抵御WannaCry勒索病毒,瑞度智能持续提供技术支持!
江西瑞度智能科技有限公司
为您提供专业的信息安全解决方案,针对本次勒索病毒来势凶猛及后期病毒变异的可能性,瑞度智能将持续技术支持服务,保障业务系统正常运行,我们将第一时间更新工具版本和补丁包。
联系电话:0791-88699625
资料更新:
"永恒之蓝"勒索蠕虫漏洞修复工具
360企业安全天擎团队提供的针对"永恒之蓝"勒索蠕虫所利用漏洞的修复工具。运行该工具后,会自动检测系统是否存在相关漏洞,并提供修复方法。 该修复工具集免疫、SMB服务关闭和各系统下MS17-010漏洞检测与修复于一体。可在离线网络环境下一键式修复系统存在的MS17-010漏洞,根本解决勒索蠕虫利用MS17-010漏洞带来的安全隐患。
对于目前不支持自动打补丁的操作系统,可以按照工具提示关闭风险服务(关闭445端口,禁用smb协议,会导致打印业务、文件共享业务受到影响) ;等手动安装完补丁后,通过服务恢复工具恢复被关闭的服务。
下载
版本号:6.0.0.1004
md5: 1A921E54954EED60091B3084E5835442
sha1: C9CA82659D4E75B706C9646380ECD0B78DBA238D
sha256: 8FB07B188C17AE8807BD25BDF30E8D56D56BB1FD2E3EEB7DCCE22892A5AF0E64
部分操作系统安装补丁需要满足一定的先决条件,请参考下面表格中的说明手动进行安装处理后再运行本工具。工具暂不支持XP Embedded、Windiws 7 Embedded、Windows 8 Embeded、Windows 10和Windows Server 2016这几个操作系统,请按照下表的说明手动下载安装。
系统版本 | 补丁号及下载链接 | 安装补丁的先决条件 | 备注 |
---|---|---|---|
Windows XP | KB4012598 x86 | Service Pack 3;没有打过SP的版本,需要先升级到SP2,才能升级到SP3 | x86 SP2 x86 SP3 |
Windows XP SP3 for XPe | KB4012598 x86 | 暂未验证 | 工具暂不支持,请手动下载安装 |
Windows XP Embedded(WES09 and POSReady 2009) | KB4012598 x86 | 暂未验证 | 工具暂不支持,请手动下载安装 |
Windows Server 2003 | KB4012598 x86 x64 | Service Pack 2 | x86 SP2 |
Windows Server 2003 R2 | KB4012598 x86 x64 | Service Pack 2 | x86 SP2 |
Windows Vista | KB4012598 x86 x64 | Service Pack 2;没有打过SP的版本需要先升级到SP1,才能升级到SP2 | x86 SP1 x86 SP2 x64 SP1 x64 SP2 |
Windows 7 | KB4012212 x86 x64 | Service Pack 1 | x86 SP1 x64 SP1 |
Windows Embedded Standard 7 | KB4012212 x86 x64 | 暂未验证 | 工具暂不支持,请手动下载安装 |
Windows Server 2008 | KB4012598 x86 x64 IA64 | Service Pack 2;没有打过SP的版本需要先升级到SP1,才能升级到SP2 | x86 SP1 x86 SP2 x64 SP2 |
Windows Server 2008 R2 | KB4012212 x64 IA64 | Service Pack 1 | x64 SP1 |
Windows 8 | KB4012598 x86 x64 | 无 | |
Windows Embedded 8 Standard | KB4012214 x86 x64 | 暂未验证 | 工具暂不支持,请手动下载安装 |
Windows Server 2012 | KB4012214 x64 | 无 | |
Windows 8.1 | KB4012213 x86 x64 | 需要按顺序先安装KB3021910和KB2919355 | 如果安装失败,请参考微软官网(https://support.microsoft.com/zh-cn/help/2919355/windows-rt-8.1,-windows-8.1,-and-windows-server-2012-r2-update-april-2014)说明 KB3021910 x86 x64 KB2919355 x86 x64 |
Windows Server 2012 R2 | KB4012213 x64 | 需要按顺序先安装KB3021910和KB2919355 | 如果安装失败,请参考微软官网(https://support.microsoft.com/zh-cn/help/2919355/windows-rt-8.1,-windows-8.1,-and-windows-server-2012-r2-update-april-2014)说明 KB3021910 x64 KB2919355 x64 |
Windows 10 RTM(内部版本10240) | KB4012606 x86 x64 | 无 | 提供的下载链接是5月的安全累积补丁 工具暂不支持,请手动下载安装 (运行winver查看系统版本号) |
Windows 10 1511 | KB4013198 x86 x64 | 无 | 提供的下载链接是5月的安全累积补丁 工具暂不支持,请手动下载安装 (运行winver查看系统版本号) |
Windows 10 1607 | KB4013429 x86 x64 | 无 | 提供的下载链接是5月的安全累积补丁 工具暂不支持,请手动下载安装 (运行winver查看系统版本号) |
Windows Server 2016 | KB4013429 x64 | 无 | 提供的下载链接是5月的安全累积补丁 工具暂不支持,请手动下载安装 |
更新日志:
6.0.0.1004
发布时间:2017/5/15/ 23:45
更新内容:
1. 支持对win10,win2016系统受MS17-010漏洞影响的版本;
2. 修复一些bug;
6.0.0.1003
发布时间:2017/5/15 2:50
变更内容:
1. 解决补丁修复配置带上了月度累计更新造成重复提示的问题;
2. 修复一些bug;
6.0.0.1002
发布时间:2017/5/14 6:30
1. 第一版,针对"永恒之蓝"勒索蠕虫所利用漏洞提供检测和修复功能;
"永恒之蓝"勒索蠕虫专杀工具
"永恒之蓝"勒索蠕虫专杀工具可快速检测主机是否感染了勒索蠕虫(WannaCry),以发现被感染主机并进行病毒清除,避免传播感染内网其它终端。
下载
更新时间:2017-05-15 21:20:00
MD5 : 041EB0981E7BF3B01DCDE47AFC970B7A
SHA-1 : 20ABFD425BD36CD749A540A2B3B7378C3EC5C026
SHA-256 : C3B27B2B04E7AA415D0CEB1D280FA9027237E801683DB03CD82E538849A1DD6A
"永恒之蓝"勒索蠕虫免疫工具
360企业安全天擎团队提供的系统免疫工具;在电脑上运行以后,现有蠕虫将不会感染系统。
下载
版本:1.0.0.1017
MD5:a66f4a128e906ab9f4384f60b2dc6307
SHA1:9e49a7c37fee83d7a27f089bd3576c9c276500e1
SHA256:e51858116f22522e2379d858719d6c9f664bd5d9db9dd44d34ce1df528b00f35
此工具有以下两种免疫方式:
基本免疫
通过抢占WannaCry勒索蠕虫运行时创建的内核对象,迫使其不能正常运行从而达到免疫的效果。在终端上直接运行此工具即可实现基本免疫功能。
增强免疫
除了基本免疫功能外,根据《WanaCrypt0r勒索蠕虫完全分析报告》,还可通过劫持域名www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com和www.ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.com 的方式进一步增强免疫效果。
操作方法如下:
1. 在内网服务器中部署http server,在http://nginx.org/en/download.html中下载运行http server;
2. 查看http server所在服务器的ip,确保终端浏览器中能访问http://服务器的ip,然后将免疫工具文件名修改为"OnionWormImmune(xxx.xxx.xxx.xxx).exe", 其中"xxx.xxx.xxx.xxx"为http server IP地址;
3. 运行改名后的免疫工具OnionWormImmune(xxx.xxx.xxx.xxx).exe即可实现增强免疫效果;
核心网络设备应急处置方案
大型机构由于设备众多,为了避免感染设备之后的广泛传播,建议利用各网络设备的 ACL 策略配置,以实现临时封堵。
该蠕虫病毒主要利用 TCP 的 445 端口进行传播, 对于各大企事业单位影响很大。为了阻断病毒快速传播, 建议在核心网络设备的三层接口位置, 配置 ACL 规则从网络层面阻断 TCP 445 端口的通讯。
以下内容是基于较为流行的网络设备,举例说明如何配置 ACL 规则,以禁止TCP 445 网络端口传输,仅供大家参考。在实际操作中,请协调网络管理人员或网络设备厂商服务人员,根据实际网络环境在核心网络设备上进行配置。
针对政府、企业等单位使用的网络设备可能版本较早,可以参考如下配置:
如华为S5600、S2000等较早一批设备(示例);
acl number 3445
rule 1 deny UDP destination-port eq 445
rule 2 deny TCP destination-port eq 135
rule 3 deny TCP destination-port eq 137
rule 4 deny TCP destination-porteq 138
rule 5 deny TCP destination-port eq 139
rule 7 deny UDP destination-port eq 135
rule 8 deny UDP destination-port eq netbios-ns
rule 9 deny UDP destination-port eq netbios-dgm
rule 10 deny UDP destination-port eq netbios-ssn
rule 100 permit IP
在交换机接口,使用 packet-filter进行应用;
packet-filter inbound ip-group 3445
Juniper 设备的建议配置(示例):
set firewall family inet filter deny-wannacry term deny445 from protocol tcp
set firewall family inet filter deny-wannacry term deny445 from destination-port 445 set firewall family inet filter deny-wannacry term deny445 then discard
set firewall family inet filter deny-wannacry term default then accept
#在全局应用规则
set forwarding-options family inet filter output deny-wannacry set forwarding-options family inet filter input deny-wannacry
#在三层接口应用规则
set interfaces [ 需要挂载的三层端口名称 ] unit 0 family inet filter output deny-wannacry
set interfaces [ 需要挂载的三层端口名称 ] unit 0 family inet filter input deny-wannacry
华三(H3C)设备的建议配置(示例):
新版本: acl number 3050
rule deny tcp destination-port 445 rule permit ip
interface [需要挂载的三层端口名称] packet-filter 3050 inbound packet-filter 3050 outbound
旧版本: acl number 3050
rule permit tcp destination-port 445
traffic classifier deny-wannacry if-match acl 3050
traffic behavior deny-wannacry filter deny
qos policy deny-wannacry
classifier deny-wannacry behavior deny-wannacry
#在全局应用
qos apply policy deny-wannacry global inbound qos apply policy deny-wannacry global outbound
#在三层接口应用规则
interface [需要挂载的三层端口名称]
qos apply policy deny-wannacry inbound
qos apply policy deny-wannacry outbound
华为设备的建议配置(示例):
acl number 3050
rule deny tcp destination-port eq 445 rule permit ip
traffic classifier deny-wannacry type and if-match acl 3050
traffic behavior deny-wannacry
traffic policy deny-wannacry
classifier deny-wannacry behavior deny-wannacry precedence 5
interface [需要挂载的三层端口名称] traffic-policy deny-wannacry inbound traffic-policy deny-wannacry outbound
Cisco 设备的建议配置(示例):
旧版本:
ip access-list extended deny-wannacry
deny tcp any any eq 445
permit ip any any
interface [需要挂载的三层端口名称] ip access-group deny-wannacry in
ip access-group deny-wannacry out
新版本:
ip access-list deny-wannacry deny tcp any any eq 445 permit ip any any
interface [需要挂载的三层端口名称] ip access-group deny-wannacry in
ip access-group deny-wannacry out
锐捷设备的建议配置(示例):
ip access-list extended deny-wannacry deny tcp any any eq 445
permit ip any any
interface [需要挂载的三层端口名称] ip access-group deny-wannacry in
ip access-group deny-wannacry out
华为S系列交换机产品防范方案
注意:配置前请确认是否有正在使用135、137、139、445端口的服务,避免影响正常业务
产品族 | 企业网络领域产品 | 产品型号 | S交换机系列 |
发布时间 | 重要程度 | 重要 | |
涉及版本 | V100R006及之后版本 | ||
涉及应用范围 | S交换机系列 | ||
漏洞外部编码 | CVE-2017-0143,CVE-2017-0144,CVE-2017-0145,CVE-2017-0146,CVE-2017-0147,CVE-2017-0148 |
【S交换机系列网络侧防御配置案例】
1. 建立针对高危端口的ACL规则
acl number 3000 // 3000到4000之间没有使用的ACL皆可
rule 5 permit tcp destination-port eq 445
rule 10 permit tcp destination-port eq 135
rule 15 permit tcp destination-port eq 137
rule 20 permit tcp destination-port eq 139
rule 25 permit udp destination-port eq 445
rule 30 permit udp destination-port eq 135
rule 35 permit udp destination-port eq 137
rule 40 permit udp destination-port eq 139
2. 建立流策略
traffic classifier deny-bingdu operator and
if-match acl 3000 // 注意跟之前ACL对应
traffic behavior deny-bingdu
deny
traffic policy deny-bingdu
classifier deny-bingdu behavior deny-bingdu
3. 应用流策略
// 接口下应用示例,系统视图下运行该脚本
interface GigabitEthernet0/0/1
traffic-policy deny-bingdu inbound
traffic-policy deny-bingdu outbound
// 全局应用示例,系统视图下运行该脚本
traffic-policy deny-bingdu global inbound
traffic-policy deny-bingdu global outbound
// 端口组下应用示例,系统视图下运行该脚本,可以避免多个端口下重复配置
port-group deny-bingdu
group-member GigabitEthernet 0/0/1 to GigabitEthernet 0/0/10 // 注意端口选择
traffic-policy deny-bingdu inbound
traffic-policy deny-bingdu outbound
【说明】
· 建议在核心和汇聚交换机配置该脚本,如果内网已有电脑中毒,则需要在其接入交换机配置脚本;
· 最好在所有端口下配置,次选在全局和上行端口配置;
· traffic-policy在全局、同一端口下只能应用一次,如之前已有流策略应用,则会配置失败;可在其流策略里增加classifier deny-bingdu behavior deny-bingdu;
· S2700SI系列交换机不支持acl,S2700/S3700不支持出方向流策略;