系统安全防护手册

系统安全防护手册

• 概述
• 勒索病毒简介
• 病毒分析
• • 病毒信息
  • 攻击特点
  • 攻击类型
  • 涉及范围
  • 病毒防范
• 系统防护与处理
• • 系统防护
  • 勒索病毒处理建议

概述

? ? ?此方案为本公司对近年全球范围内爆发基于Windows 络共享协议进行攻击传播的蠕虫恶意代码，这是不法分子通过改造之前泄露的NSA黑客武器库中“永恒之蓝”攻击程序发起的 络攻击事件，针对此事件本公司建议对系统做如下防护。

勒索病毒简介

? ? ?WannaCry（又叫Wanna Decryptor），一种“蠕虫式”的勒索病毒软件，大小3.3MB，由不法分子利用NSA（National Security Agency，美国国家安全局）泄露的危险漏洞“EternalBlue”（永恒之蓝）进行传播。该恶意软件会扫描电脑上的TCP 445端口(Server Message Block/SMB)，以类似于蠕虫病毒的方式传播，攻击主机并加密主机上存储的文件，然后要求以比特币的形式支付赎金。勒索金额为300至600美元。2017年5月14日，WannaCry 勒索病毒出现了变种：WannaCry 2.0，取消Kill Switch 传播速度或更快。截止2017年5月15日，WannaCry造成至少有150个国家受到 络攻击，已经影响到金融，能源，医疗等行业，造成严重的危机管理问题。中国部分Windows用户遭受感染，校园 用户首当其冲，受害严重，大量实验室数据和毕业设计被锁定加密。
? ? ?目前，安全业界暂未能有效破除该勒索软件的恶意加密行为。微软总裁兼首席法务官Brad Smith称，美国国家安全局未披露更多的安全漏洞，给了犯罪组织可乘之机，最终带来了这一次攻击了150个国家的勒索病毒。

病毒分析

病毒信息

? ? ?2017年4月16日，CNCERT主办的CNVD发布《关于加强防范Windows操作系统和相关软件漏洞攻击风险的情况公告》，对影子纪经人“Shadow Brokers”披露的多款涉及Windows操作系统SMB服务的漏洞攻击工具情况进行了通 （相关工具列表如下），并对有可能产生的大规模攻击进行了预警：

? ? ?当用户主机系统被该勒索软件入侵后，弹出如下勒索对话框，提示勒索目的并向用户索要比特币。而对于用户主机上的重要文件，如：照片、图片、文档、压缩包、音频、视频、可执行程序等几乎所有类型的文件，都被加密的文件后缀名被统一修改为“.WNCRY”。目前，安全业界暂未能有效破除该勒索软的恶意加密行为，用户主机一旦被勒索软件渗透，只能通过重装操作系统的方式来解除勒索行为，但用户重要数据文件不能直接恢复。

勒索病毒处理建议

1. 服务器中毒
   1．开机前，拔掉 线、停用无线等一切互联 连接；
   2． 在拔掉一切 线后，开机，对关键数据进行备份和关键数据迁移（转移到非 络连接本地服务器存储）；
   3． 使用安全（无病毒）的U盘下载系统补丁（https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx），并给每台计算机打上该补丁（注意仔细核对操作系统的版本并下载相应补丁）；
   4． 使用杀毒软件对系统进行杀毒。
   5． 关闭计算机操作系统不必要开放的445、135、137、138、139等端口关闭 络共享功能；
   6． 完成上述步骤后，方可联 ；
   7． 文件被勒索病毒锁定后一般是无法恢复的，除非交保证金（交保证金也不一定能恢复）或找数据恢复厂商进行恢复，另外如果已经有备份的话可以恢复备份即可。
   8． 中勒索病毒服务器建议在数据迁移完成后删除系统，然后重新安装系统，以保证系统安全性。
   9． 一旦发现电脑有异常，马上隔离处理；