无码人妻视频一区二区三区,亚洲国产精品色一区二区三区色牛,亚洲国产中文精品碰碰,九九视频这里只有精品

1542瀏覽量

WanaCrypt0r 2.0和ONION等勒索軟件病毒應(yīng)急處置方案

來(lái)源:阿里云 時(shí)間:2017-06-01
近期爆出WanaCrypt0r 2.0、onion以及wallet等后綴的勒索加密事件,影響較大,對(duì)于企業(yè)的IT管理員和信息安全管理員,阿里云安全專家推薦您按照以下舉措進(jìn)行應(yīng)急響應(yīng)和處理: 
 
 
    • 如果發(fā)現(xiàn)大面積wannacry蠕蟲加密數(shù)據(jù)并內(nèi)網(wǎng)傳播,請(qǐng)立即斷網(wǎng);
    • 如果發(fā)現(xiàn)部分主機(jī)疑似被植入了蠕蟲,但數(shù)據(jù)未被加密,強(qiáng)烈建議您使用云服務(wù)器提供的快照功能立即創(chuàng)建磁盤快照備份;
    • 微軟已于2017年3月份修復(fù)了此次三個(gè)高危的零日漏洞,建議您立即安裝相關(guān)補(bǔ)?。ㄓ蛴脩艚ㄗh通過域控緊急推送微軟官方的補(bǔ)?。?,下載鏈接點(diǎn)擊:https://technet.microsoft.com/zh-cn/library/security/MS17-010修復(fù)漏洞;
    • 安裝防病毒軟件(如MSE):https://support.microsoft.com/en-us/help/17466/windows-defender-offline-help-protect-my-pc清理,并同時(shí)按照第一步打上補(bǔ)丁;
    • WindowsServer 2003微軟官方已經(jīng)緊急發(fā)布針對(duì)此次事件的特殊補(bǔ)丁:https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/,因此建議您立即安裝相關(guān)補(bǔ)?。ㄓ蛴脩艚ㄗh通過域控緊急推送微軟官方的補(bǔ)?。?,修復(fù)漏洞。
    • 通過安全組策略增加訪問控制策略,關(guān)閉公網(wǎng)和內(nèi)網(wǎng)入方向的TCP137、139、445、3389端口(注意,關(guān)閉3389端口可能導(dǎo)致無(wú)法遠(yuǎn)程登錄服務(wù)器,建議您通過ECS的管理終端功能登錄管理服務(wù)器);
    • 使用以下命令關(guān)閉SMB服務(wù):
       關(guān)閉SMB服務(wù)方案一 

    1. 以管理員身份打開CMD,運(yùn)行以下命令:
    2. net stop server
    3. sc config lanmanserver start= disabled

    關(guān)閉SMB服務(wù)方案二        
    1.請(qǐng)?jiān)诳刂泼姘?程序>啟用或關(guān)閉windows功能>取消勾選SMB1.0/CIFS文件共享并重啟系統(tǒng)。 
    2.打開控制面板>查看網(wǎng)絡(luò)狀態(tài)和任務(wù)>更改適配器設(shè)置>右鍵點(diǎn)擊正在使用的網(wǎng)卡后點(diǎn)擊屬性>取消勾選Microsoft網(wǎng)絡(luò)文件和打印機(jī)共享,重啟系統(tǒng)。

    • 檢查【內(nèi)網(wǎng)】入方向是否存在0.0.0.0/0 允許策略,如果存在,建議您備份安全組設(shè)置后,盡快刪除0.0.0.0/0條目(注意:刪除此策略前,請(qǐng)您務(wù)必確認(rèn)內(nèi)網(wǎng)需要互訪的請(qǐng)求已經(jīng)單獨(dú)通過安全組策略放行。
    • 對(duì)于已經(jīng)被加密的機(jī)器目前尚無(wú)可靠的解密手段,若有備份,建議您重置系統(tǒng)后使用備份數(shù)據(jù)進(jìn)行恢復(fù);
    • 新創(chuàng)建的ECS已經(jīng)安裝了補(bǔ)丁,不受此事件影響,但依然建議您確認(rèn)高危端口是否對(duì)內(nèi)外網(wǎng)開放;如非必要,建議您參考第四步,關(guān)閉相關(guān)端口;

 
補(bǔ)丁下載:  
病毒針對(duì) Windwdos Server 2003 至 2008 R2 必須打補(bǔ)丁。目前 Windwdos Server 2012 R2 至 2016 還沒有出現(xiàn)影響情況,但最好還是打上補(bǔ)??!  
 
阿里的 Windows Server 均為正版系統(tǒng),生產(chǎn)環(huán)境
 
務(wù)必開啟自動(dòng)更新!  
 
務(wù)必開啟自動(dòng)更新!  
 
務(wù)必開啟自動(dòng)更新!  
 
 
安裝補(bǔ)丁不會(huì)導(dǎo)致系統(tǒng)變慢! 也可以配合使用安全組禁止公網(wǎng)入、內(nèi)網(wǎng)入方向的135、137、139、445 等相關(guān)端口。 
 
 
Windows Server 2003 特別補(bǔ)丁 - KB4012598  
Security Update for Windows Server 2003 (KB4012598) 
http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x86-custom-chs_b45d2d8c83583053d37b20edf5f041ecede54b80.exe  
Security Update for Windows Server 2003 for x64-based Systems (KB4012598)  
http://download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-chs_68a2895db36e911af59c2ee133baee8de11316b9.exe  
 
 
Windows Server 2008 R2 SP1 補(bǔ)丁 - KB4012212、KB4012215  
March, 2017 Security Only Quality Update for Windows Server 2008 R2 for x64-based Systems (KB4012212)  
http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu  
 
 
March, 2017 Security Monthly Quality Rollup for Windows Server 2008 R2 for x64-based Systems (KB4012215)  
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/03/windows6.1-kb4012215-x64_a777b8c251dcd8378ecdafa81aefbe7f9009c72b.msu  
 
 
Windows Server 2012 R2 - 補(bǔ)丁 KB4012213、KB4012216  
March, 2017 Security Only Quality Update for Windows Server 2012 R2 (KB4012213)  
http://download.windowsupdate.com/c/msdownload/update/software/secu/2017/02/windows8.1-kb4012213-x64_5b24b9ca5a123a844ed793e0f2be974148520349.msu  
March, 2017 Security Monthly Quality Rollup for Windows Server 2012 R2 (KB4012216) 
http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/03/windows8.1-kb4012216-x64_cd5e0a62e602176f0078778548796e2d47cfa15b.msu  
 
 
Windows Server  2016 - 補(bǔ)丁 KB4013429  
Cumulative Update for Windows Server 2016 for x64-based Systems (KB4013429)  
http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/03/windows10.0-kb4013429-x64_ddc8596f88577ab739cade1d365956a74598e710.msu  
 
Q&A問答:  
1.對(duì)于 MS17-010,里面包含 2 個(gè)安全更新號(hào)碼 4012215 和 4012212,是都需要打還是只要打一 個(gè) 4012212 就可以呢? 
KB4012215 是 2017 年 3 月的安全質(zhì)量更新匯總,涵蓋了 KB4012212,因此兩者任選一個(gè)安裝,都能修復(fù)漏洞。 
 
2.安裝時(shí)提示此更新不適用于您的計(jì)算機(jī),怎么辦? 
請(qǐng)確認(rèn)系統(tǒng)滿足了先決條件再安裝。例如 Windows Server 2008 R2, 必須在 Service Pack 1 安裝完成后,才能安裝這次涉及到的安全更新。 
 
3.如何判斷是否已經(jīng)安裝了正確的補(bǔ)丁? 
首先重啟系統(tǒng)。然后對(duì)于 Vista SP2/Server 2008 SP2 開始的系統(tǒng),可以使用 PowerShell 命令 Get-hotfix 來(lái)確認(rèn)。 
即使安裝了 MS17-010 還有可能中招,如果中招了是否可以殺毒,還是必須重裝?此時(shí)系統(tǒng)還 會(huì)傳播勒索軟件嗎? 
 
4.如果是 2003 的能夠?qū)で笪④浀膸椭鷨? 
Windows Server 2003 Service Pack 2 已經(jīng)結(jié)束支持周期 2 年了。微軟針對(duì)這次事件,特地破例 發(fā)布 2003 SP2 的漏洞修復(fù)——安全更新。
 
5.是否會(huì)跨網(wǎng)段傳播? 
會(huì) 
 
6.SMB V1 如果停止了會(huì)有什么影響? 
SMB v1 是從 Windows Vista SP2/Windows Server 2008 SP2 開始引入的。如果停止掉, Vista/Server 2008 之前的系統(tǒng)(XP/Server 2003)就無(wú)法訪問共享。Computer Browser 服務(wù)也會(huì) 受到影響。如果系統(tǒng)上有較多應(yīng)用依存于 SMB v1 的話,這些應(yīng)用可能無(wú)法使用。 
 
7.感染了的話,付錢是否能解決問題,是否有其他隱患? 
您的資產(chǎn)的價(jià)值需要您來(lái)評(píng)估,最終由您決定是否值得付錢解決。 
如果要重新安裝系統(tǒng),只格式化 C 盤就可以了還是需要全盤格式化? 如果沒有專業(yè)的事件分析,很難說是否需要所有磁盤格式化。 
 
8.目前看到傳播的速度多快?是否可能手工停止病毒進(jìn)程來(lái)防范? 
勒索軟件一般采用非對(duì)稱秘鑰加密算法加密秘鑰,然后用對(duì)稱秘鑰和這個(gè)秘鑰來(lái)快速把文件進(jìn) 行加密。加密文件并不僅僅局限于文本類型文件。整個(gè)加密的過程本身是比較快的。往往在人 們感知到時(shí),已經(jīng)非常晚了。我們微軟的防病毒軟件可以檢測(cè)客戶端上進(jìn)程的行為,如果發(fā)現(xiàn) 類似勒索軟件的惡意行為,在沒有準(zhǔn)確病毒庫(kù)下也會(huì)攔截。雖然攔截速度和快,還是有可能不 幸您的部分重要文件已經(jīng)被加密。 
 
9.如果系統(tǒng)無(wú)法安裝補(bǔ)丁更新該怎么辦? 
WannaCrypt 病毒利用了 SMBv1 組件中的一個(gè)漏洞進(jìn)行攻擊。對(duì)于 Windows Vista/2008 以上版 
本的客戶端/服務(wù)器,可以關(guān)閉 SMBv1 的服務(wù)。
 
對(duì)于 Windows XP/2003 服務(wù)器,可以關(guān)閉 SMB 協(xié)議:  
設(shè)置以下注冊(cè)表鍵值后重啟系統(tǒng) 
Key: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNetBTParameters Name: SMBDeviceEnabled 
Type: DWORD (REG_DWORD) 
Data: 0 
需要重啟系統(tǒng) 
 
10.停止 SMBv1 會(huì)對(duì)系統(tǒng)造成哪些影響? 
SMB 協(xié)議是局域網(wǎng)內(nèi)常用的協(xié)議,這個(gè)協(xié)議的主要目的是提供不同系統(tǒng)之間的文件,打印機(jī),串口及 其他設(shè)備的數(shù)據(jù)訪問共享通信。關(guān)閉 SMB 協(xié)議造成的最直接影響是失去文件共享,網(wǎng)絡(luò)打印等功能,同時(shí)某些利用 SMB 協(xié)議提供的通信功能也會(huì)受到影響,例如通過命名管道建立的通信也會(huì)受到 影響。 
SMBv1 服務(wù)是 Windows 2003/Windows XP 等舊系統(tǒng)進(jìn)行 SMB 通信的協(xié)議。Windows Vista/2008 以及更 高版本的操作系統(tǒng)可以使用 SMBv2 及以后版本的協(xié)議進(jìn)行通信。簡(jiǎn)單地說,在 Windows Vista/2008 以 及更高版本的操作系統(tǒng)之間的通信不受影響,但 Windows 2003/Windows XP 等舊系統(tǒng)與 Windows Vista/2008 以及更高版本的操作系統(tǒng)之間的 SMB 通信會(huì)停止。 

聯(lián)系我們

一次需求提交或許正是成就一個(gè)出色產(chǎn)品的開始。
歡迎填寫表格或發(fā)送合作郵件至: qczsky@126.com

大理青橙科技

電話:13988578755 13988578755

郵箱:qczsky@126.com

地址:大理市下關(guān)龍都春天10層

如果您無(wú)法識(shí)別驗(yàn)證碼,請(qǐng)點(diǎn)圖片更換

德州市| 瑞金市| 西藏| 五原县| 仪征市| 鸡西市| 盐池县| 上蔡县| 汉中市| 漠河县| 镇江市| 邵阳县| 台前县| 贡山| 玉门市| 渝中区| 洪湖市| 方正县| 象山县| 奇台县| 调兵山市| 武城县| 南澳县| 佛教| 乐东| 财经| 广州市| 湟中县| 金山区| 九龙县| 金堂县| 宝兴县| 尚义县| 南平市| 甘谷县| 寻甸| 岑巩县| 清远市| 溆浦县| 阜平县| 贡觉县|