附件1:面向全体网络管理员的解决方案文档(解决服务器和网络方面的安全隐患)
附件2:面向全体用户的解决方案文档(通过免疫工具和补丁完成电脑端SMB漏洞的修复)
附件3:某公司针对PC防护勒索病毒的建议指导 附件4:某公司NGAF针对勒索病毒的配置指导 附件5:某公司AC针对勒索病毒的配置指导 相关链接:
病毒介绍
2017年5月12日起, 全球性爆发勒索病毒WannaCry ,经研究,此次为不法分子通过改造之前泄露的NSA黑客武器库中“永恒之蓝”攻击程序发起的网络攻击事件。“永恒之蓝”通过扫描开放445文件共享端口的Windows电脑,无需用户进行任何操作,只要开机联网,不法分子就能在电脑和服务器中植入病毒。
系统中招后,病毒会加密系统中的照片、图片、文档、压缩包、音频、视频、可执行程序等几乎所有类型的文件,被加密的文件后缀名被统一修改为“.WNCRY”,病更改终端背景图片提出勒索要求,如下:
应对措施
一 、PC终端的隔离与加固
1、针对已被感染的计算机 已被感染的计算机请立即隔离,禁用所有有线及无线网卡或直接拔掉网线。 不要删除或损坏被加密数据,待后续解决方案。
2、针对暂未被感染的计算机 如计算机暂未被感染,为加强保护,避免被感染,请下载智安全Wannacry免疫工具,在计算机上执行,并选择“立即免疫”。
工具使用说明: 1)、请以系统管理员权限运行本工具;
2)、执行本工具时,如有杀软提醒,请选择“允许”;
3)、针对已部署某公司行为管理设备的客户,可以通过配置终端提示页面,提醒用户安装免疫工具
在上网策略中,新增终端提醒策略 时间选择每隔 5 分钟 此策略至少开启 1 小时后再禁用,以保证所有人都能收到提醒
4)针对已经部署某公司防火墙的客户,每日首次登陆可获取最新威胁情报提醒,之后点击“威胁情报预警与处置”获取详情。点击“立即扫描”主动发现主机风险,如下图所示:
二、 网络边界设备的策略优化 【部署AF客户的策略建议】
1. 禁止外网对内网135/137/138/139/445端口的访问,切断外部攻击途径。(TCP/UDP都要关闭)
然后配置应用控制策略,阻断这几个端口的流量,如下图3所示(注意区域选择全部):
2. 更新漏洞识别库至20170415(4月15日发布)及以上版本,并配置阻断策略。 1)确认入侵防护规则中,包含WannaCry阻断规则
2)确认配置了阻断策略,并保证该策略在IPS防护策略的第一条
【部署AC客户的策略建议】
禁止外网对内网135/137/138/139/445端口的访问,切断外部攻击途径(TCP/UDP都要关闭)
A. 新增网络服务 在对象定义->网络服务中,新增一个网络服务
B. 新增防火墙规则 在防火墙->过滤规则-> WAN<->LAN 中,新增规则
三、 针对有域名的网站,排查有无“永恒之蓝”MS17-010 漏洞
更多更新,敬请关注http://sec.sangfor.com.cn:88/events/89.html
| 
发表于 2017-5-31 10:53
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
