关于应对勒索软件“Wannacry”威胁的处理方案
日期:2017-05-17 15:52:28  发布人:教育信息化建设处  浏览量:3741

关于应对勒索软件“wannacry”威胁的处理方案

 

根据教育部紧急通知,北京时间201751220时左右,全球爆发大规模勒索软件感染事件,我国大量行业企业内网大规模感染,教育网受损严重,攻击造成了教学系统瘫痪,甚至包括校园一卡通系统。现将该勒索软件(病毒)的有关情况、紧急应对措施通知如下:

一、病毒表现

1、本地表现:该勒索软件是“wannacry”的新家族,利用基于445端口传播扩散的SMB漏洞MS17-010迅速感染全球大量主机(注:微软在今年3月份已经发布该漏洞的补丁)。当系统被该勒索软件入侵后,弹出勒索对话框:

说明: https://mmbiz.qpic.cn/mmbiz_png/EhSBbpTaqLicWBiaQM6bzBNz5h0hibErumSMp1rUib3MENcTafyTIvaAKnfkY3VfgsoDjMjUzj5RYZTdibDXyY4VH7Q/640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1

1 勒索界面

加密系统中的照片、图片、文档、压缩包、音频、视频、可执行程序等几乎所有类型的文件,被加密的文件后缀名被统一修改为“.WNCRY”,并在界面声称:“3天内付款正常,三天后翻倍,一周后不提供恢复”。同时,该勒索软件会将自身复制到每个文件夹下,并重命名为“@WanaDecryptor@.exe”,并衍生大量语言配置等文件。

2、网络行为:该勒索软件执行后会生成随机IP,并自动向生成的IP发起攻击,进行内网传播。

二、应急方案

(一)临时应急方案

1、开启系统防火墙

2、利用系统防火墙高级设置阻止向445端口进行连接(该操作会影响使用445端口的服务)

3、打开系统自动更新,并检测更新进行安装

(二)日常工作要求

1、尽快(今后定期)备份自己电脑中的重要文件资料到移动硬盘、U盘,备份完后脱机保存该磁盘。

2、为计算机安装最新的安全补丁,微软已发布补丁MS17-010修复了“永恒之蓝”攻击的系统漏洞,请尽快安装此安全补丁,网址为https://technet.microsoft.com/zh-cn/library/security/MS17-010

3、关闭445135137138139端口,关闭网络共享。

4、不明链接不要点击,不明文件不要下载,不明邮件不要打开。

5、请仍在使用windows xpwindows2003操作系统的用户尽快升级到window7/windows10,或windows 2008/2012/2016操作系统

6、安装正版操作系统、Office软件等,及时更新补丁,安装杀毒软件、单机版防火墙等。

三、应急支持

根据学校对网络安全的应急处理流程,进行校园网主干连接安全防护、基于IP的漏洞扫描、系统补丁升级和防火墙端口的关闭。

请各单位按通知要求及时做好本单位网络和信息系统、个人电脑的预防、减灾工作。(附件一)

特此通知!


附件:点击下载360提供勒索病毒专用补丁包 

 

教育信息化建设处  

2017515  

 

 

 

 

 

 

 

 

附件一:

winXP\Win7Win8Win10的处理流程及系统补丁下载

一、Win7Win8Win10处理流程

第一步:打开控制面板-系统与安全-Windows防火墙,点击左侧启动或关闭Windows防火墙:

http://nic.swu.edu.cn/u/cms/nic/201705/13185305b02q_clip_image004.jpg

第二步:选择启动防火墙,并点击确定

http://nic.swu.edu.cn/u/cms/nic/201705/13185305kfb2_clip_image006.jpg

第三步:点击高级设置

第四步:点击入站规则,新建规则

第五步:选择端口、下一步

第六步:特定本地端口,输入445,下一步

http://nic.swu.edu.cn/u/cms/nic/201705/13185305amlc_clip_image013.jpg

第七步:选择阻止连接,下一步

http://nic.swu.edu.cn/u/cms/nic/201705/13185305x82o_clip_image015.jpg

第八步:配置文件,全选,下一步

http://nic.swu.edu.cn/u/cms/nic/201705/1318530528st_clip_image017.jpg

第九步:名称,可以任意输入,完成即可。

http://nic.swu.edu.cn/u/cms/nic/201705/13185305h22v_clip_image019.jpg

二、winXP系统的处理流程

第一步:依次打开控制面板,安全中心,Windows防火墙,选择启用

http://nic.swu.edu.cn/u/cms/nic/201705/13185305shyf_clip_image021.jpg

第二步:点击开始,运行,输入cmd,确定执行下面三条命令

net stop rdr

net stop srv

net stop netbt

注:由于微软已经不再为XP系统提供系统更新,建议用户尽快升级到高版本系统。

三、系统升级和补丁下载

1、通过系统升级功能或其他工具,进行系统升级和漏洞修复。

2、微软对已停服的XP和部分服务器版的特别补丁https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

 

 

联系电话:023-42464987 重庆人文科技学院信息化建设中心 版权所有