如同其他大多数勒索软件一样,Ransom:Win32/WannaCrypt通过社会工程学尝试感染目标组织的环境,通常为带有恶意宏的Office文档附件的钓鱼邮件。一旦感染环境中的一台计算机后,该变种会尝试利用Microsoft在MS17-010补丁中修复的SMBv1的漏洞在内网中主动传播。这一蠕虫行为是真正让这一变种带来如此巨大影响的原因。
https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx
微软于5月14日中午已经发布了针对此病毒的官方应对指南,本文为整合官方指南的简版。
由于格式问题,推荐下载本文的Word版或PDF版,以及微软官方应对指南PDF。
感染以后的症状
当系统被该勒索软件感染后,弹出勒索对话框:
文档被加密,后缀名被更改为WNCRY(已经出现变异版本)。可被加密的文档类型 参考https://www.microsoft.com/security/portal/threat/encyclopedia/Entry.aspx?Name=Ransom:Win32/WannaCrypt
漏洞应对指南
首先,一旦计算机被感染文档被加密,由于无法获取加密所用私钥,从技术角度无法解密这些文档。唯一的恢复手段是通过已有的备份进行恢复。确保对关键文档数据进行有效备份是保护数据的最主要方式。
没有被感染,预防防御办法(非常重要)
(1) 首要任务确定您的反病毒软件更新到最新并可以查杀该勒索软件。Microsoft反病毒产品病毒库版本1.243.290.0及以上可以查杀当前发现的这一变种。如您使用其他反病毒软件,建议与相应厂商确认。
(2) 确保终端用户理解他们不应打开任何可疑的附件,即使他们看到一个熟悉的图标(PDF或Office文档)。
(3) 确保MS17-010补丁在所有计算机上安装,推荐安装最新的Microsoft安全补丁,并将其他第三方软件更新到最新。请参考下面的《安装微软官方修复补丁》。
(4) 使用正版Windows软件和正版Office软件,并启用Windows防火墙和Windows更新。请参考:
http://reinember.blog.51cto.com/2919431/1925408
(5) 445,135等端口是Windows系统服务正常运行所需要的端口,正常情况下不能轻易关闭,关闭极有可能引起严重的次生故障。在安装微软官方修复补丁之后,无需关闭这些端口。
暂时无法安装补丁临时处理方法
由于特殊原因计算机无法断网以及安装补丁,此方法仅适用于Windows Vista以上版本的系统。以下变通办法在您遇到的情形中可能会有所帮助:
-
禁用 SMBv1
对于运行 Windows Vista 及更高版本的客户
请参阅Microsoft 知识库文章 2696547
适用于运行 Windows 8.1 或 Windows Server 2012 R2 及更高版本的客户的替代方法
对于客户端操作系统:
-
打开"控制面板",单击"程序",然后单击"打开或关闭 Windows 功能"。
-
在"Windows 功能"窗口中,清除"SMB 1.0/CIFS 文件共享支持"复选框,然后单击"确定"以关闭此窗口。
-
重启系统。
对于服务器操作系统:
-
打开"服务器管理器",单击"管理"菜单,然后选择"删除角色和功能"。
-
在"功能"窗口中,清除"SMB 1.0/CIFS 文件共享支持”复选框,然后单击“确定”以关闭此窗口。
-
重启系统。
如果已经被感染怎么办
A. 隔离已感染计算机,在工作域里脱域,拔掉网线,关闭受感染计算机。
B. 考虑通过Windows防火墙阻止445端口入站通讯,或禁用Server服务
注意:此操作将阻止所有的文件共享服务,可能给环境带来较大影响,如未发现已感染计算机不建议进行此项操作
C. 如果您的反病毒软件暂时无法查杀该变种,您可以使用Microsoft Safety Scanner https://www.microsoft.com/security/scanner/en-us/default.aspx对受感染计算机进行完全扫描
D. 从备份中恢复文件
E. 同样实施以上防御措施
安装微软官方修复补丁
可以修复漏洞的安全更新(文件最小的)是哪些
| 操作系统 | 知识库文章号码 | 安装先决条件 | 备注 |
| Windows XP | KB4012598 | Service Pack 2或者Service Pack 3 | |
| *Service Pack 2 没有中文版本更新 | |||
| Windows 8 | KB4012598 | 无 | |
| Windows Server 2003 SP2 | KB4012598 | Service Pack 2 | |
| Windows Vista SP2/Server 2008 SP2 | KB4012598 | Service Pack 2 | |
| Windows 7 SP1/Windows Server 2008 R2 SP1 | KB4012212 | Service Pack 1 | 2017年3月的仅安全更新 |
| Windows Server 2012 | KB4012214 | 无 | 2017年3月的仅安全更新 |
| Windows 8.1/Windows Server 2012 R2 | KB4012213 | KB2919355 | 2017年3月的仅安全更新 |
| *需要先安装KB3021910,然后才能安装KB2919355 | |||
| Windows 10 RTM | KB4012206 | 无 | 累积安全更新 |
| Windows 10 1511 | KB4013198 | 无 | 累积安全更新 |
| Windows 10 1607 | Server 2016 | KB4013429 | 无 | 累积安全更新 |
必须满足“安装先决条件”才能安装更新。
· 对于Windows Server 2012 R2,需要先安装KB3021910,然后才能安装KB2919355
· 对于Windows 7 SP1/ Windows Server 2008 R2, 如果没有安装过任何更新,请先安装KB3125574(兼容性已知问题,请参考知识库文章https://support.microsoft.com/en-us/help/3125574/convenience-rollup-update-for-windows-7-sp1-and-windows-server-2008-r2-sp1)。否则可能需要花费5到6小时索引系统,才能开始安装安全更新。
微软官方补丁下载
| 操作系统 |
下载链接(可使用浏览器,可用下载工具) |
| 桌面操作系统 |
|
| 32位Windows XP SP3 |
下载地址1: 下载地址2: 下载地址3: http://wsus.ds.download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-chs_dca9b5adddad778cfd4b7349ff54b51677f36775.exe |
| 64位Windows XP SP2 |
下载地址1: |
| 32位Windows Vista |
下载地址1: |
| 64位 Windows Vista |
下载地址1: |
| 32位Windows 7 |
下载地址1: |
| 64位Windows 7 |
下载地址1: |
| 32位 Windows 8 |
下载地址1: |
| 64位 Windows 8 |
下载地址1: |
| 32位Windows 8.1 |
下载地址1: |
| 64位Windows 8.1 |
下载地址1: |
| 32位Windows 10 版本1511 |
下载地址1: |
| 64位 Windows 10 版本1511 |
下载地址1: |
| 64位Windows 10 版本1607 |
下载地址1: |
| 32位Windows 10 版本1607 |
下载地址1: |
| 32位Windows 10 版本1703 |
下载地址1: |
| 64位Windows 10 版本1703 |
下载地址1: |
| 32位Windows 10 版本1705 |
下载地址1: |
| 64位Windows 10 版本1705 |
下载地址1: |
| 服务器操作系统 |
|
| 32位 Windows Server 2003 |
下载地址1: 下载地址2: 下载地址3: |
| 64位Windows Server 2003 |
下载地址1: 下载地址2: 下载地址3: http://wsus.ds.download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsserver2003-kb4012598-x64-custom-cht_23a0e14eee3320955b6153ed7fab2dd069d39874.exe |
| 32位Windows Server 2008 |
下载地址1: |
| 64位Windows Server 2008 |
下载地址1: |
| 安腾Windows Server 2008 |
|
| 64位Windows Server 2008 R2 |
|
| 安腾Windows Server 2008 R2 |
|
| 64位Windows Server 2012 |
|
| 64位Windows Server 2012 R2 |
|
| 64位Windows Server 2016 |
|
| 嵌入式操作系统 |
|
| Windows XP SP3 嵌入式 |
下载地址1: 下载地址2: 下载地址3: http://wsus.ds.download.windowsupdate.com/c/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-embedded-custom-cht_c3696d39aab12713c4bd4e30b8e17f0a03fd8089.exe |
| Windows XP 嵌入式WES09以及 POSReady 2009 |
下载地址1: 下载地址2: 下载地址3: |
| 32位Windows Embedded 7嵌入式标准版 |
下载地址1: |
| 64位Windows Embedded 7嵌入式标准版 |
下载地址1: |
| 32位Windows Embedded 8 嵌入式标准版 |
下载地址1: |
| 64位Windows Embedded 8嵌入式标准版 |
下载地址1: |
微软官方技术团队Q&A
Q:安装时提示此更新不适用于您的计算机,怎么办?
A:请确认系统满足了先决条件再安装。例如WindowsServer 2008 R2, 必须在Service Pack 1 安装完成后,才能安装这次涉及到的安全更新。
Q:如何判断是否已经安装了正确的补丁?
A:首先重启系统。然后对于Vista SP2/Server2008 SP2开始的系统,可以使用PowerShell 命令Get-hotfix 来确认。
Q:即使安装了针对MS17-010的补丁还有可能中招,如果中招了是否可以杀毒,还是必须重装?此时系统还会传播勒索软件吗?
A:请参考“如果已经被感染了怎么办”这一部分。安装更新并不阻止系统发送恶意请求。此时环境中没有安装安全更新的系统将处于高危阶段。
Q:如果是2003的能够寻求微软的帮助吗?
A:Windows Server 2003 Service Pack 2已经结束支持周期2年了。微软针对这次事件,特地破例发布2003 SP2的漏洞修复——安全更新。您无需拨打我们的服务热线,查阅“微软官方补丁下载”部分。
Q:WannaCrypt是否会跨网段传播?
A:会
Q:如果Windows Server 2008 SP2安装重启后,安全更新被回退了,怎么办?
A:请联系Premier 热线服务电话,开启案例分析解决。
Q:SMB V1 (关闭445端口)如果停止了会有什么影响?
A:SMB v1是从WindowsVista SP2/Windows Server 2008 SP2开始引入的。如果停止掉,Vista/Server 2008 之前的系统(XP/Server 2003)就无法访问共享。Computer Browser服务也会受到影响。如果系统上有较多应用依存于SMB v1的话,这些应用可能无法使用。
Q:感染了的话,付钱是否能解决问题,是否有其他隐患?
A:您的资产的价值需要您来评估,最终由您决定是否值得付钱解决,付钱并非一定能解决问题。
Q:如果要重新安装系统,只格式化C盘就可以了还是需要全盘格式化?
A:如果没有专业的事件分析,很难说是否需要所有磁盘格式化,在没有专家诊断之前建议全盘格式化处理。
Q:目前看到传播的速度多快?是否可能手工停止病毒进程来防范?
A:勒索软件一般采用非对称秘钥加密算法加密秘钥,然后用对称秘钥和这个秘钥来快速把文件进行加密。加密文件并不仅仅局限于文本类型文件。整个加密的过程本身是比较快的。往往在人们感知到时,已经非常晚了。我们微软的防病毒软件可以检测客户端上进程的行为,如果发现类似勒索软件的恶意行为,在没有准确病毒库下也会拦截。虽然拦截速度和快,还是有可能不幸您的部分重要文件已经被加密。
Q:针对SMB的漏洞我们有了更新修复。那么勒索软件利用的宏命令,未来会有修复吗?
A:应注意这个宏命令本身并不是一个漏洞。只是被别有用心的人利用。
附件:http://down.51cto.com/data/2366660
本文转自 reinxu 51CTO博客,原文链接:http://blog.51cto.com/reinember/1925511,如需转载请自行联系原作者
