新闻资讯

今天是母亲节,艾科网信帮您来收Wannacry这只妖

2017-05-14 Ever 43

周五下班刚结束,大家都在讨论母亲节该送些什么礼物好呢,结果5月12日晚上20时左右,一大波病毒席卷了全球100多个国家。今年这份”母亲节礼物“真是够份量,够气派,一亮相就刷爆了整个安全行业的朋友圈。下面小编就来简单介绍一下这份震惊世界的“大礼“。

 t015a7526f84b7dd218.jpg


今天是母亲节,Wannacry这份”大礼“我们拒收

事件背景

5月12日晚上20时左右,全球范围内爆发了基于Windows网络共享协议进行攻击传播的蠕虫恶意代码。五个小时内,包括美国、俄罗斯以及整个欧洲在内的100多个国家,及国内的高校内网、大型企业内网和政府机构专网中招,被勒索支付高额赎金(有的需要比特币)才能解密恢复文件,这场攻击甚至造成了教学系统瘫痪,包括校园一卡通系统,对重要数据造成严重损失。截至5月13日,国内已经有超过上万台机器被感染。

 t014a4bd58e725101b6.jpg

这次的“永恒之蓝”勒索蠕虫,是NSA网络军火民用化的全球第一例。一个月前,第四批NSA相关网络攻击工具及文档被Shadow Brokers组织公布,包含了涉及多个Windows系统服务(SMB、RDP、IIS)的远程命令执行工具,其中就包括“永恒之蓝”攻击程序。

 1494713079565090.jpg

在之前就已经爆发的多次利用445端口进行蠕虫攻击的事件中,部分运营商在主干网络上已经封禁了445端口,但是教育网以及大量企业内网并没有此限制,而且并未及时安装补丁,仍然存在大量暴露445端口且存在漏洞的电脑,导致了这次“永恒之蓝”勒索蠕虫的泛滥。

 1494713173941524.jpg

事件评定

针对5月12日开始在全球爆发的Wannacry(永恒之蓝)勒索蠕虫攻击,相关安全监测与响应中心对此事件的风险评级为危急,并发布针对大型机构的紧急应对方案。

艾科网信“捉妖记”

针对勒索病毒,根源是smb(Server Message Block)服务,为切实避免“永恒之蓝”勒索蠕虫对业务系统和办公终端带来影响,艾科网信给出了以下有效解决方案:

一,禁用smb服务,配置策略后,高版本客户端可自动禁用,低版本会退网隔离;

二,禁止从外部访问本地的tcp 445端口,可以通过软件下发脚本或执行入网脚本来实现;同时可以通过软件检查端口的形式使开启了该端口的终端退网隔离;

三,检查补丁,缺少此补丁的将退网隔离;

四,通过U盘管理功能,禁止内网终端使用U盘,防止病毒通过U盘的形式传播;

五,定义网络服务策略,只允许终端与内网地址通讯。

 在这种表面上的风平浪静之中,而以窃密、预制为目的的APT攻击却肆意妄为,始终未能得到足够的重视。因此在过去几年,内网安全风险是围绕高度隐蔽性和定向性展开的,这种风险难以感知的特点,导致内网安全未得到有效的投入和重视。这也将刺激全球网络安全行业加速发展,有效预防控制及破解此类病毒攻击。艾科网信将竭力保障广大用户的内网信息安全,一路“降妖除怪”,在这个母亲节为祖国母亲献上一份精心准备的大礼。