勒索软件“Wannacry”防护及临时解决方案

2017-05-13 绿盟科技 绿盟科技

北京时间5月12日晚间,全球爆发了一系列勒索软件(Wannacry)的感染事件。国内大量企业遭到感染,多个高校的教育网受到感染,导致系统瘫痪。同时英国多家医院,以及俄罗斯、意大利和大部分欧洲国家的多所高校也均被感染,该勒索软件会加密被感染系统上的资料和数据,要求支付相应的赎金才会解密和恢复。

勒索软件爆发后,绿盟科技安全人员第一时间对该蠕虫进行了紧急分析并制定了一系列安全防护及临时解决方案。

官方解决方案

由于该勒索软件利用了一个微软官方的SMB漏洞,请用户及时检查是否安装了相关的修复补丁,并确保已经下载安装了相关补丁。

微软在2017年3月14日发布了Windows SMB服务器安全更新KB4012598。链接:https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx

另外,由于本次Wannacry蠕虫事件的巨大影响,微软总部刚才决定发布已停服的XP和部分服务器版特别补丁:http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

检测与防护

1、绿盟科技远程安全评估系统(RSAS)已经支持对MS17010漏洞的扫描,可以对对应的windows主机进行漏洞扫描。对应漏洞编号如下:

漏洞标题(MS17-010)

CVE 编号

Windows SMB 远程代码执行漏洞

CVE-2017-0143

Windows SMB 远程代码执行漏洞

CVE-2017-0144

Windows SMB 远程代码执行漏洞

CVE-2017-0145

Windows SMB 远程代码执行漏洞

CVE-2017-0146

Windows SMB 远程代码执行漏洞

CVE-2017-0148

通过以下链接,将插件升级到最新版本即可检测:

RSAS 6.0:http://update.nsfocus.com/update/listRsasDetail/v/vulsys

RSAS 5.0:http://update.nsfocus.com/update/listAurora/v/5

2、绿盟产品入侵防御系统NIPS、威胁分析系统TAC联动防护:

设备

相关功能

NIPS

规则ID

23994

可检测 EternalBlue。

41489

可以检测利用 NSA 工具入侵之后,使用Doublepulsar 留下的后门并阻断入侵。

TAC

可捕获恶意样本,对恶意样本报警,联动 IPS 阻断恶意样本传播。

NF防火墙

可以防护阻断445端口流量。

绿盟入侵防御系统NIPS可以根据规则ID 41489检测并阻断EternalBlue后门:


绿盟威胁分析系统TAC利用新型虚拟执行检测技术可以有效检测出该蠕虫,并联动入侵防御系统NIPS,进行阻断:

分析恶意样本的可疑行为:

临时解决方案

1、 绿盟科技提供一键加固脚本(见附件),帮助客户自动添加主机防火墙阻断规则

2、 硬件防火墙添加阻断445端口规则