四、未受感染主机应急防御策略
针对未受感染的主机,存在以下四种应急防御策略。
其中 策略一为最有效的防御手段,但耗时较长。其他策略为临时解决方案,供无法实行策略一时临时使用。
应用策略二或策略三的主机将无法访问网络中的共享,请慎重使用。
在无法立即应用策略一时,建议首先应用策略四进行临时防御。无论使用了哪种临时策略,都必须尽快应用策略一以做到完整防御。
针对windows 10版本之下的主机,建议升级至windows 10并更新系统至最新版本。因情况无法升级的,务必使用一种应急防御策略进行防御。
策略一:安装MS17-010系统补丁
根据系统版本,安装ms17-010漏洞补丁。其中windows 7以及更高版本可以通过自动更新安装全部补丁获得,windows xp、windows 2003以及windows vista可以通过安装随文档提供的临时工具获得。
此补丁微软提供的官方下载地址为:
https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/
策略二:关闭漏洞相关服务
可通过专业人员使用以下命令对漏洞相关服务进行关闭:
sc stop LmHosts
sc stop lanmanworkstation
sc stop LanmanServer
sc config LmHosts start=DISABLED
sc config lanmanworkstation start=DISABLED
sc config LanmanServer start= DISABLE
策略三:配置防火墙禁止漏洞相关端口
针对windows 2003或windows xp系统,点击开始菜单,并打开“控制面板”。
在控制面板中双击“windows 防火墙”选项,点击“例外”选项卡,取消勾选“文件和打印机共享”,并点击确定。
针对windows 7及以上系统,点击开始菜单,打开“控制面板”,点击“系统和安全”“Windows 防火墙”。
在windows防火墙配置页面,点击“允许程序或功能通过windows防火墙”选项,点击上方的“更改设置”:
在列表中找到“文件和打印机共享”的复选框,取消勾选,最后点击确定。
策略四:使用漏洞防御工具
360公司提供了蠕虫免疫工具进行临时防御,此工具可以在360网站下载。
直接执行此工具即可进行简单的临时防御,每次重启主机都必须重新执行此工具。
五、公网服务器与网络应急安全防御策略
针对公网服务器(例如网站、公开系统等)多数可以连接至互联网,对于windows 2008 r2及更高版本的服务器,建议打开系统的“自动更新”功能,并安装全部漏洞补丁。
对于windows 2003服务器,可选择 四、未受感染主机应急防御策略 中的 策略一 进行防御,同时建议尽快升级至更高版本的服务器(如windows 2008 r2等)。
针对内部网络,需要在保证主机安全的情况下防止可能的传染。
无需使用共享功能的,可在防火墙、路由器等设备上禁止445端口的访问。
由于此蠕虫使用域名:www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com作为“发作开关”,在无法访问此域名时即刻发作。因此,禁止在防火墙、IPS等网络安全设备上拦截该域名,否则会触发已感染主机的加密流程,造成不可挽回的损失。
使用内网私有dns的,务必配置此域名的解析,并将其指向内网中存活的web服务器。此内网服务器的主页需返回以下内容:
sinkhole.tech - where the bots party hard and the researchers harder.
市委网信办
市网络安全与信息化技术测评中心
