84小时,230台服务器,袋鼠云和客户一起全力阻击WannaCrypt蠕虫病毒

简介: 1 —— 上周全球最轰动的事件,莫过于WannaCrypt蠕虫病毒的蔓延 上周五起(美国时间 5 月 12 日,北京时间凌晨),从英国和西班牙开始,恶意软件 WannaCrypt 迅速蔓延到全球,该病毒阻止客户访问自己的数据,除非用户以比特币方式支付赎金。

1

——

上周全球最轰动的事件,莫过于WannaCrypt蠕虫病毒的蔓延


上周五起(美国时间 5 月 12 日,北京时间凌晨),从英国和西班牙开始,恶意软件 WannaCrypt 迅速蔓延到全球,该病毒阻止客户访问自己的数据,除非用户以比特币方式支付赎金。


ca129d8316d29938514128babb205623f1dda61e


WannaCrypt 利用了从美国国家安全局(NSA)窃取的漏洞利用工具进行攻击。媒体从病毒爆发时到如今持续报道,一时成为焦点和热点,各安全厂商股票纷纷涨停,袋鼠云一家关系民生,关系社会治安的政府客户,也不幸遭受此次病毒重创,数据丢失,系统瘫痪。


WannaCry也被称为WannaCrypt / WannaCrypt0r,此病毒文件的大小3.3MB,是一款蠕虫勒索式恶意软件,由不法分子利用NSA(National Security Agency,美国国家安全局)泄露的危险漏洞“EternalBlue”(永恒之蓝)进行传播。


除 Windows 10系统外,所有未及时安装 MS17-010补丁的 Windows系统都可能被攻击。WannaCry通过 MS17-010漏洞进行快速感染和扩散,使用 RSA加密算法对文件进行加密,删除原文件,阻止客户访问自己的数据,除非用户以比特币方式支付赎金。


一旦某个电脑被感染,同一网络内存在漏洞的主机都会被它主动攻击,因此受感染的主机数量迅速蔓延。安全机构全球监测已经发现目前多达74个国家遭遇本次敲诈者蠕虫攻击。


2

——

对WannaCrypt蠕虫病毒,唯“快”不破


我们都知道RSA加密几乎不可能被破击,所以唯有快速出击,回应,及时止损和系统维护,做好安全防范措施,避免更大影响。


作为处在一线的战斗方,从病毒爆发起,我们就快速响应,全力协调工程师资源和采取措施进行抢救,在写这篇文章之前,袋鼠云已经和自己的客户并肩奋斗了84个小时,尽最大努力将病毒控制,防止进一步的感染或传播。


到周日上午9时,虽然病毒蔓延已经基本被控制住,但我们仍然要为客户业务系统的恢复继续战斗。


袋鼠云和客户全力狙击WannaCry 2.0工作表

5月13日

防御

已完成

5月14日

防御、加固

已完成

5月15日

加固

已完成

5月16日

加固

阶段性胜利

5月17日

业务系统恢复

恢复中

···

业务系统恢复

恢复中


在此,袋鼠云非常感谢战斗在一线的工程师们、安全专家们、开发商、合作伙伴们,大家辛苦了,因为大家的坚持和努力,这次病毒事件我们扛住了,更没有要了我们的命。


而对于和我们战斗在一线的客户,我们谢谢大家的支持和信任,袋鼠云不会逃避困难,对于客户的合理需求,我们都全力以赴。


3

——

5月13日,5月14日

与阿里云合作伙伴一起,我们在采取了如下防御措施


1、在网络和安全这层,对于每台Windows服务器的445、139端口的入方向进行隔离操作

2、对健康未感染的Windows 服务器的IP安全策略实施445、139入方向禁止操作

3、对于感染的Windows服务器进行关机,避免正常数据文件被加密

4、安装MS17-010系统补丁、多渠道通知,公布官方MS17-010补丁链接

5、安装免疫防护工具

6、检查服务器的账号密码,修改为强口令密码并定期更新密码

7、向用户发布疫情信息,要求办公电脑采取防御措施,提供合理的方法,避免周一上班二次病毒爆发

8、建议安装防病毒软件、杀毒软件,推荐MSE(Microsoft Security Essentials)、企业版卡巴斯基、诺顿等


4

——

5月14日、5月15日、5月16日

后续的防御和加固措施


如下:

1、搭建http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com 服务器查找感染,防止传播;

2、在网络和安全这层,对于每台Windows服务器禁止135、137端口入方向访问

3、对健康未感染的Windows 服务器的IP安全策略实施禁止135、137入方向访问

4、发现服务器会对外请求445端口,在网络、安全、服务器禁止445、135、137、139的出方向,阻隔病毒传播。

5、做好系统快照和系统备份

 

5

——

接下来1-2周,工作重心转向业务系统的恢复


1、为受灾的业务系统申请ECS资源,重新搭建业务系统进行恢复

2、对于感染的数据库,采用数据备份恢复,或尝试抢救恢复数据,方式是数据盘做快照备份后,采用部分安全厂商数据恢复工具尝试恢复数据。

3、对于健康服务器做快照备份,数据库做好数据备份和容灾


6

——

道阻且长,袋鼠宝宝们仍将上下而求索


基于这次勒索病毒事件,颠覆了我们专网比公网安全的认知,袋鼠云也对以往工作进行了总结和反思:

1、对于所有系统,做好补丁升级工作,推动局方搭建WSUS(Windows Server Update Services)和Yum Server,做好内网系统的补丁升级

2、按安全等保要求,对整个系统平台进行安全加固,


目录
相关文章
|
2月前
|
安全 Linux
Linux【问题记录 03】阿里云+腾讯云服务器的 kdevtmpfsi(H2Miner挖矿蠕虫变种)病毒处理(5个详细步骤)
Linux【问题记录 03】阿里云+腾讯云服务器的 kdevtmpfsi(H2Miner挖矿蠕虫变种)病毒处理(5个详细步骤)
44 0
|
2月前
|
分布式计算 安全 网络协议
Linux【问题记录 04】SSH突然无法连接排查2个小时最终解决Failed to start OpenSSH server daemon及阿里云服务器的 kdevtmpfsi 挖矿病毒处理
Linux【问题记录 04】SSH突然无法连接排查2个小时最终解决Failed to start OpenSSH server daemon及阿里云服务器的 kdevtmpfsi 挖矿病毒处理
82 0
|
7月前
|
存储 安全 网络安全
服务器感染了[comingback2022@cock.li].eking勒索病毒,如何确保数据文件完整恢复?
近年来,网络安全威胁不断增加,其中勒索病毒是一种极具破坏性的恶意软件。本文91数据恢复将介绍[comingback2022@cock.li].eking勒索病毒的特点,以及一些可能的数据恢复方法。
122 0
|
8月前
|
监控 安全 网络安全
服务器被专门针对零日漏洞的.locked勒索病毒攻击,数据能否恢复?
        近日,国内多家公司服务器感染了后缀.locked勒索病毒,公司的服务器文件全部被加密,急需数据恢复,否则公司运作无法进行,部分企业经联系数据恢复工程师远程查看,并沟通协商了相应的解决方案,通过双方远程协同配合,最终在当天顺利完整恢复数据。
225 0
服务器被专门针对零日漏洞的.locked勒索病毒攻击,数据能否恢复?
|
8月前
|
安全
阿里云服务器被xmrigMiner及pnscan及伪装httpd的病毒入侵排查记录
阿里云服务器被xmrigMiner及pnscan及伪装httpd的病毒入侵排查记录
435 0
|
8月前
|
存储 安全 算法
locked勒索病毒利用零日漏洞,企业服务器数据瞬间遭受致命加密
近日,网络安全界再次爆发了一起令人震惊的事件,一种名为"Locked"的勒索病毒利用软件中的零日漏洞,迅速传播并瞬间加密了大量企业服务器。这一事件引发了广泛的关注和恐慌,暴露出网络安全的脆弱性和企业在面对新兴威胁时的不足之处。91数据恢复在本文将对这一事件进行深入分析,探讨相关的影响和可能的防范措施。
locked勒索病毒利用零日漏洞,企业服务器数据瞬间遭受致命加密
|
10月前
|
存储 安全 数据库
企业服务器被.eight后缀勒索病毒攻击,数据文件如何自救?
当企业遭受勒索病毒攻击时,数据库文件被加密,这会导致企业无法访问其重要的业务数据,会给企业带来较大的困扰。本篇文章,91数据恢复专家将会针对.eight勒索病毒,介绍如何恢复被.eight后缀勒索病毒加密的数据库文件。 如果受感染的数据确实有恢复的价值与必要性,您可添加我们的技术服务号(sjhf91)进行免费咨询获取数据恢复的相关帮助。
|
10月前
|
存储 安全 数据库
如何应对企业服务器数据库文件遭遇勒索病毒后数据无法访问的情况?
    当企业的服务器遭遇勒索病毒入侵攻击时,往往最为重要的莫过于数据库文件,所以数据库文件也往往是勒索病毒的目标文件,数据库文件被.malox勒索病毒加密了。这时候,企业需要尽快找到解决方案,尽快恢复数据。本文将介绍被.malox后缀勒索病毒加密的数据库文件如何恢复,以及预防勒索病毒攻击的方法。
|
安全 Linux
阿里云服务器中挖矿病毒解决办法(已实践)
阿里云服务器中挖矿病毒解决办法(已实践)
1498 1
阿里云服务器中挖矿病毒解决办法(已实践)
|
云安全 弹性计算 安全
Linux服务器中了病毒后的清理方法
Linux服务器中了病毒后的清理方法
Linux服务器中了病毒后的清理方法