千家信息网

抵御WannaCry勒索病毒,瑞度智能持续提供技术支持!

发表于:2024-11-19 作者:千家信息网编辑
千家信息网最后更新 2024年11月19日,江西瑞度智能科技有限公司为您提供专业的信息安全解决方案,针对本次勒索病毒来势凶猛及后期病毒变异的可能性,瑞度智能将持续技术支持服务,保障业务系统正常运行,我们将第一时间更新工具版本和补丁包。联系电话:
千家信息网最后更新 2024年11月19日抵御WannaCry勒索病毒,瑞度智能持续提供技术支持!

江西瑞度智能科技有限公司

为您提供专业的信息安全解决方案,针对本次勒索病毒来势凶猛及后期病毒变异的可能性,瑞度智能将持续技术支持服务,保障业务系统正常运行,我们将第一时间更新工具版本和补丁包。

联系电话:0791-88699625


资料更新:

"永恒之蓝"勒索蠕虫漏洞修复工具

360企业安全天擎团队提供的针对"永恒之蓝"勒索蠕虫所利用漏洞的修复工具。运行该工具后,会自动检测系统是否存在相关漏洞,并提供修复方法。 该修复工具集免疫、SMB服务关闭和各系统下MS17-010漏洞检测与修复于一体。可在离线网络环境下一键式修复系统存在的MS17-010漏洞,根本解决勒索蠕虫利用MS17-010漏洞带来的安全隐患。


对于目前不支持自动打补丁的操作系统,可以按照工具提示关闭风险服务(关闭445端口,禁用smb协议,会导致打印业务、文件共享业务受到影响) ;等手动安装完补丁后,通过服务恢复工具恢复被关闭的服务。


下载
版本号:6.0.0.1004
md5: 1A921E54954EED60091B3084E5835442
sha1: C9CA82659D4E75B706C9646380ECD0B78DBA238D
sha256: 8FB07B188C17AE8807BD25BDF30E8D56D56BB1FD2E3EEB7DCCE22892A5AF0E64


部分操作系统安装补丁需要满足一定的先决条件,请参考下面表格中的说明手动进行安装处理后再运行本工具。工具暂不支持XP Embedded、Windiws 7 Embedded、Windows 8 Embeded、Windows 10和Windows Server 2016这几个操作系统,请按照下表的说明手动下载安装。


系统版本补丁号及下载链接安装补丁的先决条件备注
Windows XPKB4012598
x86
Service Pack 3;没有打过SP的版本,需要先升级到SP2,才能升级到SP3x86 SP2
x86 SP3
Windows XP SP3 for XPeKB4012598
x86
暂未验证工具暂不支持,请手动下载安装
Windows XP Embedded(WES09 and POSReady 2009)KB4012598
x86
暂未验证工具暂不支持,请手动下载安装
Windows Server 2003KB4012598
x86
x64
Service Pack 2x86 SP2
Windows Server 2003 R2KB4012598
x86
x64
Service Pack 2x86 SP2
Windows VistaKB4012598
x86
x64
Service Pack 2;没有打过SP的版本需要先升级到SP1,才能升级到SP2x86 SP1
x86 SP2
x64 SP1
x64 SP2
Windows 7KB4012212
x86
x64
Service Pack 1x86 SP1
x64 SP1
Windows Embedded Standard 7KB4012212
x86
x64
暂未验证工具暂不支持,请手动下载安装
Windows Server 2008KB4012598
x86
x64
IA64
Service Pack 2;没有打过SP的版本需要先升级到SP1,才能升级到SP2x86 SP1
x86 SP2
x64 SP2
Windows Server 2008 R2KB4012212
x64
IA64
Service Pack 1x64 SP1
Windows 8KB4012598
x86
x64

Windows Embedded 8 StandardKB4012214
x86
x64
暂未验证工具暂不支持,请手动下载安装
Windows Server 2012KB4012214
x64

Windows 8.1KB4012213
x86
x64
需要按顺序先安装KB3021910和KB2919355如果安装失败,请参考微软官网(https://support.microsoft.com/zh-cn/help/2919355/windows-rt-8.1,-windows-8.1,-and-windows-server-2012-r2-update-april-2014)说明
KB3021910
x86 x64
KB2919355
x86 x64
Windows Server 2012 R2KB4012213
x64
需要按顺序先安装KB3021910和KB2919355如果安装失败,请参考微软官网(https://support.microsoft.com/zh-cn/help/2919355/windows-rt-8.1,-windows-8.1,-and-windows-server-2012-r2-update-april-2014)说明
KB3021910
x64
KB2919355
x64
Windows 10 RTM(内部版本10240)KB4012606
x86
x64
提供的下载链接是5月的安全累积补丁
工具暂不支持,请手动下载安装
(运行winver查看系统版本号)
Windows 10 1511KB4013198
x86
x64
提供的下载链接是5月的安全累积补丁
工具暂不支持,请手动下载安装
(运行winver查看系统版本号)
Windows 10 1607KB4013429
x86
x64
提供的下载链接是5月的安全累积补丁
工具暂不支持,请手动下载安装
(运行winver查看系统版本号)
Windows Server 2016KB4013429
x64
提供的下载链接是5月的安全累积补丁
工具暂不支持,请手动下载安装


更新日志

6.0.0.1004
发布时间:2017/5/15/ 23:45
更新内容:
1. 支持对win10,win2016系统受MS17-010漏洞影响的版本;
2. 修复一些bug;

6.0.0.1003
发布时间:2017/5/15 2:50
变更内容:
1. 解决补丁修复配置带上了月度累计更新造成重复提示的问题;
2. 修复一些bug;

6.0.0.1002
发布时间:2017/5/14 6:30
1. 第一版,针对"永恒之蓝"勒索蠕虫所利用漏洞提供检测和修复功能;


"永恒之蓝"勒索蠕虫专杀工具

"永恒之蓝"勒索蠕虫专杀工具可快速检测主机是否感染了勒索蠕虫(WannaCry),以发现被感染主机并进行病毒清除,避免传播感染内网其它终端。


下载
更新时间:2017-05-15 21:20:00
MD5 : 041EB0981E7BF3B01DCDE47AFC970B7A
SHA-1 : 20ABFD425BD36CD749A540A2B3B7378C3EC5C026
SHA-256 : C3B27B2B04E7AA415D0CEB1D280FA9027237E801683DB03CD82E538849A1DD6A


"永恒之蓝"勒索蠕虫免疫工具

360企业安全天擎团队提供的系统免疫工具;在电脑上运行以后,现有蠕虫将不会感染系统。


下载
版本:1.0.0.1017
MD5:a66f4a128e906ab9f4384f60b2dc6307
SHA1:9e49a7c37fee83d7a27f089bd3576c9c276500e1
SHA256:e51858116f22522e2379d858719d6c9f664bd5d9db9dd44d34ce1df528b00f35

此工具有以下两种免疫方式:

基本免疫

通过抢占WannaCry勒索蠕虫运行时创建的内核对象,迫使其不能正常运行从而达到免疫的效果。在终端上直接运行此工具即可实现基本免疫功能。


增强免疫

除了基本免疫功能外,根据《WanaCrypt0r勒索蠕虫完全分析报告》,还可通过劫持域名www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com和www.ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.com 的方式进一步增强免疫效果。

操作方法如下:
1. 在内网服务器中部署http server,在http://nginx.org/en/download.html中下载运行http server;
2. 查看http server所在服务器的ip,确保终端浏览器中能访问http://服务器的ip,然后将免疫工具文件名修改为"OnionWormImmune(xxx.xxx.xxx.xxx).exe", 其中"xxx.xxx.xxx.xxx"为http server IP地址;
3. 运行改名后的免疫工具OnionWormImmune(xxx.xxx.xxx.xxx).exe即可实现增强免疫效果;


核心网络设备应急处置方案

大型机构由于设备众多,为了避免感染设备之后的广泛传播,建议利用各网络设备的 ACL 策略配置,以实现临时封堵。

该蠕虫病毒主要利用 TCP 的 445 端口进行传播, 对于各大企事业单位影响很大。为了阻断病毒快速传播, 建议在核心网络设备的三层接口位置, 配置 ACL 规则从网络层面阻断 TCP 445 端口的通讯。

以下内容是基于较为流行的网络设备,举例说明如何配置 ACL 规则,以禁止TCP 445 网络端口传输,仅供大家参考。在实际操作中,请协调网络管理人员或网络设备厂商服务人员,根据实际网络环境在核心网络设备上进行配置。

针对政府、企业等单位使用的网络设备可能版本较早,可以参考如下配置:

如华为S5600、S2000等较早一批设备(示例);

acl number 3445

rule 1 deny UDP destination-port eq 445

rule 2 deny TCP destination-port eq 135

rule 3 deny TCP destination-port eq 137

rule 4 deny TCP destination-porteq 138

rule 5 deny TCP destination-port eq 139

rule 7 deny UDP destination-port eq 135

rule 8 deny UDP destination-port eq netbios-ns

rule 9 deny UDP destination-port eq netbios-dgm

rule 10 deny UDP destination-port eq netbios-ssn

rule 100 permit IP

在交换机接口,使用 packet-filter进行应用;

packet-filter inbound ip-group 3445

Juniper 设备的建议配置(示例):

set firewall family inet filter deny-wannacry term deny445 from protocol tcp

set firewall family inet filter deny-wannacry term deny445 from destination-port 445 set firewall family inet filter deny-wannacry term deny445 then discard

set firewall family inet filter deny-wannacry term default then accept

#在全局应用规则

set forwarding-options family inet filter output deny-wannacry set forwarding-options family inet filter input deny-wannacry

#在三层接口应用规则

set interfaces [ 需要挂载的三层端口名称 ] unit 0 family inet filter output deny-wannacry

set interfaces [ 需要挂载的三层端口名称 ] unit 0 family inet filter input deny-wannacry

华三(H3C)设备的建议配置(示例):

新版本: acl number 3050

rule deny tcp destination-port 445 rule permit ip

interface [需要挂载的三层端口名称] packet-filter 3050 inbound packet-filter 3050 outbound

旧版本: acl number 3050

rule permit tcp destination-port 445

traffic classifier deny-wannacry if-match acl 3050

traffic behavior deny-wannacry filter deny

qos policy deny-wannacry

classifier deny-wannacry behavior deny-wannacry

#在全局应用

qos apply policy deny-wannacry global inbound qos apply policy deny-wannacry global outbound

#在三层接口应用规则

interface [需要挂载的三层端口名称]

qos apply policy deny-wannacry inbound

qos apply policy deny-wannacry outbound

华为设备的建议配置(示例):

acl number 3050

rule deny tcp destination-port eq 445 rule permit ip

traffic classifier deny-wannacry type and if-match acl 3050

traffic behavior deny-wannacry

traffic policy deny-wannacry

classifier deny-wannacry behavior deny-wannacry precedence 5

interface [需要挂载的三层端口名称] traffic-policy deny-wannacry inbound traffic-policy deny-wannacry outbound

Cisco 设备的建议配置(示例):

旧版本:

ip access-list extended deny-wannacry

deny tcp any any eq 445

permit ip any any

interface [需要挂载的三层端口名称] ip access-group deny-wannacry in

ip access-group deny-wannacry out

新版本:

ip access-list deny-wannacry deny tcp any any eq 445 permit ip any any

interface [需要挂载的三层端口名称] ip access-group deny-wannacry in

ip access-group deny-wannacry out

锐捷设备的建议配置(示例):

ip access-list extended deny-wannacry deny tcp any any eq 445

permit ip any any

interface [需要挂载的三层端口名称] ip access-group deny-wannacry in

ip access-group deny-wannacry out

华为S系列交换机产品防范方案

注意:配置前请确认是否有正在使用135、137、139、445端口的服务,避免影响正常业务

产品族企业网络领域产品产品型号S交换机系列
发布时间
重要程度重要
涉及版本V100R006及之后版本
涉及应用范围S交换机系列
漏洞外部编码CVE-2017-0143CVE-2017-0144CVE-2017-0145CVE-2017-0146CVE-2017-0147CVE-2017-0148


S交换机系列网络侧防御配置案例】

1. 建立针对高危端口的ACL规则

acl number 3000 // 30004000之间没有使用的ACL皆可

rule 5 permit tcp destination-port eq 445

rule 10 permit tcp destination-port eq 135

rule 15 permit tcp destination-port eq 137

rule 20 permit tcp destination-port eq 139

rule 25 permit udp destination-port eq 445

rule 30 permit udp destination-port eq 135

rule 35 permit udp destination-port eq 137

rule 40 permit udp destination-port eq 139


2. 建立流策略

traffic classifier deny-bingdu operator and

if-match acl 3000 // 注意跟之前ACL对应

traffic behavior deny-bingdu

deny

traffic policy deny-bingdu

classifier deny-bingdu behavior deny-bingdu


3. 应用流策略

// 接口下应用示例,系统视图下运行该脚本

interface GigabitEthernet0/0/1

traffic-policy deny-bingdu inbound

traffic-policy deny-bingdu outbound

// 全局应用示例,系统视图下运行该脚本

traffic-policy deny-bingdu global inbound

traffic-policy deny-bingdu global outbound

// 端口组下应用示例,系统视图下运行该脚本,可以避免多个端口下重复配置

port-group deny-bingdu

group-member GigabitEthernet 0/0/1 to GigabitEthernet 0/0/10 // 注意端口选择

traffic-policy deny-bingdu inbound

traffic-policy deny-bingdu outbound


【说明】

· 建议在核心和汇聚交换机配置该脚本,如果内网已有电脑中毒,则需要在其接入交换机配置脚本;

· 最好在所有端口下配置,次选在全局和上行端口配置;

· traffic-policy在全局、同一端口下只能应用一次,如之前已有流策略应用,则会配置失败;可在其流策略里增加classifier deny-bingdu behavior deny-bingdu

· S2700SI系列交换机不支持aclS2700/S3700不支持出方向流策略;


0