1
——
上周全球最轰动的事件,莫过于WannaCrypt蠕虫病毒的蔓延
上周五起(美国时间 5 月 12 日,北京时间凌晨),从英国和西班牙开始,恶意软件 WannaCrypt 迅速蔓延到全球,该病毒阻止客户访问自己的数据,除非用户以比特币方式支付赎金。
WannaCrypt 利用了从美国国家安全局(NSA)窃取的漏洞利用工具进行攻击。媒体从病毒爆发时到如今持续报道,一时成为焦点和热点,各安全厂商股票纷纷涨停,袋鼠云一家关系民生,关系社会治安的政府客户,也不幸遭受此次病毒重创,数据丢失,系统瘫痪。
WannaCry也被称为WannaCrypt / WannaCrypt0r,此病毒文件的大小3.3MB,是一款蠕虫勒索式恶意软件,由不法分子利用NSA(National Security Agency,美国国家安全局)泄露的危险漏洞“EternalBlue”(永恒之蓝)进行传播。
除 Windows 10系统外,所有未及时安装 MS17-010补丁的 Windows系统都可能被攻击。WannaCry通过 MS17-010漏洞进行快速感染和扩散,使用 RSA加密算法对文件进行加密,删除原文件,阻止客户访问自己的数据,除非用户以比特币方式支付赎金。
一旦某个电脑被感染,同一网络内存在漏洞的主机都会被它主动攻击,因此受感染的主机数量迅速蔓延。安全机构全球监测已经发现目前多达74个国家遭遇本次敲诈者蠕虫攻击。
2
——
对WannaCrypt蠕虫病毒,唯“快”不破
我们都知道RSA加密几乎不可能被破击,所以唯有快速出击,回应,及时止损和系统维护,做好安全防范措施,避免更大影响。
作为处在一线的战斗方,从病毒爆发起,我们就快速响应,全力协调工程师资源和采取措施进行抢救,在写这篇文章之前,袋鼠云已经和自己的客户并肩奋斗了84个小时,尽最大努力将病毒控制,防止进一步的感染或传播。
到周日上午9时,虽然病毒蔓延已经基本被控制住,但我们仍然要为客户业务系统的恢复继续战斗。
袋鼠云和客户全力狙击WannaCry 2.0工作表
5月13日
防御
已完成
5月14日
防御、加固
已完成
5月15日
加固
已完成
5月16日
加固
阶段性胜利
5月17日
业务系统恢复
恢复中
···
业务系统恢复
恢复中
在此,袋鼠云非常感谢战斗在一线的工程师们、安全专家们、开发商、合作伙伴们,大家辛苦了,因为大家的坚持和努力,这次病毒事件我们扛住了,更没有要了我们的命。
而对于和我们战斗在一线的客户,我们谢谢大家的支持和信任,袋鼠云不会逃避困难,对于客户的合理需求,我们都全力以赴。
3
——
5月13日,5月14日
与阿里云合作伙伴一起,我们在采取了如下防御措施
1、在网络和安全这层,对于每台Windows服务器的445、139端口的入方向进行隔离操作
2、对健康未感染的Windows 服务器的IP安全策略实施445、139入方向禁止操作
3、对于感染的Windows服务器进行关机,避免正常数据文件被加密
4、安装MS17-010系统补丁、多渠道通知,公布官方MS17-010补丁链接
5、安装免疫防护工具
6、检查服务器的账号密码,修改为强口令密码并定期更新密码
7、向用户发布疫情信息,要求办公电脑采取防御措施,提供合理的方法,避免周一上班二次病毒爆发
8、建议安装防病毒软件、杀毒软件,推荐MSE(Microsoft Security Essentials)、企业版卡巴斯基、诺顿等
4
——
5月14日、5月15日、5月16日
后续的防御和加固措施
如下:
1、搭建http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com 服务器查找感染,防止传播;
2、在网络和安全这层,对于每台Windows服务器禁止135、137端口入方向访问
3、对健康未感染的Windows 服务器的IP安全策略实施禁止135、137入方向访问
4、发现服务器会对外请求445端口,在网络、安全、服务器禁止445、135、137、139的出方向,阻隔病毒传播。
5、做好系统快照和系统备份
5
——
接下来1-2周,工作重心转向业务系统的恢复
1、为受灾的业务系统申请ECS资源,重新搭建业务系统进行恢复
2、对于感染的数据库,采用数据备份恢复,或尝试抢救恢复数据,方式是数据盘做快照备份后,采用部分安全厂商数据恢复工具尝试恢复数据。
3、对于健康服务器做快照备份,数据库做好数据备份和容灾
6
——
道阻且长,袋鼠宝宝们仍将上下而求索
基于这次勒索病毒事件,颠覆了我们专网比公网安全的认知,袋鼠云也对以往工作进行了总结和反思:
1、对于所有系统,做好补丁升级工作,推动局方搭建WSUS(Windows Server Update Services)和Yum Server,做好内网系统的补丁升级
2、按安全等保要求,对整个系统平台进行安全加固,
