关注:
联系我们

售前服务电话:800-820-8876
售后服务电话:800-820-8839
手机用户可拨打:400-820-8839

亚信安全:WannaCry永恒之蓝病毒处理方案


亚信安全用户


亚信安全OfficeScan(OSCE)


用户已经安装OSCE产品的解决方案:
由于该病毒主要通过微软445端口漏洞传播,方案涉及禁用客户端445端口,请根据业务衡量是否使用该步骤,如不使用可以跳过,使用其他步骤进行防护,建议使用。


  1)升级OSCE的病毒码为最新,2017.5.13日最新病毒码:13.404.60


  2)启用防火墙功能,关闭445等相关端口


启用防火墙



配置防火墙



  加入禁止445端口访问的规则



策略配置后,会使用禁止445端口数据包



3)启动爆发阻止功能,禁止端口和具体病毒文件写入系统。



启用爆发阻止,设置时间为65535(长期)



封闭端口(双向)



在爆发阻止中禁止对文件和文件夹写入,添加如下文件禁止写入。



mssecsvc.exe
tasksche.exe
b.wnry
c.wnry
r.wnry
s.wnry
t.wnry
u.wnry
Taskdl.exe
Taskse.exe
后期可以不断加入我们发现的新的病毒文件名字。


  启用爆发阻止,点击“确定”。



“爆发阻止启动时通知用户”勾选时,用户会收到如下通知,不勾选则不会通知客户端。



策略生效后,客户端445端口禁止访问,



客户端出的445端口也会禁止访问



当我们禁止的文件名写入时,会被拒绝,无法写入。



4)启动OSCE的反勒索软件引擎


启用行为监控设置



选用阻止勒索软件功能。



功能启用后,会阻止非授权的加密。


注意:启用该功能,可能会对出现客户端误判,当客户有加密软件时,需要添加例外操作。


5)安装MS17-010补丁


安装MS17-010补丁,https://technet.microsoft.com/zh-cn/library/security/ms17-mar.aspx


WINXP/2003:ttps://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/


亚信安全TDA


亚信安全深度威胁发现设备TDA于2017年4月26日已发布检测规则(Rule ID 2383),针对透过微软SMB远程代码执行漏洞CVE-2017-0144(MS17-010)所导致的相关网络攻击进行检测。利用此漏洞的攻击包含前期的 EternalBlue 和近期大量感染的勒索病毒 WannaCry/Wcry。TDA 的内网攻击检测能力是针对源头的零日漏洞进行实时有效的网络攻击行为检测,让用户能快速从网络威胁情报的角度定位内网遭受攻击的终端,以实施相对应的响应措施。同时,用户可透过产品联动方式与亚信安全终端安全产品 OfficeScan 以及亚信安全网关产品 DeepEdge 进行有效联动以阻断其攻击。


Deep Security


针对微软远程代码执行漏洞[1008306 -Microsoft Windows SMB Remote Code Execution Vulnerability (MS17-010)], Deep Security在5月2日就已发布了针对所有Windows 系统的IPS策略,用户只需要对虚拟化系统做一次"建议扫描"操作,就能自动应用该策略,无论是有代理还是无代理模式,都能有效防护该勒索软件。


1)启用入侵防御。在策略----入侵防御规则中----选中和MS17-010相关的补丁。



2)启用防火墙禁止445端口访问



Deep Edge


Deep Edge在4月26日就发布了针对微软远程代码执行漏洞 CVE-2017-0144的4条IPS规则(规则名称:微软MS17 010 SMB远程代码执行1-4 规则号:1133635, 1133636, 1133637, 1133638)。可在网络边界及内网及时发现并拦截此次加密勒索软件攻击。


DDEI


针对加密勒索软件攻击,用户需要在Web和Mail两个入口严加防范。虽然此次攻击是黑客利用系统漏洞发起的勒索软件攻击,只需在Web渠道通过IPS或防火墙规则即可拦截,但广大用户切不可掉以轻心,因为还有大量的勒索软件攻击是通过邮件渠道发起的,我们还需要在邮件入口处加以防范,防止勒索软件卷土重来。


非亚信安全用户


离线安装OSCE客户端


为非亚信安全用户,提供亚信安全OSCE客户端,查杀现有最新的勒索软件病毒OSCE离线安装客户端:32位&64位:https://pan.baidu.com/s/1i50xopf#list/path=%2F


安装包中包含2017年5月13日最新的病毒码13.404.60,可以查杀目前已收集到的所有样本。安装包开放了外网更新权限和手动配置的权限。


如客户端环境可以上互联网,则可以从外网直接更新到最新的病毒码。


如不能上互联网,可选用以下三种方式:
a. 手动到http://support.trendmicro.com.cn/Anti-Virus/China-Pattern/Pattern/ 下载最新病毒码;
b. 退出客户端后,把下载的病毒码放入到officescan客户端的安装目录下


c. 在开始程序中再次启动officescan 客户端,即可更新客户端病毒码为最新的病毒码。


终端系统加固


1. 开机注意事项。在无法确认是否安装最新补丁、禁用445端口的情况下,为避免被该病毒感染,开机前请断开和外网连接,执行禁用445端口和安装补丁操作后再连接外网。


2. 以管理员身份登陆系统


3. 执行“WannaCry加固脚本.bat”,选择操作系统,完成加固工作该脚本会在客户端上禁止445端口。


4. 安装MS17-010对应的Microsoft Windows SMB 服务器安全更新(4013389)补丁程序。


5. 备份重要文档。最佳做法是采取3-2-1规则,即至少做三个副本,用两种不同格式保存,并将副本放在异地存储。


  (特别感谢亚信安全技术专家团队及李峰)


关于亚信安全

亚信安全是亚信集团“领航产业互联网”版图中的重要业务板块,于2015年由亚信科技对全球最大的独立网络安全软件提供商趋势科技中国区业务进行收购重组,专注于产业互联网安全服务领域,是中国领先的云与大数据安全技术、产品、方案和服务供应商。亚信安全在中国北京和南京设有独立研发中心,拥有超过2000人的专业安全团队,以“护航产业互联网”为使命,以“云与大数据的安全技术领导者”为战略愿景,亚信安全坚持“产品、服务、运营三位一体”的经营模式 ,助力客户构建“立体化主动防御体系”,为国家提供网络安全与云产业安全保障,推动实施自主可控战略。更多关于亚信安全公司及最新产品信息,请访问: http://www.asiainfo-sec.com

 

 

2017 版权所有 亚信科技(成都)有限公司 蜀ICP备15028617号

川公网安备 51010702000068号