2017年5 月12 日晚上20 時左右�����,全球爆發大規模蠕蟲勒索軟件感染事件�����,僅僅幾個小時內�����,該勒索軟件已經攻擊了99個國家近萬臺電腦�����。英國�����、美國�����、俄羅斯�����、德國�����、土耳其�����、意大利�����、中國�����、菲律賓等國家都已中招�����,且攻擊仍在蔓延�����。
據報道�����,勒索攻擊導致16家英國醫院業務癱瘓�����,西班牙某電信公司有85%的電腦感染該惡意程序�����。至少1600家美國組織�����,11200家俄羅斯組織和6500家中國組織和企業都受到了攻擊�����。國內也有大量教學系統癱瘓�����,包括校園一卡通系統。
教你如何防范永恒之藍(WannaCry)病毒的方法 最全的解決方案
該勒索病毒名為“永恒之藍”�����,偽裝為Windows系統文件�����,用戶一旦感染�����,電腦中大多數文件類型均會被加密�����,然后向用戶勒索價值300或600美金的比特幣�����。該病毒影響所有Windows操作系統�����。
目前�����,瑞星所有產品均可對該病毒進行攔截�����,請將瑞星所有產品更新至最新版�����。同時�����,瑞星推出該病毒免疫工具“瑞星永恒之藍免疫工具”�����,用戶可下載防御病毒�����。
下載地址:
瑞星“永恒之藍”免疫工具:
http://download.rising.net.cn/zsgj/EternalBluemianyi.exe
瑞星“永恒之藍”免疫工具+殺軟:
http://download.rising.net.cn/zsgj/EternalBluemianyi_sharuan.exe
內網用戶免疫病毒方法::
WanaCrypt的主程序啟動時�����,首先會訪問:
http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com,如果可以訪問�����,則會停止工作�����。
目前該域名已經被注冊�����,在互聯網環境下�����,WanaCrypt應該已經不再起效�����。對于無法連接互聯網的用戶�����,可以在本地網絡環境中增加該域名的解析�����,起到抑WanaCrypt活性的作用�����?����;蛘咴诒緳C修改host文件�����,讓該域名指向任意有效HTTP服務�����,都可以起到“免疫”的效果�����。無法連接互聯網的用戶需要自己手工修改指向一個內部可訪問的HTTP服務�����,防毒墻可以在攔截到這個HTTP請求時返回成功信息。
瑞星所有產品解決方案
一�����、瑞星終端安全產品解決方案
瑞星殺毒軟件網絡版查殺截圖:
瑞星安全云查殺截圖:
1�����、更新微軟MS17-010漏洞補丁�����,對應不同系統的補丁號對照表:
ESM版: 2.0.1.29
10網絡版:22.04.63.50
11網絡版:23.00.11.85
12網絡版:24.00.12.60
13網絡版:25.00.03.35
以上版本帶的漏洞掃描功能已經可以支持以上補丁�����。
2�����、ESM產品安裝了行為審計�����、防火墻組件的用戶可以設置防火墻規則(XP或非XP系統都可以)
使用行為審計/IP規則策略�����,設置端口規則:
l 啟用端口規則�����,根據需要考慮是否勾選“阻止訪問時通知用戶”
l 從右邊增加一條新端口規則�����,勾選離線生效
l 選擇“單個端口”�����,并設置端口號為445
l 協議選擇TCP�����,方向選擇入站
l 注意“允許聯網”不要勾選�����,表示拒絕訪問
3�����、網絡版產品設置防火墻規則
l 通過控制,給組設置防火墻組規則�����,右鍵組�����,出操作菜單�����,設置防火墻規則
特別注意“常規”里一定要選擇“禁止”�����,協議里協議類型選TCP�����,對方端口選任意端口�����,本地端口選指定端口�����,并填445
4�����、使用公安專版或只有殺毒模塊的用戶
瑞星殺毒軟件會進行病毒庫緊急升級�����,用來查殺相應的病毒�����。
因為公安專版�����、單殺毒模塊產品上就即不帶漏洞補丁修復�����,又不帶防火墻功能�����,所以請使用公安網內部的其他方式安裝系統補丁或配置防火墻規則(也可參考下一條說明方案)進行防御措施。
5�����、沒有防火墻功能的用戶�����,可以在終端上執行以下CMD命令:
netsh firewall set opmode enable
netsh advfirewall firewall add rule name="deny445" dir=in protocol=tcp localport=445 action=block
netsh advfirewall firewall add rule name="deny139" dir=in protocol=tcp localport=139 action=block
netsh firewall set portopening protocol=TCP port=445 mode=disable name=deny445
netsh firewall set portopening protocol=TCP port=139 mode=disable name=deny139
也可以將上述命令保存為.bat批處理文件�����,管理員權限直接運行,制作.bat批處理文件方法:
n 新建一個文本文件
n 把上述命令拷貝到文件里�����,并保存
n 重命名.txt后綴改為.bat
