之前提到��,有兩個(gè)勒索家族出現(xiàn)�����,汪列軍認(rèn)為���,不排除該勒索蠕蟲(chóng)出現(xiàn)了多個(gè)變種。
不法分子是將此前公布的“永恒之藍(lán)”攻擊程序改裝后進(jìn)行的攻擊����。汪列軍解析,可以理解為該NSA攻擊工具內(nèi)核沒(méi)變��,但是不法分子改變了其“載核”�����,加上了勒索攻擊的一系列調(diào)動(dòng)工具�����,由于該NSA攻擊工具可以被公開(kāi)下載����,不排除可有多個(gè)不法分子改裝該工具發(fā)動(dòng)勒索襲擊�。
應(yīng)急處理辦法以下為360企業(yè)安全提供給的一份處理辦法建議:
網(wǎng)絡(luò)層面目前利用漏洞進(jìn)行攻擊傳播的蠕蟲(chóng)開(kāi)始泛濫���,強(qiáng)烈建議網(wǎng)絡(luò)管理員在網(wǎng)絡(luò)邊界的防火墻上阻斷445端口的訪(fǎng)問(wèn)����,如果邊界上有IPS和360新一代智慧防火墻之類(lèi)的設(shè)備�,請(qǐng)升級(jí)設(shè)備的檢測(cè)規(guī)則到最新版本并設(shè)置相應(yīng)漏洞攻擊的阻斷,直到確認(rèn)網(wǎng)內(nèi)的電腦已經(jīng)安裝了MS07-010補(bǔ)丁或關(guān)閉了Server服務(wù)��。
終端層面暫時(shí)關(guān)閉Server服務(wù)�。
檢查系統(tǒng)是否開(kāi)啟Server服務(wù):
1、打開(kāi)開(kāi)始按鈕��,點(diǎn)擊運(yùn)行���,輸入cmd����,點(diǎn)擊確定
2���、輸入命令:netstat -an回車(chē)
3�、查看結(jié)果中是否還有445端口
如果發(fā)現(xiàn)445端口開(kāi)放��,需要關(guān)閉Server服務(wù),以Win7系統(tǒng)為例��,操作步驟如下:
點(diǎn)擊開(kāi)始按鈕��,在搜索框中輸入cmd��,右鍵點(diǎn)擊菜單上面出現(xiàn)的cmd圖標(biāo)�����,選擇以管理員身份運(yùn)行��,在出來(lái)的 cmd 窗口中執(zhí)行“net stop server”命令�����,會(huì)話(huà)如下圖:
感染處理對(duì)于已經(jīng)感染勒索蠕蟲(chóng)的機(jī)器建議隔離處置����。
根治方法對(duì)于Win7及以上版本的操作系統(tǒng)�,目前微軟已發(fā)布補(bǔ)丁MS17-010修復(fù)了“永恒之藍(lán)”攻擊的系統(tǒng)漏洞,請(qǐng)立即電腦安裝此補(bǔ)丁����。出于基于權(quán)限最小化的安全實(shí)踐�,建議用戶(hù)關(guān)閉并非必需使用的Server服務(wù)�����,操作方法見(jiàn)應(yīng)急處置方法節(jié)��。
對(duì)于Windows XP�、2003等微軟已不再提供安全更新的機(jī)器,推薦使用360“NSA武器庫(kù)免疫工具”檢測(cè)系統(tǒng)是否存在漏洞�,并關(guān)閉受到漏洞影響的端口,以避免遭到勒索蠕蟲(chóng)病毒的侵害���。這些老操作系統(tǒng)的機(jī)器建議加入淘汰替換隊(duì)列���,盡快進(jìn)行升級(jí)。
小編推薦閱讀
