交通行业WannaCry（魔窟）病毒风险形势及周一开机指南.docVIP

交通运输行业WannaCry（魔窟） 病毒风险及周一开机指南  首版发布时间：2017年05月14日 本版发布时间：2017年05月15日 一、 行业风险分析 中国交通通信信息中心交通运输信息安全中心是交通运输行业唯一的网络安全专业技术机构，北京时间2017年5月12日20时左右，全球爆发大规模勒索软件WannaCry（魔窟）感染事件，结合CNCERT和安天公司已获知的样本情况，分析交通运输行业风险，截止到5月14日18时，事件影响范围逐步扩大，包括交通运输在内的多个行业均遭受不同程度的影响。 该勒索软件迅速感染全球大量主机的原因是利用了基于445端口传播扩散的SMB漏洞MS17-010，微软在今年3月份发布了该漏洞的补丁。2017年4月14日黑客组织Shadow Brokers（影子经纪人）公布的Equation Group（方程式组织）使用的“网络军火”中包含了该漏洞的利用程序，而该勒索软件的攻击者或攻击组织在借鉴了该“网络军火”后进行了此次全球性的大规模攻击事件。  二、 开机策略 由于WannaCry（魔窟）大规模爆发于北京时间周五晚8点，因此国内还有大量政企机构网络节点尚在关机状态，因此，周一开机已经是一场安全考验。交通运输信息安全中心联合CNCERT、安天公司共同推出应对WannaCry（魔窟）周一开机指南，并提供相关能力的持续更新。 2.1 第一种方式：离线版U盘工具包快速处置 如果您手中已经拿到安天公司提供的离线版U盘工具包，里面已经内置了免疫工具（漏洞修复文件均已包含）、查杀工具、以及安天智甲防勒索软件包，直接按照对应的操作说明操作即可，此种场景可以在可以在拥有离线版U盘工具包的情况下，快速处置。 同时，您也可以通过在百度网盘共享的安天针对wannacry工具集合（U盘版）V1.4，直接下载到U盘中进行使用，效果等同于直接拿到离线版U盘工具包。 下载地址：/s/1eSb0Vnk 备注：工具包文件比较大，共计1.46G，请注意提前安排时间下载。 2.2 第二种方式：通过网络获取工具包处置 1. 蠕虫勒索软件专杀工具（WannaCry）[1] 2. 蠕虫勒索软件免疫工具（WannaCry）[2] 3. 微软升级补丁（微软总部决定对已停服的XP和部分服务器版本发布特别补丁公告）[3] 2.2.1 对于内部网络 CNCERT和安天CERT的最新分析结论表明，勒索软件的触发机制是否能访问iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com（注：“[]”是为了防止误操作点击刻意添加，实际域名中无“[]”），如果访问成功，则不会触发勒索功能。 根据此结论，网络管理人员可以先在内部网中建立灭活域名，必须搭建内部解析服务。可以通过在内部网络搭建DNS Server，将iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com域名地址解析到内网WEB Server的IP地址，同时WEB Server可以接受该域名的连接请求，从而实现免疫。同时，也可以监测内网访问该域名的用户IP地址和用户数量统计出内部用户的感染情况（注：不建议内部网用户以直接连接互联网的方式进行灭活。）。 对于规模较小的单位，可以通知每位工作人员首先拔掉主机网线，然后再按照后面的步骤，直接使用专业的工具进行免疫和杀毒处理即可。 对于规模较大的单位，建议先采用建立灭火域名方式实现免疫，然后再使用专业的工具进行免疫和杀毒处理。 为了便于大家快速搭建WannaCry勒索蠕虫内网响应网页，交通运输信息安全中心联合CNCERT、安天公司共同推出“魔窟”勒索蠕虫内网响应网页。 下载地址为：/s/1eRRX8Q2 备注：工具包文件比较大，共计733M，请注意提前安排时间下载。 使用说明： 1. 找一个已经安装杀毒软件的安全主机，适合做临时WEB Server的PC或者服务器，解压压缩包“魔窟”勒索蠕虫内网响应网页到任意目录。 2. 在目录内找到并运行nginx.exe（运行之前注意需要修改路径不要带中文名称）。 3. 如弹出如下防火墙提示,如下图所示,选择所在的网络点击“允许访问”。 4. 打开浏览器,地址栏输入或http://localhost即可，如下图所示，到此步骤在内部网络搭建DNS Server就完成了。 5. 准备好移动U盘或者光盘，下载专杀工具和免疫工具，如上图，均已经提供了对应工具的下载链接，链接地址同下： （1）蠕虫勒索软件专杀工具（WannaCry）： /response/wannacry/ATScanner.zip （2）蠕虫勒索软件免疫工具（WannaCry）： /response/wannacry/Vaccine_for_wanna