您当前位置:
WannaCry2.0来了之周一应急方案

WannaCry 1.0

2017512日开始在全球范围内迅速传播的勒索病毒“WannaCry”,在英国僵尸网络研究人员@malwaretech通过逆向工程发现WannaCry “紧急开关kill switch)域名并将该域名注册至自己名下后,WannaCry 1.0在全球范围的攻击开始受到控制并逐步消退。

WannaCry 2.0

514日,北京市委网信办、北京市公安局、北京市经信委联合发出《关于WannaCry勒索蠕虫出现变种及处置工作建议的通知》。《通知》指出,有关部门监测发现,WannaCry 勒索蠕虫出现了变种:WannaCry 2.0,与之前版本的不同是,这个变种取消了所谓的Kill Switch,不能通过注册某个域名来关闭变种勒索蠕虫的传播。

面临的考验:

    通过@malwaretech制作的动态趋势图513日下午17:00的数据可以看出,我国依然呈WannaCry高危传播趋势。明天是周一,全国更多的windows设备将上线工作,对各行业信息和网络安全人员更严峻的考验即将到来。

 

我们在行动:

    513日上午10点接到第一例控制WannaCry传播的客户紧急技术支持请求起,30多个小时里天懋信息安全团队坚守岗位,协助各行业TINDAE产品线客户快速定位WannaCry“毒源”及提供可能被感染设备清单,成功的帮助客户抑制了WannaCry的传播势头并掌握了有效的应急方案。

应急方案:

1.被感染设备处置

正在使用TINDAE产品线以下产品的用户:

  • 天懋安全威胁感知系统(TINDAE-STPS
  • 天懋网络违规行为监测分析系统(TINDAE-NBMS
  • 天懋异常连接监测系统(TINDAE-ACM

可登录相关产品进行以下操作:

(1)   1.打开“分析视图”找到“TopN端口扫描客户端”菜单

(2)   2.点击“高级条件”,在“视图条件”页面的“服务器端口”栏输入 445,点击“确定”

(3)3
3.
选择查询“时间范围”, 点击“查询”,查询对445端口存在异常扫描次数的设备(地址)。


(4)   4.选定异常设备地址,点击鼠标右键,选择“关联分析”菜单中的“TopN被扫描设备”,获取被异常扫描的目标设备列表。


(5)   5.根据以上信息,可以判断WannaCry的攻击源、潜在受影响的目标范围。

 

(6)   6.(可选)如果需要对问题设备的具体攻击情况进行分析,可以采用如下方法,确定发出大量445端口扫描访问的进程:

A、登录问题终端,使用命令: netstat ano | findstr 445”找出有关pid (最后一列);

B、进入任务管理器,或使用命令:tasklist | findstr xxx”(xxx为具体pid),查询进程名称信息

(7)   7.WannaCry传播源和潜在被感染设备进行断网隔离

(8)   8.对被感染设备进行全盘格式化

2.未感染设备防护

1)  全面清查Windows设备,包括台式电脑、笔记本电脑、服务器、虚拟机等,还包括基于Windows环境运行的其他设备,例如自助终端等。

2) 对未做处置的设备进行断网处理,直至完成整个处置过程。

3)对网络设备进行策略配置,限制445端口通信,阻断WannaCry传播途径。

4)将设备更新至最新的Windows安全补丁。需要注意的是,由于已经断网,须通过移动存储介质对其进行更新,为避免病毒通过移动存储介质传播,需要做到:

A、搭建相对安全的补丁处置环境,例如:Linux环境(另有一说法为利用安卓设备及其OTG接口作为安全环境,未验证);

B、在安全环境格式化移动存储介质,并将微软官网下载补丁拷贝进去;

C、通过移动存储介质对一台未感染设备进行补丁升级;

D、重复ABC三项。

5) 开启Windows防火墙,并关闭445端口和网络文件共享:

A、控制面板->系统与安全->启用Windows防火墙;

B、点击"高级设置"->点击“入站规则”->选择"新建规则"->规则类型选择“端口”->应用于“TCP”协议,特定本地端口并输入“445->“操作”选择“阻止连接”->“配置文件”中“规则应用”全部勾选->规则名称任意输入(如NO_SMB_445)并点击完成。

CWindows XP可进入控制面板->安全中心->启用“Windows防火墙”,点击“开始”->“运行”->输入“cmd->依次执行“net  stop rdr”、“net  stop srv”和“net  stop netbt”三条命令临时予以解决,建议更新至更高版本的操作系统。

6) 备份设备中的重要数据并脱机存储。

3.已被加密数据的处置建议

目前已确认通过全盘格式化的方式可清除病毒,如磁盘内存有未备份的重要数据,网络上有临时解决方案,未验证不确保可以成功,操作步骤为:

A、打开勒索页面,复制勒索者的比特币地址;

B、将地址粘贴到btc.com区块链查询器;

C、在区块链查询器中查询勒索者收款地址的相关交易记录,然后随意选择一个txid(交易哈希值);

D、随意选择一个txid复制到勒索页面并提交;

E、时不时点一下check payment,看看有没欺骗成功;

F、如果欺骗成功,点击decrypt 解密文件即可;

G、如不成功,建议封存被感染设备,等待未来的解决方案。