本次网络攻击是一种复合型网络攻击,由勒索病毒WannaCry 、蠕虫病毒(永恒之蓝)、比特币(支付手段)共同组成。
“永恒之蓝”是指NSA(美国国家安全局)泄露的危险漏洞“EternalBlue”,此次的勒索病毒WannaCry是利用该漏洞进行传播的,当然还可能有其他病毒也通过“永恒之蓝”这个漏洞传播,因此给系统打补丁是必须的。
微软在今年 3 月发布了 MS17-010 安全更新,以下系统如果开启了自动更新或安装了对应的更新补丁,可以抵御该病毒。
预防分三步:
1、禁止445、135、137、138、139等端口,
2、打补丁,防止蠕虫病毒(永恒之蓝)
3、禁止勒索病毒WannaCry进程运行。
对于企业级客户,建议通过统一平台的管理系统进行预防病毒。
推荐产品IP-guard 内网安全管理软件。
解决方案:
一、阻断传播风险
1、控制台统一设置策略,关闭风险端口。
通过IP-guard网络控制模块禁止445、135、137、138、139等端口。
不需要手动去一台台修改终端电脑的防火墙。
2、终端安全检测:自动隔离没有安装补丁的终端,禁止不安全终端的网络访问。
二、补丁检查和分发
1、通过IP-guard控制台统一检查确认各个终端的补丁安装情况。
2、对于没有安装补丁的终端,统一进行下发和安装
三、禁止病毒进程运行
1、通过IP-guard“应用程序”的管理功能,禁止已知的病毒程序的进程运行。
病毒相关进程:木马母体为mssecsvc.exe 、敲诈者程序tasksche.exe、提权程序taskse.exe、敲诈者揭秘程序@[email protected]、清回收站Taskdl.exe
总结:
IP-guard 用户,可以通过以上“网络阻断–进程阻断–补丁修复”等组合方式,在企业整个内网范围内,统一快速的处置勒索病毒类似的安全突发事件,有效降低企业内网的安全风险。