内外网开放;如非必要,建议您参考第四步,关闭相关端口;
1cBhcYv"  
详细方案见:点击阅读 FraW6T}_  
XFTMT'9  
78CJ  
uO(guA,C  
V55J[s*6!  
如果您遇到相关疑问,可以进入阿里云官方控制台提交在线工单,也可随时通过工单或拨打7×24小时服务电话:95187和我们反馈,我们将尽力协助您解决问题 (iOCzZ6S  
感谢您对阿里云的支持! ~hslLUE  
{IHK<aW  
补丁下载: .Pes{uHg  
病毒针对 Windwdos Server 2003 至 2008 R2 必须打补丁。目前 Windwdos Server 2012 R2 至 2016 还没有出现影响情况,但最好还是打上补丁! F}(QKO*  
P`dHR;Y0  
4F,Ql"ae(  
阿里Windows Server 均为正版系统,生产环境 |cGeL[  
!5%5]9'n@*  
/cC6qhkp%  
必开启动更新! #2R%H.*t  
h<1dTl*  
iEVA[xy=D  
务必开启自动更新! |8c:+8  
,&&M|,NQ&s  
g~c|~u(W  
务必开启自动更新! w;@25= |  
O| J`~Lk  
#;LMtDaL  
安装补丁不会导致系统变慢! 也可以配合使用安全组禁止公网入、内网入方向的135、137、139、445 等相关端口。 Mq :'-`  
k5t^s  
%7>AcTN~  
Windows Server 2003 特别补丁 - KB4012598 ).}k6v[4)  
Security Update for Windows Server 2003 (KB4012598) 4m~7 ~-h  
http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x86-custom-chs_b45d2d8c83583053d37b20edf5f041ecede54b80.exe Sci4EGc  
Security Update for Windows Server 2003 for x64-based Systems (KB4012598)  Q A)9  
8| e$  
http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-chs_68a2895db36e911af59c2ee133baee8de11316b9.exe g"]<J &  
.pIR/2U\F  
c@9Z&2)  
Windows Server 2008 R2 SP1 补丁 - KB4012212、KB4012215 ]\RSHz  
March, 2017 Security Only Quality Update for Windows Server 2008 R2 for x64-based Systems (KB4012212) KT];SF ^Y  
http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu y,v0-o~q  
yMbcFDlBr  
;4kx>x*H  
March, 2017 Security Monthly Quality Rollup for Windows Server 2008 R2 for x64-based Systems (KB4012215) `Ix s7{&jU  
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows6.1-kb4012215-x64_a777b8c251dcd8378ecdafa81aefbe7f9009c72b.msu &cu] vw  
Xvu)  
>{ECyh;  
Windows Server 2012 R2 - 补丁 KB4012213、KB4012216 R] Disljq  
March, 2017 Security Only Quality Update for Windows Server 2012 R2 (KB4012213) j!S1Y0CV  
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/02/windows8.1-kb4012213-x64_5b24b9ca5a123a844ed793e0f2be974148520349.msu nR o=J5tY  
March, 2017 Security Monthly Quality Rollup for Windows Server 2012 R2 (KB4012216) lj EB  
http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/03/windows8.1-kb4012216-x64_cd5e0a62e602176f0078778548796e2d47cfa15b.msu 0Q$~k  
p fL2v,]g  
wrQydI  
Windows Server  2016 - 补丁 KB4013429 E#<7\ p>  
Cumulative Update for Windows Server 2016 for x64-based Systems (KB4013429) i0'Xy>l  
http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/03/windows10.0-kb4013429-x64_ddc8596f88577ab739cade1d365956a74598e710.msu cBab2/  
a: yB%:2  
C!7U<rI  
Q&A问答: VR4E 2^  
1.对于 MS17-010,里面包含 2 个安全更新号码 4012215 和 4012212,是都需要打还是只要打一 个 4012212 就可以呢? >HcYVp~G  
KB4012215 是 2017 年 3 月的安全质量更新汇总,涵盖了 KB4012212,因此两者任选一个安 装,都能修复漏洞。 BH&/2tO%  
h-r6PY=i  
2.安装时提示此更新不适用于您的计算机,怎么办? 0 OAqA?Z  
请确认系统满足了先决条件再安装。例如 Windows Server 2008 R2, 必须在 Service Pack 1 安装 完成后,才能安装这次涉及到的安全更新。 ~VqFZasV  
3`&VRF8  
3.如何判断是否已经安装了正确的补丁? #)_J)/h  
首先重启系统。然后对于 Vista SP2/Server 2008 SP2 开始的系统,可以使用 PowerShell 命令 Get-hotfix 来确认。 \;-=ODC  
即使安装了 MS17-010 还有可能中招,如果中招了是否可以杀毒,还是必须重装?此时系统还 会传播勒索软件吗? 请参考指南“如果已经被感染了怎么办”这一部分。安装更新并不阻止系统发送恶意请求。此时 环境中没有安装安全更新的系统将处于高危阶段。 C~ZE95g  
+R "AA_A?  
DC|xilP1O  
4.如果是 2003 的能够寻求微软的帮助吗? &<gUFcw7Ui  
Windows Server 2003 Service Pack 2 已经结束支持周期 2 年了。微软针对这次事件,特地破例 发布 2003 SP2 的漏洞修复——安全更新。您无需拨打我们的服务热线,查阅指南中“当 Catalog 网站访问慢时,怎么下载更新”部分。 0 &*P}U}Uc  
K08 iPIkQ  
5.是否会跨网段传播? FNz84qVIx'  
ATMc`z:5T  
v]WH8GI  
UvPp~N 7,  
6.SMB V1 如果停止了会有什么影响? @+?+6sS  
SMB v1 是从 Windows Vista SP2/Windows Server 2008 SP2 开始引入的。如果停止掉, Vista/Server 2008 之前的系统(XP/Server 2003)就无法访问共享。Computer Browser 服务也会 受到影响。如果系统上有较多应用依存于 SMB v1 的话,这些应用可能无法使用。 gI)w^7Gi  
#04{(G|~+E  
Q&u>7_, Du  
7.感染了的话,付钱是否能解决问题,是否有其他隐患? E7rX1YdR  
您的资产的价值需要您来评估,最终由您决定是否值得付钱解决。 [#7y[<.P  
如果要重新安装系统,只格式化 C 盘就可以了还是需要全盘格式化? 如果没有专业的事件分析,很难说是否需要所有磁盘格式化。 T(Y}V[0+  
tgO+*q5B  
8.目前看到传播的速度多快?是否可能手工停止病毒进程来防范? J3H.%m!V  
勒索软件一般采用非对称秘钥加密算法加密秘钥,然后用对称秘钥和这个秘钥来快速把文件进 行加密。加密文件并不仅仅局限于文本类型文件。整个加密的过程本身是比较快的。往往在人 们感知到时,已经非常晚了。我们微软的防病毒软件可以检测客户端上进程的行为,如果发现 类似勒索软件的恶意行为,在没有准确病毒库下也会拦截。虽然拦截速度和快,还是有可能不 幸您的部分重要文件已经被加密。 0fnZR$PB  
7'_nc!ME  
xJvLuzUD  
9.如果系统无法安装补丁更新该怎么办? \HCOR, `T  
WannaCrypt 病毒利用了 SMBv1 组件中的一个漏洞进行攻击。对于 Windows Vista/2008 以上版 'Z\{D*=V8  
本的客户端/服务器,可以关闭 SMBv1 的服务。方法参考此文档: B^Xy0fq  
myD{sE2A  
*I=_*LoG2  
对于 Windows XP/2003 服务器,可以关闭 SMB 协议: cICHRp&&  
设置以下注册表键值后重启系统 nc<qbN  
Key: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters Name: SMBDeviceEnabled clHM8$  
Type: DWORD (REG_DWORD) ZR1+ O 8  
Data: 0 LL{t5(- _  
需要重启系统 DZJ eup?Z  
PT mf  
Y.E?;iS  
10.停止 SMBv1 会对系统造成哪些影响? 5+`=t07^et  
SMB 协议是局域网内常用的协议,这个协议的主要目的是提供不同系统之间的文件,打印机,串口及 其他设备的数据访问共享通信。关闭 SMB 协议造成的最直接影响是失去文件共享,网络打印等功 能,同时某些利用 SMB 协议提供的通信功能也会受到影响,例如通过命名管道建立的通信也会受到 影响。 9#u}^t  
SMBv1 服务是 Windows 2003/Windows XP 等旧系统进行 SMB 通信的协议。Windows Vista/2008 以及更 高版本的操作系统可以使用 SMBv2 及以后版本的协议进行通信。简单地说,在 Windows Vista/2008 以 及更高版本的操作系统之间的通信不受影响,但 Windows 2003/Windows XP 等旧系统与 Windows Vista/2008 以及更高版本的操作系统之间的 SMB 通信会停止。 = Q@6c   
`Gf{z%/  
%n jOX#.w  
]yo_wGiwY  
*0O<bm  
E\w+kAAf  
otU@X 3<_  
yP x\ltG3  
Wt(Kd5k0'2  
QS\Uq(Ja\  
o5>/}wIf  
_~PO  
B jYOfu'~z  
n-d:O\]  
$;y1Q iel  
9-b 8`|s  
N50fL  
(e(Rr 4  
[ 此帖被正禾在2017-06-19 09:07重新编辑 ]
级别: 论坛版主
发帖
16048
云币
8344

只看该作者 沙发  发表于: 2017-05-15
辛苦了。感谢分享。
善用阿里云帮助文档。
级别: 新人
发帖
1
云币
1
只看该作者 板凳  发表于: 2017-05-15
Re【企业IT管理员必读】WanaCrypt0r 2.0和ONION等勒索软件病毒应急处置方案
请问,Centos下搭建的samba服务端受不受影响呢?有没有加固或者预防免疫措施
级别: 论坛版主
发帖
241
云币
478
只看该作者 地板  发表于: 2017-05-15
回 2楼(baronren) 的帖子
不受影响,但建议您不要讲高危的业务服务端口开放到互联网,尽量通过策略控制源IP
级别: 新人
发帖
1
云币
1
只看该作者 4楼 发表于: 2017-05-18
Re【企业IT管理员必读】WanaCrypt0r 2.0和ONION等勒索软件病毒应急处置方案
请问hyper-v server 2008 R2会受这病毒影响吗
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
批量上传需要先选择文件,再选择上传
 
验证问题: 阿里云官网域名是什么? 正确答案:www.aliyun.com
上一个 下一个
      ×
      全新阿里云开发者社区, 去探索开发者的新世界吧!
      一站式的体验,更多的精彩!
      通过下面领域大门,一起探索新的技术世界吧~ (点击图标进入)