“永恒之蓝”事件终端自查公告.pdfVIP

2017 年05 月14 日 “永恒之蓝”事件终端自查手册 北京启明星辰信息安全技术有限公司 目录 一. 事件概述 3 二. 事件分析 3 2.1 影响范围 3 2.2 影响效果 3 三. 核心结论 5 四. 解决方案 6 4.1 终端自查应急方案 6 4.1.1 未检测到病毒的windows 系统主机处置 7 4.1.2 蓝屏重启的windows 主机处置 10 4.1.3 已中招尚未运行勒索软件的windows 主机处置 10 4.1.4 已经感染终端应急解决方案 11 五. 终端侧防护操作指导手册 12 5.1 利用本地防火墙阻挡防护（图形） 12 5.1.1 Win7、Win8 、Win10 的处理流程 12 5.1.2 XP 系统的处理流程 16 5.2 添加防火墙策略入站出站防护规则（CMD ） 17 2 一. 事件概述 北京时间2017 年5 月12 日，全球爆发大规模勒索软件感染事件，截止到目前，全 球已有至少100 多个国家和地区的上万台电脑受到感染，我国是此次蠕虫事件受感染的 重灾区。目前，我国已有多个行业企业内网大规模受到感染，教育网受损尤为严重。 经过分析，这是一起勒索软件与高危漏洞相结合的恶性蠕虫传播事件，其严重性不 亚于当年的“冲击波”、“震荡波”病毒。勒索软件为最新的“wannacry ”的家族，目 前尚无法对加密后的文件进行解密，中招后只能重装系统或向黑客支付赎金解决。此次 “wannacry ”勒索蠕虫疯狂传播的原因是借助了前不久泄露的Equation Group （方程式 组织）的“EternalBlue （永恒之蓝）”漏洞利用工具的代码。该工具利用了微软今年3 月份修补的MS17-010 SMB 协议远程代码执行漏洞，该漏洞可影响主流的绝大部分 Windows 操作系统版本。 二. 事件分析 2.1 影响范围 MS17-010 漏洞主要影响以下操作系统：Windows 2000 ，Windows 2003 ， Windows XP ，Windows Vista ，Windows7 ，Windows8 ，Windows10 ，Windows2008 ， Windows2012 。 由于EternalBlue 的利用代码主要针对WindowsXP 以及Windows7 ，2008 ，因此此 次事件对于Windows XP 、Windows 7 ，Windows2008 的影响更为严重。上述Win7 及 以上操作系统只要打开了445 端口且没有安装MS17-010 的机器则确认会受到影响。 注：以下设备不受影响 安卓手机，iOS 设备，MacOS 设备，*nix 设备、Win10 用户如果已经开启自动更新 不受影响。 2.2 影响效果 当系统被该勒索软件入侵后，会弹出以下勒索对话框： 3 该勒索软件采用包括英语、简体中文、繁体中文等28 种语言进行“本地化”。会将 自身复制到每个文件夹下，并重命名为“@WanaDecryptor@.exe”。同时衍生大量语言 配置等文件，该勒索软件AES 和RSA 加密算法，加密的文件以“WANACRY! ”开头， 加密如下后缀名的文件： 4 该勒索软件属于勒索蠕虫型病毒，其利用了MS17-010 漏洞进行传播，一旦某台电 脑中招，相邻的存在漏洞的网络主机都会被其主动攻击，整个网络都可能被感染该蠕虫 病毒，受害感染主机数据最终将呈几何性增长。如果受害者未按病毒作者要求的三日内 支付相应的比特币，一周后将永久无法解密已加密的文件。 三. 核心结论 勒索攻击名为“wannacry、ONION、Wncry” 是早前披露NSA 黑客武器库泄漏的 “永恒之蓝”发起的攻击事件，