www.nucmacb.cn" /> " />
附件1:面向全體網絡管理員的解決方案文檔(解決服務器和網絡方面的安全隱患)
?
附件2:面向全體用戶的解決方案文檔(通過免疫工具和補丁完成電腦端SMB漏洞的修復)
附件3:深信服針對PC防護勒索病毒的建議指導
附件4:深信服NGAF針對勒索病毒的配置指導
附件5:深信服AC針對勒索病毒的配置指導
相關鏈接:
病毒介紹
2017年5月12日起, 全球性爆發(fā)勒索病毒WannaCry ,經研究,此次為不法分子通過改造之前泄露的NSA黑客武器庫中“永恒之藍”攻擊程序發(fā)起的網絡攻擊事件。“永恒之藍”通過掃描開放445文件共享端口的Windows電腦,無需用戶進行任何操作,只要開機聯(lián)網,不法分子就能在電腦和服務器中植入病毒。
系統(tǒng)中招后,病毒會加密系統(tǒng)中的照片、圖片、文檔、壓縮包、音頻、視頻、可執(zhí)行程序等幾乎所有類型的文件,被加密的文件后綴名被統(tǒng)一修改為“.WNCRY”,病更改終端背景圖片提出勒索要求,如下:
![]() 應對措施
一 、PC終端的隔離與加固
1、針對已被感染的計算機
已被感染的計算機請立即隔離,禁用所有有線及無線網卡或直接拔掉網線。
不要刪除或損壞被加密數(shù)據(jù),待后續(xù)解決方案。
2、針對暫未被感染的計算機
如計算機暫未被感染,為加強保護,避免被感染,請下載智安全Wannacry免疫工具,在計算機上執(zhí)行,并選擇“立即免疫”。
下載工具,一鍵免疫:>>智安全Wannacry免疫工具
工具使用說明:
1)、請以系統(tǒng)管理員權限運行本工具;
2)、執(zhí)行本工具時,如有殺軟提醒,請選擇“允許”;
工具詳細說明:>>工具說明
系統(tǒng)補丁未更新的,請按如下指示進行更新:http://sec.sangfor.com.cn/vulns/314.html
3)、針對已部署深信服行為管理設備的客戶,可以通過配置終端提示頁面,提醒用戶安裝免疫工具
在上網策略中,新增終端提醒策略
時間選擇每隔 5 分鐘
此策略至少開啟 1 小時后再禁用,以保證所有人都能收到提醒
![]() 4)針對已經部署深信服防火墻的客戶,每日首次登陸可獲取最新威脅情報提醒,之后點擊“威脅情報預警與處置”獲取詳情。點擊“立即掃描”主動發(fā)現(xiàn)主機風險,如下圖所示:
![]() ![]() 二、 網絡邊界設備的策略優(yōu)化
【部署AF客戶的策略建議】
1. 禁止外網對內網135/137/138/139/445端口的訪問,切斷外部攻擊途徑。(TCP/UDP都要關閉)
![]() 然后配置應用控制策略,阻斷這幾個端口的流量,如下圖3所示(注意區(qū)域選擇全部):
![]() 2. 更新漏洞識別庫至20170415(4月15日發(fā)布)及以上版本,并配置阻斷策略。
1)確認入侵防護規(guī)則中,包含WannaCry阻斷規(guī)則
![]() 2)確認配置了阻斷策略,并保證該策略在IPS防護策略的第一條
![]() 【部署AC客戶的策略建議】
禁止外網對內網135/137/138/139/445端口的訪問,切斷外部攻擊途徑(TCP/UDP都要關閉)
A. 新增網絡服務
在對象定義->網絡服務中,新增一個網絡服務
![]() B. 新增防火墻規(guī)則
在防火墻->過濾規(guī)則-> WAN<->LAN 中,新增規(guī)則
![]() ![]() 三、 針對有域名的網站,排查有無“永恒之藍”MS17-010 漏洞
登錄深信服網站安全監(jiān)測服務首頁(https://rm.sangfor.net.cn),點擊注冊,聯(lián)系當?shù)匾痪€,協(xié)助注冊(需要輸入一線工號,提供驗證碼之后即可注冊成功),領取網站安全監(jiān)測服務,監(jiān)測“永恒之藍”MS17-010 漏洞是否存在。
![]() |
掃一掃,關注我們