針對(duì)敲詐病毒（WanaCrypt0r2.0）的應(yīng)對(duì)方案

病毒背景

5月12日起，Onion、WNCRY兩類敲詐者病毒變種在全國(guó)乃至全世界大范圍內(nèi)出現(xiàn)爆發(fā)態(tài)勢(shì)，中國(guó)大陸大量教育網(wǎng)用戶和企業(yè)用戶中招。

與以往不同的是，這次的新變種病毒添加了NSA(美國(guó)國(guó)家安全局)***工具包中的"永恒之藍(lán)"0day漏洞利用，通過(guò)445端口(文件共享)在內(nèi)網(wǎng)進(jìn)行蠕蟲(chóng)式感染傳播。

微軟在今年3月10日已發(fā)布補(bǔ)丁MS17-010修復(fù)了"永恒之藍(lán)"***的系統(tǒng)漏洞，請(qǐng)盡快安裝此安全補(bǔ)丁，網(wǎng)址為https://technet.microsoft.com/zh-cn/library/security/MS17-010。

沒(méi)有安裝安全軟件或及時(shí)更新系統(tǒng)補(bǔ)丁的其他內(nèi)網(wǎng)用戶極有可能被動(dòng)感染，所以目前感染用戶主要集中在企業(yè)、高校等內(nèi)網(wǎng)環(huán)境下。

一旦感染該蠕蟲(chóng)病毒變種，系統(tǒng)重要資料文件就會(huì)被加密，并勒索高額的比特幣贖金，折合人民幣2000-50000元不等。

從目前監(jiān)控到的情況來(lái)看，全網(wǎng)已經(jīng)有數(shù)萬(wàn)用戶感染，QQ、微博等社交平臺(tái)上也是哀鴻遍野，后續(xù)威脅也不容小覷。

病毒感染現(xiàn)象

中毒系統(tǒng)中的文檔、圖片、壓縮包、影音等常見(jiàn)文件都會(huì)被病毒加密，然后向用戶勒索高額比特幣贖金。

WNCRY變種一般勒索價(jià)值300-600美金的比特幣，Onion變種甚至要求用戶支付3個(gè)比特幣，以目前的比特幣行情，折合人民幣在3萬(wàn)左右。

此類病毒一般使用RSA等非對(duì)稱算法，沒(méi)有私鑰就無(wú)法解密文件。WNCRY敲詐者病毒要求用戶在3天內(nèi)付款，否則解密費(fèi)用翻倍，并且一周內(nèi)未付款將刪除密鑰導(dǎo)致無(wú)法恢復(fù)。

從某種意義上來(lái)說(shuō)，這種敲詐者病毒"可防不可解"，需要安全廠商和用戶共同加強(qiáng)安全防御措施和意識(shí)。

中毒后的勒索提示

部分系統(tǒng)桌面變化

針對(duì)未中病毒PC及服務(wù)器

1. 為計(jì)算機(jī)安裝最新的安全補(bǔ)丁，微軟已發(fā)布補(bǔ)丁MS17-010修復(fù)了"永恒之藍(lán)"***的系統(tǒng)漏洞，請(qǐng)盡快安裝此補(bǔ)丁，請(qǐng)參考本文檔《安全補(bǔ)丁下載》章節(jié)內(nèi)容進(jìn)行下載安裝。

2. 開(kāi)啟Windows防火墻。請(qǐng)參考《打開(kāi)Windows 防火墻》章節(jié)進(jìn)行Windows防火墻啟用。

3. 軟自家安全產(chǎn)品已升級(jí)可查殺蠕蟲(chóng)WannaCrypt：

Windows Defender

System Center Endpoint Protection

Forefront Endpoint Protection

將此類病毒識(shí)別為 Ransom:Win32/WannaCrypt.    

微軟提供免費(fèi)查掃工具，在條件允許的情況下應(yīng)下載安裝并查殺病毒：
Microsoft Safety Scanner

http://www.microsoft.com/security/scanner/ 

4. 針對(duì)暫時(shí)無(wú)法安裝補(bǔ)丁的計(jì)算機(jī)系統(tǒng)，可以通過(guò)關(guān)閉445端口（監(jiān)控其他關(guān)聯(lián)端口如： 135、137、139）來(lái)避免病毒侵害。注意：445，135等端口是Windows系統(tǒng)服務(wù)正常運(yùn)行所需要的端口，正常情況下不能輕易封鎖，容易引起嚴(yán)重的次生故障。在安裝補(bǔ)丁之后，無(wú)需關(guān)閉這些端口。

1. 
   

   1. 以管理員身份登錄計(jì)算機(jī)（或以管理員身份運(yùn)行），打開(kāi)“開(kāi)始”-“運(yùn)行”啟動(dòng)運(yùn)行窗口，輸入cmd并執(zhí)行，打開(kāi)命令行操作窗口，輸入命令：netstat -an

      *用于檢測(cè)445端口是否開(kāi)啟

上圖為未關(guān)閉445端口

        b. 如445端口開(kāi)啟（如上圖），依次輸入以下命令進(jìn)行關(guān)閉：

net stop rdr / net stop srv / net stop netbt

功后的效果如下：

       c. 在安裝補(bǔ)丁之后需要將445端口恢復(fù)打開(kāi)狀態(tài)以確保Windows服務(wù)正常運(yùn)行，在命令行中依次輸入以下命令進(jìn)行打開(kāi)：

net start rdr / net start srv / net start netbt

5. 強(qiáng)化網(wǎng)絡(luò)安全意識(shí)：不明鏈接不要點(diǎn)擊，不明文件不要下載，不明郵件不要打開(kāi)。 

6. 盡快（今后定期）備份自己電腦中的重要文件資料到移動(dòng)硬盤、U盤，備份完后脫機(jī)保存該磁盤。

7. 建議仍在使用Windows XP，Windows Server 2003操作系統(tǒng)的用戶盡快升級(jí)到 Window 7/Windows 10，或 Windows 2008/2012/2016操作系統(tǒng)。

8. 若是Windows 7、Windows 8/8.1、Windows 10（不包含LTSB）以上操作系統(tǒng)在啟用自動(dòng)更新情況下對(duì)此病毒免疫。

9. 安裝正版操作系統(tǒng)、Office軟件等。

針對(duì)已中病毒PC及服務(wù)器

在沒(méi)有解密密鑰情況下，中病毒計(jì)算機(jī)中的文件恢復(fù)的成本非常高昂、難度非常大。若確定計(jì)算機(jī)已經(jīng)中毒，應(yīng)將該計(jì)算機(jī)隔離或斷網(wǎng)(拔網(wǎng)線)，以免進(jìn)行病毒擴(kuò)散。若存在該計(jì)算機(jī)備份，則啟動(dòng)備份恢復(fù)程序。若沒(méi)有重要文件，可通過(guò)對(duì)磁盤全盤進(jìn)行格式化，重裝系統(tǒng)恢復(fù)使用。

安全補(bǔ)丁下載

針對(duì)不同的系統(tǒng)所安裝的補(bǔ)丁不同，請(qǐng)嚴(yán)格按照系統(tǒng)版本下載相對(duì)應(yīng)的安全補(bǔ)丁對(duì)系統(tǒng)進(jìn)行更新。

------------------------------------------------------------------------

以下系統(tǒng)版本：

Windows XP 32位/64位/嵌入式

Windows Vista 32/64位

Windows Server 2003 SP2 32位/64位

Windows 8 32位/64位

Windows Server 2008 32位/64位/安騰

對(duì)應(yīng)補(bǔ)丁下載地址：

http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

------------------------------------------------------------------------

以下系統(tǒng)版本：

Windows 7 32位/64位/嵌入式（需要先安裝Windows 7 SP1和服務(wù)堆棧更新）

Windows Server 2008 R2 32位/64位（需要先安裝Windows Server 2008 R2 SP1和服務(wù)堆棧更新）

Windows Server 2008 R2 SP1和Windows 7 SP1下載地址：https://www.microsoft.com/zh-cn/download/details.aspx?id=5842

 服務(wù)堆棧更新下載地址：  https://support.microsoft.com/zh-cn/help/3020369/april-2015-servicing-stack-update-for-windows-7-and-windows-server-2008-r2  

對(duì)應(yīng)補(bǔ)丁下載地址：

http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212

請(qǐng)安裝此補(bǔ)丁后再進(jìn)行嘗試：

 http://catalog.update.microsoft.com/v7/site/search.aspx?q=kb3125574

------------------------------------------------------------------------

以下系統(tǒng)版本：

Windows 8.1 32位/64位

Windows Server 2012 R2 32位/64位

對(duì)應(yīng)補(bǔ)丁下載地址：

http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4012213

------------------------------------------------------------------------

以下系統(tǒng)版本：

Windows 8嵌入式

Windows Server 2012

對(duì)應(yīng)補(bǔ)丁下載地址：

http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB4012214

------------------------------------------------------------------------

以下系統(tǒng)版本：

Windows 10 RTM 32位/64位/LTSB

對(duì)應(yīng)補(bǔ)丁下載地址：

http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012606

------------------------------------------------------------------------

以下系統(tǒng)版本：

Windows 10 1511十一月更新版32/64位

對(duì)應(yīng)補(bǔ)丁下載地址：

http://www.catalog.update.microsoft.com/Search.aspx?q=KB4013198

------------------------------------------------------------------------

以下系統(tǒng)版本：

Windows 10 1607周年更新版32/64位

Windows Server 2016 32/64位

對(duì)應(yīng)補(bǔ)丁下載地址：

http://www.catalog.update.microsoft.com/Search.aspx?q=KB4013429

打開(kāi)Windows防火墻

不同系統(tǒng)打開(kāi)Windows防火墻的步驟不一樣，請(qǐng)按照相應(yīng)系統(tǒng)進(jìn)行操作。

------------------------------------------------------------------------

以下系統(tǒng)：

Windows XP

Windows Server 2003

啟用Windows防火墻步驟如下：

打開(kāi)控制面板

在控制面板中找到Windows防火墻

將Windows防火墻由關(guān)閉改為啟用

------------------------------------------------------------------------

以下系統(tǒng)：

WindowsVista

Windows7

Windows8/8.1

WindowsServer 2008/2008 R2

WindowsServer 2012/2012 R2

啟用Windows防火墻步驟如下：

在開(kāi)始中打開(kāi)控制面板

在控制面板中找到Windows防火墻

在Windows防火墻控制面板中單擊左側(cè)打開(kāi)或關(guān)閉Windows防火墻

啟用Windows防火墻

------------------------------------------------------------------------

以下系統(tǒng)：

Windows10

WindowsServer 2016

啟用Windows防火墻步驟如下：

單擊開(kāi)始打開(kāi)設(shè)置

打開(kāi)設(shè)置中的網(wǎng)絡(luò)和Internet

在狀態(tài)中找到Windows防火墻

在Windows防火墻控制面板中單擊左側(cè)啟用或關(guān)閉Windows防火墻

啟用Windows防火墻

核心網(wǎng)絡(luò)設(shè)備應(yīng)急處置操作

　　大型機(jī)構(gòu)j由于設(shè)備眾多，為了避免感染設(shè)備之后的廣泛傳播，建議利用各網(wǎng)絡(luò)設(shè)備的 ACL 策略配置，以實(shí)現(xiàn)臨時(shí)封堵。

　　該蠕蟲(chóng)病毒主要利用 TCP 的 445 端口進(jìn)行傳播, 對(duì)于各大企事業(yè)單位影響很大。為了阻斷病毒快速傳播, 建議在核心網(wǎng)絡(luò)設(shè)備的三層接口位置, 配置 ACL 規(guī)則從網(wǎng)絡(luò)層面阻斷 TCP 445 端口的通訊。

　　以下內(nèi)容是基于較為流行的網(wǎng)絡(luò)設(shè)備，舉例說(shuō)明如何配置ACL 規(guī)則，以禁止TCP 445 網(wǎng)絡(luò)端口傳輸，僅供大家參考。在實(shí)際操作中，請(qǐng)協(xié)調(diào)網(wǎng)絡(luò)管理人員或網(wǎng)絡(luò)設(shè)備廠商服務(wù)人員，根據(jù)實(shí)際網(wǎng)絡(luò)環(huán)境在核心網(wǎng)絡(luò)設(shè)備上進(jìn)行配置。

Juniper 設(shè)備的建議配置(示例):

set firewall family inet filter deny-wannacry term deny445 fromprotocol tcp

set firewall family inet filter deny-wannacry term deny445 fromdestination-port 445 set firewall family inet filter deny-wannacry term deny445then discard

set firewall family inet filter deny-wannacry term default thenaccept

#在全局應(yīng)用規(guī)則

set forwarding-options family inet filter output deny-wannacry setforwarding-options family inet filter input deny-wannacry

#在三層接口應(yīng)用規(guī)則

set interfaces [ 需要掛載的三層端口名稱 ] unit 0 family inet filter output deny-wannacry

set interfaces [ 需要掛載的三層端口名稱 ] unit 0 family inet filter input deny-wannacry

　　華三(H3C)設(shè)備的建議配置(示例):

　　新版本: acl number 3050

rule deny tcp destination-port 445 rule permit ip

interface [需要掛載的三層端口名稱] packet-filter 3050 inbound packet-filter 3050 outbound

　　舊版本: acl number 3050

rule permit tcp destination-port 445

traffic classifier deny-wannacry if-match acl 3050

traffic behavior deny-wannacry filter deny

qos policy deny-wannacry

classifier deny-wannacry behavior deny-wannacry

#在全局應(yīng)用

qos apply policy deny-wannacry global inbound qos apply policydeny-wannacry global outbound

#在三層接口應(yīng)用規(guī)則

interface [需要掛載的三層端口名稱]

qos apply policy deny-wannacry inbound

qos apply policy deny-wannacry outbound

　　華為設(shè)備的建議配置(示例):

acl number 3050

rule deny tcp destination-port eq 445 rule permit ip

traffic classifier deny-wannacry type and if-match acl 3050

traffic behavior deny-wannacry

traffic policy deny-wannacry

classifier deny-wannacry behavior deny-wannacry precedence 5

interface [需要掛載的三層端口名稱] traffic-policy deny-wannacry inbound traffic-policy deny-wannacryoutbound

Cisco 設(shè)備的建議配置(示例):

　　舊版本:

ip access-list extended deny-wannacry

deny tcp any any eq 445

permit ip any any

interface [需要掛載的三層端口名稱] ip access-group deny-wannacry in

ip access-group deny-wannacry out

　　新版本:

ip access-list deny-wannacry deny tcp any any eq 445 permit ip anyany

interface [需要掛載的三層端口名稱] ip access-group deny-wannacry in

ip access-group deny-wannacry out

　　銳捷設(shè)備的建議配置(示例):

ip access-list extended deny-wannacry deny tcp any any eq 445

permit ip any any

interface [需要掛載的三層端口名稱] ip access-group deny-wannacry in

ip access-groupdeny-wannacry out

參考文獻(xiàn)：

快科技

360

百度經(jīng)驗(yàn)