内容显示

"勒索病毒"防范思路及应对措施建议
2017-05-14 14:11   审核人:   (点击: )

一、防范思路

   需要特别说明的是,对于已经感染WannaCry的计算机,目前没有理想办法实现数据恢复,因此应急防范的重点应当在于尽可能抑制该勒索软件的传播和扩散,使大量可能被感染的计算机和网络具备针对该勒索软件的免疫能力,最大程度上降低受影响的计算机数量和范围。
   由于WannaCry是通过网络传播,且利用Windows系统服务中的漏洞进行感染,因此针对该类型勒索软件的紧急防范,也应该在网络传播途径和Windows终端系统两方面进行应对。
   WannaCry主要通过钓鱼电子邮件传入机构内部网络,因此在网络边界应当部署可以检测到该勒索软件特征的IPS入侵防范系统,绿盟科技在捕获到WannaCry的样本,对其进行分析之后,对应的检测规则已经添加到IPS系统的攻击规则库中,部署了绿盟IPS系统的客户应当尽快进行规则库升级,以实现对WannaCry的有效检测和阻断,这样能够抑制该勒索软件的扩散和传播。
   WannaCry利用Windows系统服务445端口存在的漏洞实现感染,无论是关闭可能存在漏洞的系统服务,还是及时安装微软最新发布的安全补丁,都能够实现针对该勒索软件的有效免疫。
 

 

二、应对措施建议

已经被感染的终端用户该怎么办?

   由于WannaCry采用的是AES+RSA的高强度加密机制,因此在没有解密秘钥的情况下,没有有效办法实现文件恢复,似乎向攻击者缴纳赎金是唯一的出路,但是绿盟科技建议受害用户对缴纳赎金持谨慎态度,如同现实中的绑架案件,即便缴纳了赎金仍然频频发生撕票的结果,勒索软件的攻击者也是完全无底线的,目前已有证据表明,有的受害者在约定期限内向攻击者缴纳了赎金,然而攻击者却不按照约定承诺提供解密秘钥,受害者被加密的文件数据仍然无法解密恢复,我们应该清楚认识到,勒索软件的攻击者只是以敲诈受害者的赎金为最终目的的无赖,而远非盗亦有道的江湖侠客。 

 

尚未受感染的终端用户该怎么办?

由于存在着同一网络中已存在被感染的其它Windows计算机,导致WannaCry在内部网络中扩散的风险,尚未受感染的终端用户应当在第一时间于断开网络状态下,紧急屏蔽Windows445服务端口,最简单的方法是按照如下操作步骤,完成windows防火墙的设置。

屏蔽445服务端口后,用户应尽快完成微软MS17-010安全补丁升级,微软在2017314日发布了Windows SMB服务器安全更新KB4012598,链接为:

https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx

另外,由于本次Wannacry蠕虫事件的巨大影响,微软总部决定发布已停服的XP和部分服务器版特别补丁,链接为:

http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

 

关闭窗口

Copyright © 2015 云南师范大学信息管理处

呈贡主校区:呈贡区雨花片区1号 邮编:650500 一二·一西南联大校区:昆明市一二·一大街298号 邮编:650092

访问人数: