被“永恒之藍”挾持的“紅色星期五”，逃無可逃

世界感染病毒分布

“紅色星期五”當(dāng)天，由BBC報道該勒索軟件已經(jīng)攻擊了99個國家近萬臺電腦，那些幸免的國家不是技術(shù)最先進的地方，而是遠離網(wǎng)絡(luò)和電腦的區(qū)域，英國、美國、俄羅斯、德國、土耳其、意大利、中國、菲律賓等國家都已中招。在中國，校園網(wǎng)成為重災(zāi)區(qū)，那些做畢設(shè)的學(xué)生們，面對電腦桌面的紅色窗口，只有絕望和更絕望。WannaCry利用的“永恒之藍”模塊是SMB 漏洞利用程序，可以攻擊開放了 445 端口的 Windows 機器，實現(xiàn)遠程命令執(zhí)行。蠕蟲軟件正是利用 SMB服務(wù)器漏洞，通過2008 R2滲透到未打補丁的Windows XP版本計算機中，實現(xiàn)大規(guī)模迅速傳播。 一旦你所在組織中一臺計算機受攻擊，蠕蟲會迅速尋找其他有漏洞的電腦并發(fā)起攻擊。

目前WannaCry的影響操作系統(tǒng)包括Microsoft Windows 2000、Windows 2003、Windows XP、Windows Vista SP2、Windows Server 2008 SP2和R2 SP1、Windows 7 SP1、Windows 8.1、Windows Server 2012 Gold和R2、Windows RT 8.1、Windows 10 Gold、1511和1607、Windows Server 2016等在內(nèi)未修復(fù)補丁的多種系統(tǒng)，因為Windows2000和2003無補丁，認(rèn)為只要開啟445端口并具備漏洞所需要的語言包即受到攻擊。

操作系統(tǒng)遭受攻擊

“事前”防御，阻斷“勒索之手”

曾幾何時，事前防御的論題慢慢變成了“事前檢測”、“事后防御”。本次解決的方案我們看到更多在于提前修復(fù)微軟補丁、開啟我們在安裝操作系統(tǒng)時就關(guān)閉的“防火墻”，安全管理意識又被提上了日程。但是有人反駁說我們不可能實時的去做這些，因為機器數(shù)量多、系統(tǒng)復(fù)雜性太高、人員技術(shù)能力有限、人手不夠……

那么有沒有一種確實有效的解決辦法呢？

不得不提出，目前安裝了“浪潮SSR”軟件的客戶可以輕松解除此次“紅色警戒”，安心過周末，實現(xiàn)事前解決此次“內(nèi)憂外患”！

浪潮SSR構(gòu)筑“紅色星期五”防火墻！

事前防御第一招

已經(jīng)部署浪潮SSR的系統(tǒng)，實現(xiàn)默認(rèn)保護二進制文件以及系統(tǒng)磁盤、驅(qū)動等在內(nèi)的多種防護方案。由于該勒索軟件遍歷目錄拷貝到每個文件夾并重命名為@WanaDecryptor.exe，浪潮SSR會默認(rèn)禁止在系統(tǒng)中創(chuàng)建并執(zhí)行EXE文件，因此將其扼殺在搖籃當(dāng)中。

SSR界面

事前防御第二招

勒索軟件的傳播端口主要以445為主，因此可通過在設(shè)備或者交換路由出口處禁止135/137/139/445端口的連接可解決此問題。

如果已經(jīng)部署了浪潮的SSR，并且您有大量服務(wù)器系統(tǒng)需要維護和操作時，您只用輕輕的點擊關(guān)閉此類端口并批量下發(fā)策略即可。

SSR界面

事前防御第三招

浪潮SSR可進行安全配置掃描，及時發(fā)現(xiàn)未做此類安全防護策略的操作系統(tǒng)，并針對此類操作系統(tǒng)進行統(tǒng)一化修復(fù)。

SSR界面

如果未做防護措施可能存在以下風(fēng)險：

1、系統(tǒng)被劫持，文件被加密
2、通過提供金錢或者比特幣有可能恢復(fù)您的文件

通用解決辦法：

1.防火墻屏蔽445端口

2.利用 Windows Update 進行系統(tǒng)更新

3.關(guān)閉 SMBv1 服務(wù)

（奉上SSR精簡內(nèi)核版產(chǎn)品免費下載地址讓您對系統(tǒng)進行防護，鏈接: https://pan.baidu.com/s/1dFkWwhj 密碼: abyx，如果有興趣的話不妨一試。)

zhangnn